思科Cisco Packet Tracer实验 标准 IP 访问控制
备注:本实验在 Cisco Packet Tracer 7.2.1 中完成,其它版本尚未测试。
实验目的:
(1) 理解标准 IP 访问控制列表的原理及功能
(2) 能够配置 IP 访问控制
实验准备:
ACL 的全称为接入控制列表(Access Control Lists),也称访问控制列表(Access
Lists),俗称防火墙,在有的文档中还称包过滤。ACLs 通过定义一些规则对网络设备接口
上的数据报文进行控制;允许通过或丢弃,从而提高网络可管理型和安全性;
IP ACL 分为两种:标准 IP 访问列表和扩展 IP 访问列表,编号范围为 1~99、
1300~1999、100~199、2000~2699; 标准 IP 访问控制列表可以根据数据包的源 IP 地址
定义规则,进行数据包的过滤; 扩展 IP 访问列表可以根据数据包的源 IP、目的 IP、源端
口、目的端口、协议来定义规则,进行数据包的过滤;
IP ACL 基于接口进行规则的应用,分为:入栈应用和出栈应用;
标准访问控制列表的配置:
• 第一步,使用 access-list 命令创建访问控制列表
Router(config)#access-list access-list-number { permit | deny } source [ source-
wildcard ] [log]
• 第二步,使用 ip access-group 命令把访问控制列表应用到某接口
Router(config-if)#ip access-group access-list-number { in | out }
实验要求:
(1) 掌握在路由器上配置 IP 标准访问控制列表的方法
(2) 掌握将标准 IP 访问列表应用到路由器接口上的方法
实验内容:
1、 在路由器上配置 IP 标准访问控制列表
2、 将标准 IP 访问列表应用到路由器接口上
实验主要仪器及台套数:
每组成员所需要设备如下:
2 台路由器, 3 台 PC 机。
实验步骤:
- 为各 PC 设置 IP 及网关地址,其中网关地址分别为路由接口的 IP 地址
- 对各 Router 进行相关配置(接口 IP 等)
- 为各 Router 配置静态路由和默认路由
- 测试并确保各终端(PC)之间的互通性
- 在 R1 上配置基于编号的 IP 标准 ACL 实现以下功能:
➢ 网段 192.168.1.0/24 内 pc1 能访问 pc3,其它主机不能访问 pc3;
➢ 其它网段的流量都可以正常访问 pc3. - 查看路由器上访问控制列表的配置信息
- 验证不同局域网 PC 之间的相互通信
一、实验拓扑如下
整个网络划分为 4 个网段,如下:
| 网段号 | 网络地址 |
|---|---|
| 网段 1 | 192.168.1.0 |
| 网段 2 | 192.168.2.0 |
| 网段 3 | 192.168.3.0 |
| 网段 4 | 192.168.4.0 |
路由器配置如下:
路由器 R1:
Router >en
Router#
Router#conf t
Router(config)#hostname R1
R1(config)#interface range gigabitEthernet 0/0-2
R1(config-if-range)#no shutdown
R1(config-if-range)#exit
R1(config)#interface gigabitEthernet 0/0
R1(config-if)#ip address 192.168.1.1 255.255.255.0
R1(config-if)#exit
R1(config)#interface gigabitEthernet 0/1
R1(config-if)#ip address 192.168.2.1 255.255.255.0
R1(config-if)#exit
R1(config)#interface serial 0/3/0
R1(config-if)#ip address 192.168.3.1 255.255.255.0
R1(config-if)#no shutdown
R1(config-if)#exit
- 上述命令解释如下:
- 进入特权模式
- 进入全局配置模式
- 设置路由器名为 R1
- 用 range 模式开启端口 g0/0-2 端口
- 配置 gi0/0 端口的 ip
- 配置 gi0/1 端口 ip
- 配置 interface serial 0/3/0 端口
- 配置 serial 0/3/0 端口的 ip
- 开启端口 gi0/2
路由器 R2
Router#
Router#conf t
Router(config)#hostname R2
R2(config)#interface serial 0/0/0
R2(config-if)#no shutdown
R2(config-if)#ip address 192.168.3.2 255.255.255.0
R2(config-if)#exit
R2(config)#interface gigabitEthernet 0/1
R2(config-if)#no shutdown
R2(config-if)#ip address 192.168.4.1 255.255.255.0
配置主机:
主机 pc1 配置 ip:192.168.1.2 ,网关:192.168.1.1
主机 pc2 配置 ip:192.168.2.2,网关:192.168.2.1
主机 pc3 配置 ip:192.168.4.2,网关:192.168.4.1
主机 pc4 配置 ip:192.168.5.2,网关:192.168.5.1
在 R1 上配置静态路由:
R1(config)#ip route 192.168.4.0 255.255.255.0 192.168.3.2
在 R2 上配置默认路由:
R2(config)#ip route 0.0.0.0 0.0.0.0 192.168.3.1
测试 pc 之间的连通性:
pc1 ping pc2:
PC1 ping PC3
PC3 ping PC2:
PC3 ping PC1
PC2 ping PC4 :
以上可以看到所有的 pc 间都能正常通信。
配置 ACL:
1、现在希望网段 192.168.1.0/24 内 pc1 能访问 pc3,其它主机不能访问 pc3;
2、其它网段的流量都可以正常访问 pc3.
以上需求可以通过设置标准 IP 访问控制实现。
在路由器 R1 上配置访问控制列表:
方案 1 :
R1(config)#access-list 1 permit 192.168.1.2 0.0.0.0 #配置访问列表
R1(config)#interface gigabitEthernet 0/0
R1(config-if)#
R1(config-if)#ip access-group 1 ?
in inbound packets
out outbound packets
R1(config-if)#ip access-group 1 in #将访问列表应用到 R1 的端口 gi0/0 上
R1(config-if)#exit
方案 2:
配置 access-list(以下顺序很重要):
R1(config)#access-list 1 permit host 192.168.1.2
R1(config)#access-list 1 deny 192.168.1.0 0.0.0.255
R1(config)#access-list 1 permit any
R1(config)#
将 acl 规则应用于接口 serial 0/3/0
R1(config)#interface serial 0/3/0
R1(config-if)#ip access-group 1 in
R1(config-if)#exit
查看访问控制列表信息:
R1#sho access-lists
Standard IP access list 1
10 permit host 192.168.1.2 (4 match(es))
20 deny 192.168.1.0 0.0.0.255 (4 match(es))
30 permit any (8 match(es))
R1#
以上配置完成后,通过各 pc 间的互访来验证需求。pc1 将不能与 pc3 互访。
pc1 可以访问 pc3
pc4 不能访问 pc3
pc2 可以访问 pc3
pc4 不能访问 pc2(通过将接口 g0/0 下的 acl 去掉可以访问,R1(config-if)#no ip access-group
1 in)
附:
访问/接入控制列表(Access Control List, ACL) ,或称包过滤,一种基于路由器或交换机
接口的指令列表,用来控制端口进出的数据包,即入站(Inbound)或出站(Outbound)过
滤,其主要作用如下:
➢ 限制网络流量、提高网络性能
➢ 提供对通信流量的控制手段,提高带宽利用率
➢ 提供网络安全访问的基本手段
➢ 在路由器端口处决定哪种类型的通信流量被转发或被阻塞
ACL 适用于所有的网络层协议,如 IP、IPX 等协议,其中 IP ACL 应用极为普遍,主要
有两种类型:
➢ IP 标准 ACL,表号范围为 1 ~ 99 及 1300~1999,只能检查数据包的源地址,功能有较
大局限性;
➢ IP 扩展 ACL,表号范围为 100 ~ 199 及 2000~2699,不仅可检查数据包的源地址和目的
地址,还可根据指定的协议类型或端口号进行过滤,功能更强,应用非常广泛。
ACL 列表由一条条 ACL 语句组成,每一个 ACL 列表都有对应标号或名字,作为接口
引用 ACL 的索引,当一个分组经过路由器时,路由器将自顶而下逐个对分组信息与 ACL
语句进行比较,ACL 语句排列顺序至关重要:
前提:该接口启用了 ACL 及出入站规则,则将对出/入站的数据包进行比较;
➢ 若第一条语句匹配成功,则不再处理其他语句,路由器将允许(Permit)或拒绝(Deny)
分组通过;
➢ 若不匹配,则与下一条 ACL 语句比较,直到匹配成功并进行允许或拒绝处理;
➢ 若整个 ACL 列表中没有匹配的语句,则分组将默认被丢弃/拒绝;
根据 IP ACL 列表索引的不同,其配置命令格式可分为 access-list 和 ip access-list 两
种,前者只能用表号作为 ACL 标识符,后者可使表号或名字作为 ACL 标识符。使用名字可
不受取值范围的限制。
相关配置命令:
(1) IP 标准 ACL 命令:access-list 表号 {permit/deny} 源地址 反掩码
(2) IP 扩展 ACL 命令:access-list 表号 {permit/deny} 协议类型 源地址 反掩码 [源端
口限制] 目的地址 反掩码 [目的端口限制]
(3) 进入命名的 ACL 配置模式下:
ip access-list {standard/extended} {表号/表名}
Router(config-std-acl)#{permit/deny} 源地址 反掩码
Router(config-ext-acl)#{permit/deny} 协议类型 源地址 反掩码 [源端口限制] 目的
地址 反掩码 [目的端口限制]
(4) 出入站规则配置命令:ip access-group {表号/表名} {in/out}
access-list 与 ip access-list 的区别是:
access-list 用数字来定义 acl
ip access-list 用名字来定义 acl
使用规则:
当只需要根据数据包的源地址进行过滤时,采用标准 IP 访问列表。
如果需要根据更高级的规则实现过滤,则采用扩展型 IP 访问列表。
在创建通配符掩码的时候,二进制 0 表示匹配,二进制 1 表示不匹配。
在访问列表中,语句的次序是极其重要的。如果定义了 permit 那么其他没有匹配到 permit
的条目将全部 deny
661
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
