验报告
<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />
指导老师:
姚育生
实验者:
樊申申
时间:
2010
-
1
-
24
实验项目:ACCESS访问控制列表
|
实验目的:掌握ACCESS标准和扩展列表的使用
|
设备需求、组网拓扑、
IP
数据:
|
实验项目:
1、拒绝R1的1网段访问R3的5网段,其它均能正常访问
2、拒绝R1的1网段访问R3的5网段的HTTP服务器
|
一:下面来介绍一下ACCESS访问控制列表
标准ACL:
•
如果想允许或者禁止来自于某各个网络的所有数据流,可以使用标准ACL。标准ACL检查数据报的源地址。即根据地址中的网络,子网和主机位,来允许或者拒绝来自于整套协议的数据报。
•
例如,来自于E0端口的数据报,将检查它的源地址和协议,如果被允许,将输出到S0端口。如果被禁止,数据报将被丢弃。
•
标准ACL的配置
•
使用标准版本的access-list全局配置命令来定义一个带有数字的标准ACL。这个命令用在全局配置模式下。
Router(config)# access-list
access_list_number
{deny|permit} source [
source-wildcard
] [log]
•
使用这个命令的no形式,可以删除一个标准ACL。语法是:
Router(config)# no access-list
access_list_number
扩展ACL :
•
扩展ACL提供了比标准ACL更大范围的控制,因而运用更广。例如,可以使用扩展ACL来实现允许Web数据流,而禁止FTP或Telnet。
•
扩展ACL可以检查源地址和目标地址,特定的协议,端口号,以及其它的参数。一个数据报,可以根据它的源或者目标地址,而被允许或者禁止。例如,扩展ACL可以允许来自于E0而到S0的e-mail数据,而禁止远程登录或者文件传输。
•
假设端口E0与一个扩展ACL相关联。可以使用精确的逻辑指令,来创建ACL。在一个数据报进入这个端口前,相应的ACL将对其进行检查。
•
基于扩展ACL检查,数据报将被允许或禁止。对于进入端口的数据,允许的数据报将被继续处理。对于发出端口的数据,允许的数据报将被转发到端口。拒绝的数据报将被丢弃,某些协议还会向发端发送数据报,说明目标不可到达。
•
一个ACL中可以包含任意多条指令。每一条指令,应该具有相同的标识名或者数字。ACL中的指令越多,就越难理解和管理。所以,为ACL做好文档可以防止混淆。
扩展ACL配置:
•
完全形式的access-list命令为:
Router(config)# access-list
access_list_number
{permit|deny}
protocol
source [
source_mask
destination
destination_mask operator operand
[established]
•
命令"ip access-group"将一个存在的扩展ACL和一个端口关联。记住:一个端口的一个方向的某套协议,只允许存在一个ACL。
Router(config-if)# {
protocol}
access-group
access_list_number
{in|out}
实站标准和扩展ACL配置:
实站1,标准ACL配置,目的拒绝R1的1网段访问R3的5网段,其它均能正常访问
配置各个路由接口IP:
R1:F0/0
R1:S0/0/0
R2:F0/0
R2:S0/0/0
R2:S0/0/1
R3:F0/0
R3:S0/0/0
好接口IP配置完成以后,为了跨网段通信下面我们来配置RIP
R1
R2
R3
好RIP配置完成,下面我们来查看一下路由表
R1
R2
R3
下面进行测试一下用PC机
PC1
PC2
又完成了一项,下面我们来配置ACL的标准控制列表。
在这里ACL标准控制列表的配置为什么要在R3上配置呢?
因为标准ACL尽可能靠近目标,记住这一句话。
R3(CONFIG)#Access-list 10 deny 192.168.1.0 0.0.0.255
这里的10表示的是一个序号,标准ACL的序号在1-99之间,DENY是关闭,关闭什么呢?,关闭源网络号为192.168.1.0的网段来访问我们的5.0网段(下面把这张ACL表应用在在.0也就是F0/0接口上),0.0.0.255是192.168.1.0网段的通配符。
R3(CONFIG)#ACCESS-LIST 10 PERMIT ANY
序列同上一条一样,PERMIT是允许的意思,允许什么呢?ANY表示所有的意思。
R3(CONFIG)#INTERFACE F0/0 ,为什么是F0/0?引用上一句话
标准ACL尽可能靠近目标
。
好下面一句
R3(CONFIG-if)#IP ACCESS-GROUP 10 OUT
序号同上,OUT出,表示当1.0网段数据到达4.0段的时候,路由器会把这个数据包送出到5.0段,送出就是OUT。
配置完成以后我们来查看一下ACL列表
查看接口信信息
第九行表示的是
出站的ACL控制列表为10。
第十行为IN没有对进入数据包进行控制。
下面我们来用PC机进行测试
PC1
PC1是PING 不通的,下面看一下PC2
已经达到我们的第一个要求了。
下面我们来删除ACL控制列表
删除接口应用的列表和删除整个配置ACL表.
好标准的已配置完成,下面来进行我们的第二步,扩展ACL列表
二、
拒绝R1的1网段访问R3的5网段的HTTP服务器
具体配置如下
在这里为什么要在R1路由上配置呢,同样记住一句话
扩展ACL尽可能靠近源
既然是拒绝1.0网段的HTTP协议,那当然就是在F0/0口设置了。
这里的122是序号,扩展的序号范围是从100-199,HTTP是基于TCP协议的,所以所关闭的是TCP协议中的HTTP,下面是源网络号,目标网络号,EQ是标识,标识协议所用到的端口。
下面来查看一下ACL列表
好用PC机来测试一下
之前未配置扩展ACL列表之前的状态
之后的状态
PC2
到此完成
|
注意:在配置的时候一定不要把进站IN和出站OUT弄混了,否则所配置的列表不起认何作用。
|
|
|
转载于:https://blog.51cto.com/fwguan/269906