《标准ACL的配置》PPT课件.ppt

实训8.1 标准ACL的配置 理论基础 第一部分 ACL概念 访问控制列表（Access Control List ，简称 ACL）既是控制网络通信流量的手段，也是网络 安全策略的一个组成部分 ACL的两种执行方式 一种方式是接受在ACL列表中指定的主机和网络的 访问，其它主机和网络都被拒绝 另一种方式是拒绝在ACL列表中指定的主机和网络 的访问，其它主机和网络都被拒绝。 ACL概念 oACL的工作原理 n每一个ACL列表可以由一条或若干条指令组成 ，对于任一个被检查的数据包，依次用每一指 令进行匹配，一旦获得匹配，则后续的指令将 被忽略 ACL概念 oACL的标识 n路由器为不同的网络协议定义不同的ACL列表 。为了标识与不同的网络协议对应的ACL，可 以采用数字标识的方式。在使用ACL数字标识 时，必须为每一协议的访问控制列表分配唯一 的数字，并保证该数字值在所规定的范围内 ACL概念 o通配掩码 n为了更好地描述和界定数据包过滤条件，ACL使用了通配 掩码（Wildcard Mask） n通配掩码在形式上与子网掩码类似，也是由四个“八位组” 组成的32位二进制数，并且也与IP地址配套使用。 n但是通配掩码与子网掩码的作用完全不同，在通配掩码中 ，二进制的“0”表示要检查IP地址中的相应比特位并要求 其与模板地址中的相应位匹配；而二进制的“1”则表示不 考虑IP地址中的相应比特位 标准ACL o标准ACL 的概念与作用 n标准ACL是指基于数据包中的源IP地址进行简 单的包过滤的访问控制列表，其通过检查数据 包的源地址，来确定是允许还是拒绝基于网络 、子网络或主机IP地址的某一协议簇通过路由 器的接口 标准ACL列表的定义 o命令格式如下 nRouter(config)# access-list access-list -number ndeny | permitsource source- wildcard log 标准ACL列表的接口配置 oRouter(config-if)#ip access-group access-list-number in | out 实训环境 实训环境 o每一实验小组采用如图8.3的网络环境 o需两台路由器、两台台带windows 2000/xp/2003操作系统，超级终端仿真软 件的PC机 o路由器之间以串行链路连接,其中Router_A 充当DCE，Router_B充当DTE o充当超级终端的计算机以反接线（rollover cable）连接路由器的控制端口 配置 第二部分 准备 按下列要求配置IP地址： o路由器接口IP地址： oRouter_A: F0/0为192.8.15.1 F0/1为 198.15.6.1 oRouter_B: F0/0为200.7.20.1 另外，配置主机： o在网络200.7.20.0中配置一台IP地址为 200.7.20.2的主机 配置路由协议 允许或拒绝来自某一特定主机的访问 o实例：拒绝从主机192.8.15.2来的数据包到达网 络202.7.20.0 n选择路由器B nRouter_B(config)# access-list 55 deny host 192.8.15.2 nRouter_B (config)# access-list permit any nRouter_B (config)# interface f0/0 nRouter_B (config-if)# ip access-group 55 out n利用PING命令或其他你认为可行的方法测试所设置的 ACL是否与需求一致 允许或拒绝来自某一特定主机的 访问 o实例：除来自主机192.8.15.2的数据包外，拒绝 所有的其他数据包到达网络202.7.20.0 n选择路由器B nRouter_B (config)# access-list 56 permit host 192.8.15.2 nRouter_B (config)# access-list 56 deny any nRouter_B (config)# interface f0/0 nRouter_B (config-if)# ip access-group 56 out n利用PING命令或其他你认为可行的方法测试所设置的 ACL是否与需求一致 允许或拒绝来自某一网络或子网络的 访问 o实例：拒绝所有从网络198.15.6.0来的数据包到 达网络202.7.20.0 n选择路由器B配置 nRouter_B (config)# access-list 57 deny 198.15.6.0 0.0.0.255 nRouter_B (config)# access-list permit any（请 思考为何加上此命令?） nRouter_B (config)# interface f0/0 nRouter_B (config-if)# ip access-group 57 out n利用PING命令或其他你认为可行的方法测试所设置的 ACL是否与需求一致 利用命名ACL o实例：拒绝从主机192.8.15.2来的数据包到达网 络202.7.20.0 n选择路由器B： nRouter_B (config)# ip access-list standard zxy nRouter_B (config-std-nacl)# deny host192.8.15.2 nRouter_B (c