实验十二访问控制列表实验报告.doc

实验十二 访问控制列表一、试验目的1.熟悉路由器的标准访问控制列表配置方法2.了解路由器的扩展访问控制列表配置方法二、相关知识访问控制列表（Access Control List ，简称ACL）既是控制网络通信流量的手段，也是网络安全策略的一个组成部分。每一个ACL列表可以由一条或若干条指令组成，对于任一个被检查的数据包，依次用每一指令进行匹配， 一旦获得匹配，则后续的指令将被忽略。路由器为不同的网络协议定义不同的ACL列表。为了标识与不同的网络协议对应的ACL，可以采用数字标识的方式。在使用ACL数字标识时，必须为每一协议的访问控制列表分配唯一的数字，并保证该数字值在所规定的范围内。 标准IP协议的ACL取值范围：1-99；扩展IP协议的ACL取值范围：100-199。 1标准ACL的相关知识标准ACL是指基于数据包中的源IP地址进行简单的包过滤的访问控制列表，其通过检查数据包的源地址，来确定是允许还是拒绝基于网络、子网络或主机IP地址的某一协议簇通过路由器的接口。（1）标准ACL列表的定义 Router(config)# access-list access-list-number deny | permit source source-wildcard log Access-list-num:ACL号（1-99）Deny:若测试条件成立，则拒绝相应的数据包Permit:若测试条件成立，则接受相应的数据包Source:源IP地址（网络或主机均可）Source-wildcard:与源IP地址配合使用的通配掩码Log:是否就ACL事件生成日志（2）标准ACL列表的接口配置Router(config-if)#ip access-group access-list-number in | out 此命令用于将已经定义的标准ACL列表应用于相应的路由器端口。in:指定相应的ACL被用于对从该接口进入的数据包进行处理。out:指定相应的ACL被用于对从该接口流出的数据包进行处理。注：在路由器的每一个端口，对每个协议、在每个方向上只能指定一个ACL列表2扩展ACL的相关知识扩展ACL是对标准ACL功能上的扩展，其不仅可以基于源和目标IP地址数据包的测试，还可基于协议类型和TCP端口号进行数据包的测试，从而较标准的ACL提供了更强大的包过滤功能和设置上的灵活性 扩展ACL通常用于下列情况l指定源和目标地址的包过滤l指定协议类型的包过滤l指定传输层端口号的包过滤（1）扩展ACL列表的定义Router(config)#access-list access-list-number permit | deny protocol source source-mask destination destination-mask operator operand established precedence priority tos type of service参数含义： access-list-number：ACL表号（100-199）protocol：指定协议，如IP、TCP、UDP等source /destination：源/目的IP地址（网络或主机也可以）source /destination-mask:与上述IP地址配合使用的通配掩码operator：表示关系如lt小于、gt大于、eq相等、neq不相等operand：端口号，如80、21等established：若数据包使用一个已建立连接，则允许TCP通信通过Priority：设置数据包的优先级0-7type of service：设定服务类型0-15（2）扩展ACL列表的接口配置 Router(config-if)#ip access-group access-list-number in | out参数含义同标准ACL定义三、实验内容1、实验拓扑2、地址规划如下：u Router_A: f0/0为10.1.1.1/24 f0/1为20.1.1.1/24u Router_B: f0/0为10.1.1.2/24 f0/1为30.1.1.1/24设备端口IP地址子网掩码网关PC0F10.1.1.2255.255.255.010.1.1.1PC1F10.1.1.3255.255.255.010.1.1.1PC2F10.1.2.2255.255.255.010.1.2.1PC3F10.1.2.3255.255.255.010.1.2.13、RouteA的配置：4、RouteB的配置： 5、在路由器A上配置标准ACL：拒绝PC3来的数据包到达左边的网络，验证： 6、在路由器A上配置标准ACL：拒绝PC1与外网的通信，而PC2可以验证如：四、实验中遇到的问题及方案： 在这个试验中，一开始