实验六 访问控制列表ACL配置.doc

实验六 访问控制列表ACL配置实验目的1、理解访问控制列表ACL的基本原理；2、掌握基本和高级访问控制列表的配置方法；实验要求1、掌握ACL的配置步骤，加深对访问控制列表的理解；2、掌握ACL配置后，对ACL配置进行检测的方法；实验内容1、基本ACL的配置，禁止相应IP地址的访问；2、高级ACL的配置，禁止相应协议的访问；3、观察基本ACL配置的前后变化；4、观察高级ACL配置的前后变化；实验实现一、ACL概述访问控制列表（Access Control List，ACL）是应用在路由器接口的指令列表，这些指令列表用来告诉路由器哪些数据包可以接收、哪些数据包需要拒绝。至于数据包是被接收还是拒绝，可以由类似于源地址、目的地址、端口号等的特定指示条件来决定。访问控制是网络安全防范和保护的主要策略，它的主要任务是保证网络资源不被非法使用和访问。它是保证网络安全最重要的核心策略之一。访问控制涉及的技术也比较广，包括入网访问控制、网络权限控制、目录级控制以及属性控制等多种手段。访问控制列表不但可以起到控制网络流量、流向的作用，而且在很大程度上起到保护网络设备、服务器的关键作用。作为外网进入企业内网的第一道关卡，路由器上的访问控制列表成为保护内网安全的有效手段。按照访问控制列表的用途可以分为四类： 基本的访问控制列表（basic acl） 高级的访问控制列表（advanced acl） 基于接口的访问控制列表（interface-based acl） 基于MAC的访问控制列表（mac-based acl）利用数字范围标识访问控制列表的种类：列表的种类数字标识的范围基于接口的访问控制列表 10001999基本的访问控制列表 20002999高级的访问控制列表 30003999基于MAC地址访问控制列表 40004999二、基本ACL配置图6.1 基本ACL配置示意图1. 禁IP（基本ACL配置）配置：RouterAacl number 2100 / 创建编号为2100的IPv4基本ACL，并进入IPv4基本ACL视图RouterA-acl-basic-2100rule 10 permit source 202.38.1.254 0.0.0.255 / 创建规则，允许源地址为202.38.1.254/24的报文RouterA-acl-basic-2100rule 11 deny source 192.168.4.11 0.0.0.255 / 创建规则，拒绝源地址为192.168.4.11/24的报文RouterA-acl-basic-2100quit RouterAinterface Ethernet 0/0 RouterA-Ethernet0/0firewall packet-filter 2100 outbound / 使用IPv4 ACL 2100对接口Ethernet0/0出方向上的报文进行过滤RouterA-Ethernet0/0firewall enable / 使能IPv4防火墙功能RouterA 注意：RouterA与RouterB之间必须有路由可达。2. 查看禁IP（基本ACL配置）配置效果：配置前：在Pc1上运行：ping 202.38.1.254ping 192.168.4.11图6.2图6.3配置后：在Pc1上运行：ping 202.38.1.254ping 192.168.4.11图6.4图6.5三、高级ACL配置图6.6 高级ACL配置示意图1. 禁协议（高级ACL配置）配置：RouterAacl number 3100 / 创建编号为3100的IPv4高级ACL，并进入IPv4高级ACL视图RouterA-acl-adv-3100rule 10 permit icmp source any destination 192.168.4.11 0.0.0.255 / 创建规则，允许ping 192.168.4.11操作RouterA-acl-adv-3100rule 11 deny tcp source any destination 192.168.4.11 0.0.0.255 destination-port eq 3389 / 创建规则，拒绝telnet 192.168.4.11操作RouterA-acl-adv-3100quit RouterAinterface Serial 0/0 RouterA-Serial0/0firewall packet-filter 3100 outbound / 使用IPv4 ACL 3100对接口Serial0/0出方向上的报文进行过滤RouterA-Serial0/0firewall enable / 使能IPv4防火墙功能RouterA 2. 查看禁协议（高级ACL配置）配置效果：配置前：在Pc1上运行：ping 192.168.4.11图6.7在Pc1上运行：telnet 192.168.4.11“开始”“所有程序”“附件”“远程桌面连接”图6.8可以正确登陆到远程计算机上。配置后：在Pc1上运行：ping 192.168.4.11图6.9在Pc1上运行：telnet 192.168.4.11“开始”“所有程序”“附件”“远程桌面连接”图6.10注意： 在配置之前进行“远程桌面连接”时可能会出现“无法连接到远程计算机”的提示，这时，应进行如下设置：（1）对被连接的计算机（本例中的Pc3），更改其“