第13课 标准IP访问控制列表配置.doc

第13课：标准IP访问控制列表配置 注意：入栈端口和出栈端口实验目标 理解标准IP访问控制列表的原理及功能； 掌握编号的标准IP访问控制列表的配置方法；实验背景 你是公司的网络管理员，公司的经理部、财务部门和销售部分别属于不同的3个网段，三部门之间用路由器进行信息传递，为了安全起见，公司领导要求销售部门不能对财务部进行访问，但经理部可以对财务部进行访问。 PC1代表经理部的主机、PC2代表销售部的主机、PC3代表财务部的主机。技术原理 ACLs 的全称为接入控制列表(Access Control Lists)，也称为访问列表（Access Lists），俗称为防火墙，在有的文档中还称之为包过滤。ACLs 通过定义一些规则对网络设备接口上的数据报文进行控制：允许通过或丢弃，从而提高网络可管理性和安全性； IP ACL分为两种：标准IP访问列表和扩展IP访问列表，编号范围分别为199、13001999；100199、20002699； 标准IP访问列表可以根据数据包的源IP地址定义规则，进行数据包的过滤； 扩展IP访问列表可以根据数据包的源IP、目的IP、源端口、目的端口、协议来定义规则，进行数据包的过滤； IP ACL 基于接口进行规则的应用，分为：入栈应用和出栈应用；实验步骤 新建packet tracer 拓扑图（如图）（1）路由器之间通过V.35电缆通过串口连接，DCE端连接在R1上，配置其时钟频率64000 ；主机与路由器通过交叉线连接。（2）配置路由器接口IP地址。（3）在路由器上配置静态路由协议，让三台pc能相互ping通，因为只有在互通的前提下才能涉及到访问控制列表。（4）在R1上配置编号的IP标准访问控制列表。（5）将标准IP访问列表应用到接口上。（6）验证主机之间的互通性。配置过程：第一步：首先配置三台PC的IP： 主机0的IP为172.16.1.2 255.255.255.0 172.16.1.1 主机1的IP为172.16.2.2 255.255.255.0 172.16.2.1 主机2的IP为172.16.4.2 255.255.255.0 172.16.4.1路由器R1设置：Routerenable Router#configure terminal Router(config)#hostname R1R0(config)#int fa 0/0R0(config-if)#ip add 172.16.1.1 255.255.255.0R0(config-if)#no shutdown R0(config-if)#int fa 1/0R0(config-if)#ip add 172.16.2.1 255.255.255.0R0(config-if)#no shutdown R0(config-if)#int s 2/0R0(config-if)#ip add 172.16.3.1 255.255.255.0R0(config-if)#no shutdown R0(config-if)#clock rate 64000路由器R2设置：Routerenable Router#configure terminal Router(config)#hostname R2R1(config)#int s 2/0R1(config-if)#ip address 172.16.3.2 255.255.255.0R1(config-if)#no shutdown R1(config-if)#int fa 0/0R1(config-if)#ip address 172.16.4.1 255.255.255.0R1(config-if)#no shutdown 第二步：接下来配置路由表，通过静态路由实现继续路由器R1设置：R0(config-if)#exit R0(config)#ip route 172.16.4.0 255.255.255.0 172.16.3.2 设置静态路由 继续路由器R2设置：R1(config-if)#exit R1(config)#ip route 0.0.0.0 0.0.0.0 172.16.3.1 设置缺省路由，下一跳的那个路由器上接了两个网段，因都要到达不好设置目标网络。R1(config)#end 测试：三台PC互通现在第三步：在R1上配置基本访问控制列表（要求配置，主机1能访问主机3；主机2不能访问主机3）创建基本访问控制列表有两种方式，一种通过命名的方式来创建，另一种通过编号的方式来创建。在这里采用命名的方式来创建。R1enR1#configure terminal R1(config)#ip access-list standard mm (创建基本访问控制列表standard，名字为mm)R1(config-std-nacl)# 进入访问控制列表模式/R1(config-std-nacl)#permit ? 允许 /A.B.C.D Address to match 允许某一个网段？ / any Any source host 允许任何的地址？ / host A single host address 允许某一个主机？R1(config-std-nacl)#permit 172.16.1.0 0.0.0.255 (允许172.16.1.0网段)R1(config-std-nacl)#deny 172.16.2.0 0.0.0.255 (在这里这条可以不写，默认写完上面那一条以后，默认只让上面那条通过)R1(config-std-nacl)#end 注释：1、访问控制列表的网络掩码是反掩码；R1#configure terminal 2、标准控制列表应用要尽量靠近目的地址的接口R1(config)#int serial 2/0 （配置完访问控制列表后，需要在某个端口上应用一下。这里在出口端口上应用）R1(config-if)#ip acce