《计算机网络实验报告》实验五预习

1、实验五acl配置configuration of access control list实验学时：2实验类型：设计型前修课程名称：计算机网络适用专业：计算机科学与技术 专业、实验目的要求1、学生掌握路由访问控制列表配置方法；2、熟悉和掌握用访问控制列表控制ip通信、扩展ip访问列表（协议、端口）配置的方法。二、实验知识1、防火墙技术由于路由器工作在网络层，因此可以在网络层针对单个数据包进行访问。这种对于数据 包的访问控制技术一般被称为防火墙技术。实施防火墙技术的目的是为了保护内部网络免遭 非法数据包的侵害。防火墙一般布置在一个网络的边缘，用于控制进入网络的数据包的种 类。路由器的防火墙配置包扌

2、舌两方面的内容：一是定义对特定数据流的访问控制规则，即定 义访问控制列表（access control list, acl）；二是将特定的规则应用到具体的接口上，从而 过滤特定方向的数据流。通过网络层数据包过滤设置，可以限制网络流量、增强安全性。2、访问控制列表路由器为了过滤数据包，需要配置一系列的规则，以决定什么样的数据包能够通过，这 些规则就是通过访问控制列表定义的。acl是tl permit i deny语句组成的一系列有顺序的 规则列表，这些规则根据数据包的源地址、目的地址、端口号等来描述。acl通过这些规 则对数据包进行分类，并将这些规则应用到路由器的接口中。路由器根据这些规则来判断

3、哪 些数据可以接收，哪些数据包需要拒绝。访问列表分为两类：标准访问控制列表和扩展访问控制列表。3、标准访问列表：只对数据包中的源地址进行检査，在全局配置模式下进行设置。根据在 设备中定义列表的方式，可以将列表分为编号列表和命名列表两类a）编号法标准访问列表的格式为：access-list listnumber permit i deny address wildcard-mask此格式表示：允许或拒绝來自指定网络的数据包，该网络由ip地址（address）和掩码（屏蔽 码）指定。其屮listnumber为规则序号，标准访问控制列表的规则序号范i韦i为1-99o permit 和deny表示允许

4、或禁止满足该规则的数据包通过。address wildcard-mask分别为ip地址和掩码（屏蔽码）,指定某个网络。如果ip地址指定 为any,则表示所有ip地址，而且不需配置指定相应的掩码.注意：屏蔽码的定义与掩码不同，它也是一个点分十进制数表示的一个32位的二进制值， 其中为0的代表只有到来数据包的源地址对应位与列表的对应位一一匹配才认为到来数据 包是列表数据，需要进行控制；为1的位代表模糊处理，即不匹配也不影响列表对特征数据 的判断。列表的形成完全依赖于写入的先后顺序，先写入的自然在第一条，依次排列。列表对进 入的数据进行匹配查询时也是按照从上到下的顺序，一旦找到对应的列表项即退出列表

5、不再 往下继续查询。这时，如果定义列表时没有将小范i韦i源地址放在列表的前儿项，而是把整个 大范围的网络采取的动作写入了列表的前面，就会使设备形成错误的判断。例如，当设备需 要对a网段的a主机特殊照顾允许其通过检查，而对除a之外的主机进行限行处理时，列 表1和列表2将会产生完全不同的结果。列表 1 定义：access-list 1 permit a 55.access-list 1 deny a a网段的网络掩码列表2定义：access-list 1 deny a a网段的网络掩码access-list 1 permit a 55这时,由于a

6、包含了 a,所以当a数据到达设备进行 检查时，如果在列表2的作用下，a会因为己经匹配了此列表的第一个列表项而退岀列表， 不再进行下而的列表 项查询，因此列表2将无法达到a主机的特权设置。列表1则可以实 现此目的。基于神州数码dcr-2626路由器的标准访问列表配置命令：router#c onflgrouter_config#ip access-list standard 1 定义标准的访问控制列表router_config_std_nacl#deny / 基 于 源 地址router_config_std_nacl#permitany因为有隐含的

7、 deny anyb）命名法由于数值表示的访问控制列表在列表进行改动吋无法将其中的某条删除,这样当我们需 要对访问列表的某条进行更改时，只能先将整个列表一同删除，再一条一条将修改后的写入。 而且数值表示的列表很不直观，一段时间之后，网管员也容易忘记当时配置访问列表的fi的 为何了，因此，在设备实现中可以采用另外一种方式配置这 就是命名的访问控制列表。命名的列表配置分两步骤进行：一是创建一个列表并进入到列表配置模式：二是在独 立的模式中配置具体列表项。整个过程如下所示：router_congfig#ip access-list standard for test router_congfigas

8、td_nac 1 #/定义了一个标准的访问控制列表，其名字为fojtest.并进入到这个列表配置模式。router_congfig_std_nac 1 ttpermit 定义这个列表的第一个列表项允许了 为源地址的所有数据包通过。命名的列表与编号的列表本质上是一致的，只是在具体的操作环节有一点差异。命名的 方法使得对列表的修改显得稍微灵活一些。可以独立删除某一个列表项。不必删除全部的。 但无论是编号的还是命名的访问控制列表，都不能对列表项进行修改覆盖，而只能添加，并 且它们也只能将新的列表项添加在已有列表的最后（默认隐含的deny所有的前

9、面），不能插 入，所以当删除了命名列表的某项z后，新添加的列表项是出于整个列表的最末位置的。4、扩展访问列表：需要对数据包的源地址、目的地址、协议和端口号都进行检查.扩展标 准访问列表的格式为：access-list istnumber permit i deny protocol source source-wildcard-mask destination desti natio n-wildcard-mask operator operand此格式表示允许或拒绝满足如下条件的数据包通过：带有指定的协议，如tcp、udp>icmp等;数据包来口 rtl source和source-w

10、ildcard-mask指定的网络；数据包去往 destination 和 destination-wildcard-mask 指定的网络:该数据包的目的端口由operator operand规定的端口范围之内；其中：listnumber为规则序号，扩展访问控制列表的规则序号范围为100-199%permit和deny表示允许或禁止满足该规则的数据包通过。protocol可以指定为0255之间的任一协议号（如1表示icmp协议），对于常见协议（如 ip、tcp和udp）,可以直观地指定协议名，若指定为ip,则该规则对所有ip包均起作用。source 和 source-wildcard-mask

11、 以及 destination 和 destinationwhdcard-mask 之间的关 系参见标准访问列表屮相关内容。如果ip地址指定为any,则表示所有ip地址.而且不需配 置指定相应的掩码。掩码缺省为55o operand用于指定端口范围，缺省为全部 端口号0-65535,只有tcp和udp协议需要指定端口范围。支持的操作符及其语法如下： eq protnumber： 等于端口号 protnumber gt portnumber：大于 protnumberit portnumber：小于 protnumber neq portnumber：不等于 protn

12、umber range portnumberl portnuinber2：介于端口号 portnumbcrl 和 portnumbef2 之间在扌旨定 portnumber时，对于用相应的助记符来代替其实际数字。扩展访问列表的例子：access-list 100 deny udp any any eq rip表示禁止接收和发送rip 报文。acccss-list loopcrmil tcp eq www 表示 规则序号为100.允许从129.8.0.网段的主机向网段的主机发

13、送www报文。 accesjist 100 deny tcp eq www 表示规则序 号为100,禁止从网段的主机建立与网段内的主机的www端口 (80) 的连接。access-list 101 deny tcp any 55 eq telnet 表示规则序号为 101, 禁止一切主机建立与ip地址为的主机的telnet(23)的连接。access-list 102 deny u

14、dp gt 128 表示规则 序号为10乙禁止从网段内的主机建立与网段内的主机的端口大于128 的udp (用户数据报协议)的连接。用户通过添加适当的访问规则，就可以利用包过滤来对通过路由器的ip包进行 检查, 从而过滤掉用户不希望通过路由器的包，起到网络安全的作用。基于神州数码dcr-2626路由器的扩展访问列表配置router#c onfigrouter_config#ip access-list extended 101 定义扩展访问列表rout

15、er_config_ext_nac 1 #deny icmp 292.168八.2 55 eq 23 设置扩展访问列表，拒绝telnetrouter_config_ext_nac 1 #permit icmp any any /允许 ping5、删除访问列表no ip access-list extend/standard listnumber6、在接口上应用访问列表ip access-group listnumber in/指定接口上过滤接收报文 no ip access-group listnumber in 取

16、消接口上过滤接收报文 ip access-group listnumber out 指定接口上过滤发送报文 no ip access-group listnumber out /取消指定接口上过滤发送报文若对进入该接口的数据包进行检查，选择in,若对该接口送出的数据包进行检查，选 择out.当使用标准访问控制列表实施安全策略时，为了满足灵活应用的需要'往往将标准访 问控制列表应用在距离特征数据目的较近的端口处进行出口检测。实施扩展访问控制列表的时候，在所有应用选杼都可以满足基本要求的前提选抒距离 源地址较近的端口进行入口控制。对于标准访问列表配置：routcr_config#inter

17、face ffo/1 进入到离目标最近的接口router_config0/l#ip access-group 1 out 绑定 acl1 在出的方向 对于扩展访问列表配置：router_config#inlerface （0/1 进入到离源比较近的接口router config fd/1 #ip access-group 101 in /绑定 acl101 在 in 的方向7、显示包过滤规则routera show ip acces»-list 101三、实验内容一 i、简单组网，配置各路由器的路由选择协议，实现整个拓扑的ip连通性，在此基础上进行标准、扩展1p访问控制列表的配置和监测；2、测试访问控制功能。预习要求：预习访问控制列表的概念和分类-四、实验设备pc机、路由器，console专用电缆线（或反序电缆），用于pc机串口的rj45到db-9的接口