标准ACL的配置.ppt

1、实训8.1 标准ACL的配置,理论基础,第一部分,ACL概念,访问控制列表（Access Control List ，简称ACL）既是控制网络通信流量的手段，也是网络安全策略的一个组成部分 ACL的两种执行方式 一种方式是接受在ACL列表中指定的主机和网络的访问，其它主机和网络都被拒绝 另一种方式是拒绝在ACL列表中指定的主机和网络的访问，其它主机和网络都被拒绝。,ACL概念,ACL的工作原理 每一个ACL列表可以由一条或若干条指令组成，对于任一个被检查的数据包，依次用每一指令进行匹配，一旦获得匹配，则后续的指令将被忽略,ACL概念,ACL的标识 路由器为不同的网络协议定义不同的ACL列表。为

2、了标识与不同的网络协议对应的ACL，可以采用数字标识的方式。在使用ACL数字标识时，必须为每一协议的访问控制列表分配唯一的数字，并保证该数字值在所规定的范围内,ACL概念,通配掩码 为了更好地描述和界定数据包过滤条件，ACL使用了通配掩码（Wildcard Mask） 通配掩码在形式上与子网掩码类似，也是由四个“八位组”组成的32位二进制数，并且也与IP地址配套使用。 但是通配掩码与子网掩码的作用完全不同，在通配掩码中，二进制的“0”表示要检查IP地址中的相应比特位并要求其与模板地址中的相应位匹配；而二进制的“1”则表示不考虑IP地址中的相应比特位,标准ACL,标准ACL 的概念与作用 标准A

3、CL是指基于数据包中的源IP地址进行简单的包过滤的访问控制列表，其通过检查数据包的源地址，来确定是允许还是拒绝基于网络、子网络或主机IP地址的某一协议簇通过路由器的接口,标准ACL列表的定义,命令格式如下 Router(config)# access-list access-list-number deny | permitsource source-wildcard log,标准ACL列表的接口配置,Router(config-if)#ip access-group access-list-number in | out,实训环境,实训环境,每一实验小组采用如图8.3的网络环境 需两台路由器

4、、两台台带windows 2000/xp/2003操作系统，超级终端仿真软件的PC机 路由器之间以串行链路连接,其中Router_A充当DCE，Router_B充当DTE 充当超级终端的计算机以反接线（rollover cable）连接路由器的控制端口,配置,第二部分,准备,按下列要求配置IP地址： 路由器接口IP地址： Router_A: F0/0为192.8.15.1 F0/1为198.15.6.1 Router_B: F0/0为200.7.20.1 另外，配置主机： 在网络200.7.20.0中配置一台IP地址为200.7.20.2的主机 配置路由协议,允许或拒绝来自某一特定主机的访问,

5、实例：拒绝从主机192.8.15.2来的数据包到达网络202.7.20.0 选择路由器B Router_B(config)# access-list 55 deny host 192.8.15.2 Router_B (config)# access-list permit any Router_B (config)# interface f0/0 Router_B (config-if)# ip access-group 55 out 利用PING命令或其他你认为可行的方法测试所设置的ACL是否与需求一致,允许或拒绝来自某一特定主机的访问,实例：除来自主机192.8.15.2的数据包外，拒绝所

6、有的其他数据包到达网络202.7.20.0 选择路由器B Router_B (config)# access-list 56 permit host 192.8.15.2 Router_B (config)# access-list 56 deny any Router_B (config)# interface f0/0 Router_B (config-if)# ip access-group 56 out 利用PING命令或其他你认为可行的方法测试所设置的ACL是否与需求一致,允许或拒绝来自某一网络或子网络的访问,实例：拒绝所有从网络198.15.6.0来的数据包到达网络202.7.20

7、.0 选择路由器B配置 Router_B (config)# access-list 57 deny 198.15.6.0 0.0.0.255 Router_B (config)# access-list permit any（请思考为何加上此命令?） Router_B (config)# interface f0/0 Router_B (config-if)# ip access-group 57 out 利用PING命令或其他你认为可行的方法测试所设置的ACL是否与需求一致,利用命名ACL,实例：拒绝从主机192.8.15.2来的数据包到达网络202.7.20.0 选择路由器B： Router_B (config)# ip access-list standard zxy Router_B (config-std-nacl)# deny host192.8.15.2 Router_B (con