《网络互联技术》课程实验报告
实验名称标准的访问控制列表实验序号 3
姓名高胜系院专业网络工程班级08网络1
班
学号0810322123
实验日期指导教师李红成绩
二、实验内容与要求
理解什么是访问控制列表
?了解访问控制列表的功能
?掌握ACL工作原理及规则
?掌握如何配置标准访问控制列表
三、实验设备
模拟软件:Cisco PacketTracer53_setup_no_tutorials
设备:路由器两台,PC机若干,交叉线若干
四、实验拓扑图
五、实验步骤
步骤1.画出实验拓扑结构图。
步骤2. 按实验拓扑图连接设备。并对三台PC机进行IP设置。
步骤3.对路由器Router0进行基本配置(ip地址的配置和时钟配置)Router(config)#hostname Router0
Router0(config)#interface fastEthernet 0/0
Router0(config-if)#ip address 198.162.10.2 255.255.255.0
Router0(config-if)#no shutdown
Router0(config-if)#exit
Router0(config)#interface fastEthernet 0/1
Router0(config-if)#ip address 198.162.20.2 255.255.255.0
Router0(config-if)#no shutdown
Router0(config-if)#exit
Router0(config)#interface serial 0/1/0
Router0(config-if)#ip address 198.162.30.1 255.255.255.0
Router0(config-if)#clock rate 64000
Router0(config-if)#no shutdown
步骤4.对路由器Router1进行基本配置
Router(config)#hostname Router1
Router1(config)#interface fastEthernet 0/0
Router1(config-if)#ip address 198.162.40.1 255.255.255.0
Router1(config-if)#no shutdown
Router1(config-if)#exit
Router1(config)#interface serial 0/1/0
Router1(config-if)#ip address 198.162.30.2 255.255.255.0
Router1(config-if)#no shutdown
步骤5.在路由器Router0上开启RIP协议
Router0(config)#router rip
Router0(config-router)#version 2
Router0(config-router)#network 198.162.10.0
Router0(config-router)#network 198.162.20.0
Router0(config-router)#network 198.162.30.0
Router0(config-router)#no auto-summary
步骤6.在路由器Router1上开启RIP协议
Router1(config)#router rip
Router1(config-router)#version 2
Router1(config-router)#network 198.162.30.0
Router1(config-router)#network 198.162.40.0
Router1(config-router)#no auto-summary
步骤7.查看路由器中的路由表,测试。
Router1#show ip route
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
* - candidate default, U - per-user static route, o - ODR
P - periodic downloaded static route
Gateway of last resort is not set
Router0#show ip route
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
* - candidate default, U - per-user static route, o - ODR
P - periodic downloaded static route
Gateway of last resort is not set
步骤8.测试网络是否通畅
经理部主机(198.162.10.1) ping 财务部主机(198.162.40.2)
同样的,销售部也能ping通财务部。
以上测试表明,网络是通畅的。
步骤9.配置标准IP访问控制列表,采用命名的标准ACL。
Router1(config)#ip access-list standard aa
Router1(config-std-nacl)#permit 198.162.10.0 0.0.0.255 !允许来自198.162.10.0网段的流量通过
Router1(config-std-nacl)#deny 198.162.20.0 0.0.0.255 ! 拒绝来自198.162.20.0网段的流量通过
Router1(config-std-nacl)#interface fa 0/0
!把访问控制列表在接口下应用。
Router1(config-if)#ip access-group aa out
!在接口下访问控制列表出栈流量调用
步骤10.查看ACL。
Router1#show ip access-lists aa
Standard IP access list aa
permit 198.162.10.0 0.0.0.255
deny 198.162.20.0 0.0.0.255
步骤11.验证配置。
网段(经理部)的主机能ping通198.162.40.0网段(财务部)的主机。
ACL的使用 ACL的处理过程: 1.它是判断语句,只有两种结果,要么是拒绝(deny),要么是允许(permit) 2.语句顺序 按照由上而下的顺序处理列表中的语句 3. 语句排序 处理时,不匹配规则就一直向下查找,一旦某条语句匹配,后续语句不再处理。 4.隐含拒绝 如果所有语句执行完毕没有匹配条目默认丢弃数据包,在控制列表的末尾有一条默认拒绝所有的语句,是隐藏的(deny) 要点: 1.ACL能执行两个操作:允许或拒绝。语句自上而下执行。一旦发现匹配,后续语句就不再进行处理---因此先后顺序很重要。如果没有找到匹配,ACL末尾不可见的隐含拒绝语句将丢弃分组。一个ACL应该至少有一条permit语句;否则所有流量都会丢弃,因为每个ACL末尾都有隐藏的隐含拒绝语句。 2.如果在语句结尾增加deny any的话可以看到拒绝记录 3.Cisco ACL有两种类型一种是标准另一种是扩展,使用方式习惯不同也有两种方式一种是编号方式,另一种是命名方式。 示例: 编号方式 标准的ACL使用1 ~ 99以及1300~1999之间的数字作为表号,扩展的ACL使用100 ~ 199以及2000~2699之间的数字作为表号 一、标准(标准ACL可以阻止来自某一网络的所有通信流量,或者允许来自某一特定网络的所有通信流量,或者拒绝某一协议簇(比如IP)的所有通信流量。) 允许172.17.31.222通过,其他主机禁止 Cisco-3750(config)#access-list 1(策略编号)(1-99、1300-1999)permit host 172.17.31.222 禁止172.17.31.222通过,其他主机允许 Cisco-3750(config)#access-list 1 deny host 172.17.31.222 Cisco-3750(config)#access-list 1 permit any 允许172.17.31.0/24通过,其他主机禁止 Cisco-3750(config)#access-list 1 permit 172.17.31.0 0.0.0.254(反码255.255.255.255减去子网掩码,如172.17.31.0/24的255.255.255.255—255.255.255.0=0.0.0.255) 禁止172.17.31.0/24通过,其他主机允许 Cisco-3750(config)#access-list 1 deny 172.17.31.0 0.0.0.254 Cisco-3750(config)#access-list 1 permit any 二、扩展(扩展ACL比标准ACL提供了更广泛的控制范围。例如,网络管理员如果希望做到“允许外来的Web通信流量通过,拒绝外来的FTP和Telnet等通信流量”,那么,他可以使用扩展ACL来达到目的,标准ACL不能控制这么精确。) 允许172.17.31.222访问任何主机80端口,其他主机禁止 Cisco-3750(config)#access-list 100 permit tcp host 172.17.31.222(源)any(目标)eq www
《网络互联技术》课程实验指导书 实验十一:标准访问控制列表配置 当网络管理员想要阻止某一网络的所有通信流量时,或者允许来自某一特定网络的所有通信流量时,或者想要拒绝某一协议簇的所有通信流量时,可以使用标准访问控制列表实现这一目标。 标准ACL检查可以过滤被路由的数据包的源地址、从而允许或拒绝基于网络、子网或主机IP地址的某一协议簇通过路由器出口。 一、网络拓朴 二、实验内容 1、在路由器的E 0/0口添加“ACL 访问控制列表6”并对转出(从路由器端口出来转向交换机或主机)的数据包进行过滤,实现功能:禁止将HostC、HostD的数据包通过路由器E 0/0 口转发到HostA、HostB。其结果是:(对于TCP数据包来说,访问是双向的,只要A不能访问B,则B也将不能访问A) ●HostA和HostB之间可以通信,但无法访问HostC、HostD。 ●HostC和HostD之间可以通信,但无法访问HostA、HostB。 2、在路由器的E 0/1口添加“ACL 访问控制列表10”并对转出(从路由器端口出来转向
交换机或主机)的数据包进行过滤,实现功能:禁止HostA、HostC访问Server E服务器。 由于标准ACL访问控制列表只能根据数据包的源地址来过滤通信流量,因此,应该将ACL 访问控制列表放置离目标地址最近的地方。 三、实验目的 1、掌握标准访问控制列表的原理 2、掌握标准访问控制列表的配置 四、实验设备 1、一台台思科(Cisco)3620路由器 2、两台思科(Cisco)2950二层交换机 3、思科(Cisco)专用控制端口连接电缆 4、四台安装有windows 98/xp/2000操作系统的主机 5、一台提供WWW服务的WEB服务器 6、若干直通网线与交叉网线 五、实验过程(需要将相关命令写入实验报告) 1、根据上述图示进行交换机、路由器、主机的连接 2、设置主机的IP地址、子网掩码和默认网关 3、配置路由器接口 Router> enable Router# configure terminal Router(config)# interface ethernet 0/0 Router(config-if)# ip address 192.168.1.1 255.255.255.0 Router(config-if)# no shutdown Router(config-if)# exit Router(config)# interface ethernet 0/1 Router(config-if)# ip address 192.168.3.1 255.255.255.0 Router(config-if)# no shutdown Router(config-if)# exit Router(config)# interface ethernet 0/2 Router(config-if)# ip address 192.168.2.1 255.255.255.0 Router(config-if)# no shutdown Router(config-if)#exit 4、配置访问控制列表6并将之添加到Ethernet 0/0接口的out方向上 Router(config)# access-list 6 deny 192.168.2.0 0.0.0.255 Router(config)# access-list 6 permit any
一、实验项目名称 访问控制列表ACL配置实验 二、实验目的 对路由器的访问控制列表ACL 进行配置。 三、实验设备 PC 3 台;Router-PT 3 台;交叉线;DCE 串口线;Server-PT 1 台; 四、实验步骤 标准IP访问控制列表配置: 新建Packet Tracer 拓扑图 (1)路由器之间通过V.35 电缆通过串口连接,DCE 端连接在R1 上,配置其时钟频率64000;主机与路由器通过交叉线连接。 (2)配置路由器接口IP 地址。 (3)在路由器上配置静态路由协议,让三台PC 能够相互Ping 通,因为只有在互通的前提下才涉及到方控制列表。 (4)在R1 上编号的IP 标准访问控制。 (5)将标准IP 访问控制应用到接口上。 (6)验证主机之间的互通性。 扩展IP访问控制列表配置: 新建Packet Tracer 拓扑图 (1)分公司出口路由器与外路由器之间通过V.35 电缆串口连接,DCE 端连接在R2 上,配置其时钟频率64000;主机与路由器通过交叉线连接。 (2)配置PC 机、服务器及路由器接口IP 地址。 (3)在各路由器上配置静态路由协议,让PC 间能相互ping 通,因为只有在互通的前提下才涉及到访问控制列表。 (4)在R2 上配置编号的IP 扩展访问控制列表。 (5)将扩展IP 访问列表应用到接口上。 (6)验证主机之间的互通性。 五、实验结果 标准IP访问控制列表配置: PC0: PC1:
PC2:
PC1ping:
PC0ping: PC1ping: 扩展IP 访问控制列表配置:PC0: Server0:
ACL(Access Control List,访问控制列表) 技术从来都是一把双刃剑,网络应用与互联网的普及在大幅提高企业的生产经营效率的同时,也带来了诸如数据的安全性,员工利用互联网做与工作不相干事等负面影响。如何将一个网络有效的管理起来,尽可能的降低网络所带来的负面影响就成了摆在网络管理员面前的一个重要课题。 A公司的某位可怜的网管目前就面临了一堆这样的问题。A公司建设了一个企业网,并通过一台路由器接入到互联网。在网络核心使用一台基于IOS的多层交换机,所有的二层交换机也为可管理的基于IOS的交换机,在公司内部使用了VLAN技术,按照功能的不同分为了6个VLAN。分别是网络设备与网管(VLAN1,10.1.1.0/24)、内部服务器(VLAN2)、Internet 连接(VLAN3)、财务部(VLAN4)、市场部(VLAN5)、研发部门(VLAN6),出口路由器上Fa0 /0接公司内部网,通过s0/0连接到Internet。每个网段的三层设备(也就是客户机上的缺省网关)地址都从高位向下分配,所有的其它节点地址均从低位向上分配。该网络的拓朴如下图所示: 自从网络建成后麻烦就一直没断过,一会儿有人试图登录网络设备要捣乱;一会儿领导又在抱怨说互联网开通后,员工成天就知道泡网;一会儿财务的人又说研发部门的员工看了不该看的数据。这些抱怨都找这位可怜的网管,搞得他头都大了。那有什么办法能够解决这些问题呢?答案就是使用网络层的访问限制控制技术――访问控制列表(下文简称ACL)。 那么,什么是ACL呢?ACL是种什么样的技术,它能做什么,又存在一些什么样的局限性呢? ACL的基本原理、功能与局限性 网络中常说的ACL是Cisco IOS所提供的一种访问控制技术,初期仅在路由器上支持,近些年来已经扩展到三层交换机,部分最新的二层交换机如2950之类也开始提供ACL的支持。只不过支持的特性不是那么完善而已。在其它厂商的路由器或多层交换机上也提供类似的技术,不过名称和配置方式都可能有细微的差别。本文所有的配置实例均基于Cisco IOS 的ACL进行编写。 基本原理:ACL使用包过滤技术,在路由器上读取第三层及第四层包头中的信息如源地址、目的地址、源端口、目的端口等,根据预先定义好的规则对包进行过滤,从而达到访问控制的目的。 功能:网络中的节点资源节点和用户节点两大类,其中资源节点提供服务或数据,用户节点访问资源节点所提供的服务与数据。ACL的主要功能就是一方面保护资源节点,阻止非法用户对资源节点的访问,另一方面限制特定的用户节点所能具备的访问权限。 配置ACL的基本原则:在实施ACL的过程中,应当遵循如下两个基本原则: u 最小特权原则:只给受控对象完成任务所必须的最小的权限 u 最靠近受控对象原则:所有的网络层访问权限控制 局限性:由于ACL是使用包过滤技术来实现的,过滤的依据又仅仅只是第三层和第四层包头中的部分信息,这种技术具有一些固有的局限性,如无法识别到具体的人,无法识别到应用内部的权限级别等。因此,要达到end to end的权限控制目的,需要和系统级及应用级的访问权限控制结合使用。
标准访问控制列表配置命令一、拒绝PC0 Router>enable Router#configure terminal Router(config)#interface fastEthernet 0/0 Router(config-if)#ip address 192.168.0.1 255.255.255.0 Router(config-if)#no shutdown Router(config-if)#exit Router(config)#interface fastEthernet 1/0 Router(config-if)#ip address 192.168.1.1 255.255.255.0 Router(config-if)#no shutdown Router(config-if)#exit Router(config)#ip access-list standard 1 Router(config-std-nacl)#deny host 192.168.0.2 Router(config-std-nacl)#permit any Router(config-std-nacl)#exit Router(config)#interface fastEthernet 0/0 Router(config-if)#ip access-group 1 in Router(config-if)#exit Router(config)#interface fastEthernet 1/0 Router(config-if)#ip access-group 1 out Router(config-if)#exit Router(config)#exit Router#write
实验5 标准ACL配置与调试 1.实验目标 在这个实验中,我们将在Cisco 2611XM路由器上配置标准ACL。通过该实验我们可以进一步了解ACL的定义和应用,并且掌握标准ACL的配置和调试。 2.实验拓扑 实验的拓扑结构如图1所示。 图1 ACL实验拓扑结构 3.实验要求 根据图1,设计标准ACL,首先使得PC1所在的网络不能通过路由器R1访问PC2所在的网络,然后使得PC2所在的网络不能通过路由器R2访问PC1所在的网络。本实验各设备的IP地址分配如下: ⑴路由器R1: s0/0:192.168.100.1/24 fa0/0:10.1.1.1/8 ⑵计算机PC1: IP:10.1.1.2/8 网关:10.1.1.1 ⑶路由器R2: s0/0:192.168.100.2/24
fa0/0:172.16.1.1/16 ⑷计算机PC2: IP:172.16.1.2/16 网关:172.16.1.1 4.实验步骤 在开始本实验之前,建议在删除各路由器的初始配置后再重新启动路由器。这样可以防止由残留的配置所带来的问题。在准备好硬件以及线缆之后,我们按照下面的步骤开始进行实验。 ⑴按照图1进行组建网络,经检查硬件连接没有问题之后,各设备上电。 ⑵按照拓扑结构的要求,给路由器各端口配置IP地址、子网掩码、时钟(DCE端),并且用“no shutdown”命令启动各端口,可以用“show interface”命令查看各端口的状态,保证端口正常工作。 ⑶设置主机A和主机B的 IP地址、子网掩码、网关,完成之后,分别ping自己的网关,应该是通的。 ⑷为保证整个网络畅通,分别在路由器R1和R2上配置rip路由协议:在R1和R2上查看路由表分别如下: ①R1#show ip route Gateway of last resort is not set R 172.16.0.0/16 [120/1] via 192.168.100.2, 00:00:08, Serial0/0 C 192.168.100.0/24 is directly connected, Serial0/0 C 10.0.0.0/8 is directly connected, FastEthernet0/0 ②R2#show ip route Gateway of last resort is not set C 192.168.100.0/24 is directly connected, Serial0/0 R 10.0.0.0/8 [120/1] via 192.168.100.1, 00:00:08, Serial0/0 C 172.16.0.0/16 is directly connected, FastEthernet0/0 ⑸ R1路由器上禁止PC2所在网段访问:
课设5:访问控制列表ACL的配置 【实验目的】: 1.熟悉掌握网络的基本配置连接 2.对网络的访问性进行配置 【实验说明】: 路由器为了过滤数据包,需要配置一系列的规则,以决定什么样的数据包能够通过,这些规则就是通过访问控制列表ACL定义的。访问控制列表是偶permit/deny语句组成的一系列有顺序的规则,这些规则根据数据包的源地址、目的地址、端口号等来描述。 【实验设备】: 【实验过程记录】:
步骤1:搭建拓扑结构,进行配置 (1)搭建网络拓扑图: (2 虚拟机名IP地址Gateway PC0 PC1 PC2 PC3 PC4 上节课的实验已经展示了如何配置网关和IP地址,所以本次实验将不再展示,其配置对应数据见上表。 (3)设置路由信息并测试rip是否连通
三个路由器均做route操作。 对rip结果进行测试,测试结果为连通。
(4)连通后对访问控制列表ACL进行配置 代码如下: Route(config)#route rip Route(config-route)#net Route(config-route)#net Route(config-route)#exit Route(config)#access-list 1 deny Route(config)#access-list 1 permit any Route(config)#int s3/0 Route(config-if)#ip access-group 1 in Route(config-if)#end
步骤2:检验线路是否通畅 将访问控制列表ACL配置完成后点开PC0进行ping操作,ping 。 检验结果:结果显示目的主机不可达,访问控制列表ACL配置成功。
思科Cisco路由器access-list访问控制列表命令详解 Post by mrchen, 2010-07-25, Views: 原创文章如转载,请注明:转载自冠威博客 [ https://www.doczj.com/doc/f013334295.html,/ ] 本文链接地址: https://www.doczj.com/doc/f013334295.html,/post/Cisconetwork/07/Cisco-access-list.html CISCO路由器中的access-list(访问列表)最基本的有两种,分别是标准访问列表和扩展访问列表,二者的区别主要是前者是基于目标地址的数据包过滤,而后者是基于目标地址、源地址和网络协议及其端口的数据包过滤。 标准型IP访问列表的格式 ---- 标准型IP访问列表的格式如下: ---- access-list[list number][permit|deny][source address][address][wildcard mask][log] ---- 下面解释一下标准型IP访问列表的关键字和参数。首先,在access和list 这2个关键字之间必须有一个连字符"-"; 一、list nubmer参数 list number的范围在0~99之间,这表明该access-list语句是一个普通的标准型IP访问列表语句。因为对于Cisco IOS,在0~99之间的数字指示出该访问列表和IP协议有关,所以list number参数具有双重功能: (1)定义访问列表的操作协议; (2)通知IOS在处理access-list语句时,把相同的list number参数作为同一实体对待。正如本文在后面所讨论的,扩展型IP访问列表也是通过list number(范围是100~199之间的数字)而表现其特点的。因此,当运用访问列表时,还需要补充如下重要的规则: 在需要创建访问列表的时候,需要选择适当的list number参数。 二、permit|deny 允许/拒绝数据包通过 ---- 在标准型IP访问列表中,使用permit语句可以使得和访问列表项目匹配的数据包通过接口,而deny语句可以在接口过滤掉和访问列表项目匹配的数据包。
IP访问控制列表配置 目录: 第一个任务的:验证测试 (3) 第二个任务的:交换机的验证测试 (6) 第三个任务的:扩展访问验证测试 (10) 最后---总结: (12) ▲表示重要的 一、IP标准访问控制列表的建立及应用 工作任务 你是学校网络管理员,学校的财务处、教师办公室和校办企业财务科分属不同的3个网段,三个部门之间通过路由器进行信息传递,为了安全起见,学校领导要求你对网络的数据流量进行控制,实现校办企业财务科的主机可以访问财务处的主机,但是教师办公室主机不能访问财务处主机。 首先对两路由器进行基本配置,实现三个网段可以相互访问;然后对距离控制目的地址较近的路由器RouterB配置IP标准访问控制列表,允许192.168.1.0网段(校办企业财务科)主机发出的数据包通过,不允许192.168.2.0网段(教师办公室)主机发出的数据包通过,最后将这一策略加到路由器RouterB的Fa
0端口,如图所示。 第1步:基本配置 路由器RouterA: R >enable R #configure terminal R(config)#hostname RouterA RouterA (config)# line vty 0 4 VTY是路由器的远程登陆的虚拟端口,04表示可以同时打开5个会话,line vty 04是进入VTY端口,对VTY端口进行配置,比如说配置密码, RouterA (config-line)#login RouterA (config-line)#password 100 RouterA (config-line)#exit RouterA (config)# enable password 100 RouterA (config)#interface fastethernet 0/0 RouterA (config-if)#ip address 192.168.1.1 255.255.255.0 RouterA (config-if)#no shutdown RouterA (config-if)#Exit RouterA (config)#interface s0/3/0 RouterA (config-if)#ip address 192.168.12.1 255.255.255.0 RouterA (config-if)#no shutdown RouterA (config-if)#Exit RouterA (config)#interface s0/3/0 RouterA (config-if)#ip address 192.168.2.1 255.255.255.0 RouterA (config-if)#no shutdown RouterA (config-if)#Exit RouterA (config)#ip route 192.168.3.0 255.255.255.0 192.166.12.2 路由器RouterB: R >enable R #configure terminal R(config)#hostname RouterB RouterB (config)# line vty 0 4 RouterB (config-line)#login RouterB (config-line)#password 100 RouterB (config-line)#exit RouterB (config)# enable password 100 RouterB (config)#interface fastethernet 0/0 RouterB (config-if)#ip address 192.168.3.1 255.255.255.0 RouterB (config-if)#no shutdown RouterB (config-if)#Exit RouterB (config)#interface s0/3/1 RouterB (config-if)#ip address 192.168.12.2 255.255.255.0
CISCO ACL配置详解 什么是ACL? 访问控制列表简称为ACL,访问控制列表使用包过滤技术,在路由器上读取第三层及第四层包头中的信息如源地址,目的地址,源端口,目的端口等,根据预先定义好的规则对包进行过滤,从而达到访问控制的目的。该技术初期仅在路由器上支持,近些年来已经扩展到三层交换机,部分最新的二层交换机也开始提供ACL的支持了。 访问控制列表的原理 对路由器接口来说有两个方向 出:已经经路由器的处理,正离开路由器接口的数据包 入:已经到达路由器接口的数据包,将被路由器处理。 匹配顺序为:"自上而下,依次匹配".默认为拒绝 访问控制列表的类型 标准访问控制列表:一般应用在out出站接口。建议配置在离目标端最近的路由上扩展访问控制列表:配置在离源端最近的路由上,一般应用在入站in方向 命名访问控制列表:允许在标准和扩展访问列表中使用名称代替表号 访问控制列表使用原则 1、最小特权原则 只给受控对象完成任务所必须的最小的权限。也就是说被控制的总规则是各个规则的交集,只满足部分条件的是不容许通过规则的。 2、最靠近受控对象原则 所有的网络层访问权限控制。也就是说在检查规则时是采用自上而下在ACL中一条条检测的,只要发现符合条件了就立刻转发,而不继续检测下面的ACL语句。 3、默认丢弃原则 在CISCO路由交换设备中默认最后一句为ACL中加入了DENY ANY ANY,也就是丢弃所有不
符合条件的数据包。这一点要特别注意,虽然我们可以修改这个默认,但未改前一定要引起重视。 由于ACL是使用包过滤技术来实现的,过滤的依据又仅仅只是第三层和第四层包头中的部分信息,这种技术具有一些固有的局限性,如无法识别到具体的人,无法识别到应用内部的权限级别等。因此,要达到端到端的权限控制目的,需要和系统级及应用级的访问权限控制结合使用。 一、标准访问列表 访问控制列表ACL分很多种,不同场合应用不同种类的ACL.其中最简单的就是标准访问控制列表,标准访问控制列表是通过使用IP包中的源IP地址进行过滤,使用访问控制列表号1到99来创建相应的ACL. 它的具体格式: access-list access-list-number [permit | deny ] [sourceaddress][wildcard-mask] access-list-number 为1-99 或者1300-1999之间的数字,这个是访问列表号。 例如:access-list 10 deny host 192.168.1.1这句命令是将所有来自192.168.1.1地址的数据包丢弃。 当然我们也可以用网段来表示,对某个网段进行过滤。命令如下:access-list 10 deny 192.168.1.0 0.0.0.255 通过上面的配置将来自192.168.1.0/24的所有计算机数据包进行过滤丢弃。为什么后头的子网掩码表示的是0.0.0.255呢?这是因为CISCO规定在ACL中用反向掩玛表示子网掩码,反向掩码为0.0.0.255的代表他的子网掩码为255.255.255.0. 小提示:对于标准访问控制列表来说,默认的命令是HOST,也就是说access-list 10 deny 192.168.1.1表示的是拒绝192.168.1.1这台主机数据包通讯,可以省去我们输入host命令。 标准访问列表配置实例: R1(config)#access-list 10 deny 192.168.2.0 0.0.0.255 R1(config)#access-list 10 permit any R1(config)#int fa0/0.1 R1(config-subif)#ip access-group 10 out
13.标准访问列表的实现 一.实训目的 1.理解标准访问控制列表的概念和工作原理。 2.掌握标准访问控制列表的配置方法。 3.掌握对路由器的管理位置加以限制的方法。 二.实训器材及环境 1.安装有packet tracer5.0模拟软件的计算机。 2.搭建实验环境如下: 三.实训理论基础 1.访问列表概述 访问列表是由一系列语句组成的列表,这些语句主要包括匹配条件和采取的动作(允许或禁止)两个内容。 访问列表应用在路由器的接口上,通过匹配数据包信息与访问表参数来决定允许数据包通过还是拒绝数据包通过某个接口。 数据包是通过还是拒绝,主要通过数据包中的源地址、目的地址、源端口、目的端口、协议等信息来决定。 访问控制列表可以限制网络流量,提高网络性能,控制网络通信流量等,同时ACL也是网络访问控制的基本安全手段。 2.访问列表类型 访问列表可分为标准IP访问列表和扩展IP访问列表。 标准访问列表:其只检查数据包的源地址,从而允许或拒绝基于网络、子网或主机的IP地址的所有通信流量通过路由器的出口。 扩展IP访问列表:它不仅检查数据包的源地址,还要检查数据包的目的地址、特定协议类型、源端口号、目的端口号等。
3.ACL 的相关特性 每一个接口可以在进入(inbound )和离开(outbound )两个方向上分别应用一个ACL ,且每个方向上只能应用一个ACL 。 ACL 语句包括两个动作,一个是拒绝(deny )即拒绝数据包通过,过滤掉数据包,一个是允许(permit)即允许数据包通过,不过滤数据包。 在路由选择进行以前,应用在接口进入方向的ACL 起作用。 在路由选择决定以后,应用在接口离开方向的ACL 起作用。 每个ACL 的结尾有一个隐含的“拒绝的所有数据包(deny all)”的语句。 4.ACL 转发的过程 5.IP 地址与通配符掩码的作用规 32位的IP 地址与32位的通配符掩码逐位进行比较,通配符掩码为0的位要求IP 地址的对应位必须匹配,通配符掩码为1的位所对应的IP 地址位不必匹配。 通配符掩码掩码的两种特殊形式: 一个是host 表示一种精确匹配,是通配符掩码掩码0.0.0.0的简写形式; 一个是any 表示全部不进行匹配,是通配符掩码掩码255.255.255.255的简写形式。 6.访问列表配置步骤 第一步是配置访问列表语句;第二步是把配置好的访问列表应用到某个端口上。 7.访问列表注意事项 注意访问列表中语句的次序,尽量把作用范围小的语句放在前面。 新的表项只能被添加到访问表的末尾,这意味着不可能改变已有访问表的功能。如果必须要改变,只有先删除已存在的访问列表,然后创建一个新访问列表、然后将新访问列表用到相应的
0分计。 4. 实验报告文件以PDF 格式提交。 【实验题目】访问控制列表(ACL )实验。 【实验目的】 1. 掌握标准访问列表规则及配置。 2. 掌握扩展访问列表规则及配置。 3. 了解标准访问列表和扩展访问列表的区别。 【实验内容】 完成教材实例5-4(P190),请写出步骤0安装与建立FTP 、WEB ,的步骤,并完成P192~P193的测试要求。 【实验要求】 重要信息信息需给出截图, 注意实验步骤的前后对比。 【实验记录】(如有实验拓扑请自行画出) 【实验拓扑】 本实验的拓扑图结构如下图: 【实验设备】 路由器一台,PC 5台(其中两台作为WWW Server 和FTP Server )。 【实验原理】 基于时间的ACL 是在各种ACL 规则(标准ACL 、扩展ACL 等)后面应用时间段选项(time-range )以实现基于时间段的访问控制。当ACL 规则应用了时间段后,只有在此时间范围内规则才能生效。此外,只有配置了时间段的规则才会在指定的时间段内生效,其他未引用时间段的规则将不受影响。 要基于时间的ACL 一生效,一般需要下面的配置步骤。
(1)定义时间段及时间范围。 (2)ACL自身的配置,即将详细的规则添加到ACL中。 (3)应用ACL,将设置好的ACL添加到相应的端口中。 【实验步骤】 步骤0: (1)配置3台PC(PC1、PC2和Manager)的IP地址、掩码、网关。 (2)检查PC与服务器的连通性如何? PC与服务器无法连通,因为还未安装FTP Server和WWW Server和配置路由器。 (3)在服务器上安装FTP Server和WWW Server。FTP Server需至少创建一个用户名和口令。 FTP Server我们选择Serv-U,下载安装后见如下界面。
A C L知识点详解 -标准化文件发布号:(9556-EUATWK-MWUB-WUNN-INNUL-DDQTY-KII
第一节TCP/IP传输层与应用层TCP/IP OSI TCP/IP:网络访问层协议 1~3章 第7 章
TCP/IP:互联网络层协议 5~6章 Internet层的功能 10.20.30.2/24172.16.1.2/24172.31.255.2/24 ●互联网络层给每个网络的每台网络设备和主机配置所属的IP地址,实现逻辑寻址。 ●能够建立网络与网络、主机与主机之间的连通性,但不保证数据传输的可靠性。
TCP/IP:传输层协议 ●传输控制协议(TCP) ?面向连接,每传输一个数 据分段,都建立一个连接 ?可靠的传输 ●用户数据报协议(UDP) ?无连接,将数据分段发送 出去后不确认对方是否已接 收到 ?不可靠,需要应用层协议 提供可靠性 TCP 与UDP 协议 ●TCP与UDP协议使用端口号来区分主机上同一时间的不同会话。 ●TCP端口号范围为:0~65535 ●UDP端口号范围为:0~65535 ●传输层提供从源主机到目的主机的传输服务,在网络端点之间建立逻辑连接。 ●传输层TCP协议能够实现数据传输的可靠性。 ●传输层能够实现数据传输时的流控制。
主机之间的多会话 ●一台服务器可能提供多种服务,如Web和FTP ,在传输层用端口来区分每个应用服务。 ●客户端也需要向多个目的发送不同的数据连接,使用端口区分每个连接。 ●服务器使用知名端口号0~1023 提供服务。 ●客户端使用高于1023的随机端口号作为源端口对外发起数据连接请求,并为每一个连接分配不
第十三章标准IP访问控制列表配置 实验目标 理解标准IP访问控制列表的原理及功能; 掌握编号的标准IP访问控制列表的配置方法; 实验背景 你是公司的网络管理员,公司的经理部、财务部们和销售部门分属于不同的3个网段,三部门之间用路由器进行信息传递,为了安全起见,公司领导要求销售部门不能对财务部进行访问,但经理部可以对财务部进行访问。 PC1代表经理部的主机、PC2代表销售部的主机、PC3代表财务部的主机。 技术原理 ACLs的全称为接入控制列表(Access Control Lists),也称访问控制列表(Access Lists),俗称防火墙,在有的文档中还称包过滤。ACLs通过定义一些规则对网络设备接口上的数据包文进行控制;允许通过或丢弃,从而提高网络可管理型和安全性; IP ACL分为两种:标准IP访问列表和扩展IP访问列表,编号范围为1~99、1300~1999、100~199、2000~2699; 标准IP访问控制列表可以根据数据包的源IP地址定义规则,进行数据包的过滤; 扩展IP访问列表可以根据数据包的原IP、目的IP、源端口、目的端口、协议来定义规则,进行数据包的过滤; IP ACL基于接口进行规则的应用,分为:入栈应用和出栈应用; 实验步骤 新建Packet Tracer拓扑图 (1)路由器之间通过V.35电缆通过串口连接,DCE端连接在R1上,配置其时钟频率64000;主机与路由器通过交叉线连接。 (2)配置路由器接口IP地址。 (3)在路由器上配置静态路由协议,让三台PC能够相互Ping通,因为只有在互通的前提下才涉及到方控制列表。 (4)在R1上编号的IP标准访问控制 (5)将标准IP访问控制应用到接口上。 (6)验证主机之间的互通性。
实验七标准IP访问控制列表配置 一、实验目的 1.理解标准IP访问控制列表的原理及功能。 2.掌握编号的标准IP访问控制列表的配置方法。 二、实验环境 R2600(2台)、主机(3台)、交叉线(3条)、DCE线(1条)。 三、实验背景 你是公司的网络管理员,公司的经理部、财务部和销售部分属于不同的3个网段,三部门之间用路由器进行信息传递,为了安全起见,公司领导要求销售部不能对财务部进行访问,但经理部可以对财务部进行访问 PC1代表经理部的主机,PC2代表销售部的主机,PC3代表财务部的主机。四、技术原理 ACLs的全称为接入控制列表;也称为访问列表,俗称为防火墙,在有的文档中还称之为包过滤。ACLs通过定义一些规则对网络设备接口上的数据报文进行控制:允许通过或丢弃,从而提高网络可管理性和安全性。 IP ACLs分为两种:标准IP访问列表和扩展IP访问列表,标号范围分别为1~99、100~199。 标准IP访问列表可以根据数据包的源IP地址定义规则,进行数据包的过滤。 扩展IP访问列表可以数据包的源IP、目的IP、源端口、目的端口、协议来定义规则,进行数据包的过滤。 IP ACL基于接口进行规则的应用,分为:入栈应用和出栈应用。 五、实验步骤 1、新建拓扑图 2、路由器R1、R2之间通过V.35线缆通过串口连接,DCE端连接在R1上,
配置其时钟频率64000;主机与路由器通过交叉线连接。 3、配置路由器接口IP地址。 4、在路由器R1、R2上配置静态路由协议或动态路由协议,让三台PC能互相 ping通,因为只有在互通的前提下才能涉及到访问控制列表。 5、在R1上配置编号的IP标准访问列表。 6、将标准IP访问控制列表应用到接口上。 7、验证主机之间的互通性。 六、实验过程中需要的相关知识点 1、进入指定的接口配置模式 配置每个接口,首先必须进入这个接口的配置模式模式,首先进入全局配置模式,然后输入进入指定接口配置模式,命令格式如下 例如:进入快速以太网口的第0个端口,步骤是: Router#config terminal Router(config)#interface FastEthernet 1/0 2、配置IP地址 除了NULL接口,每个接口都有其IP地址,IP地址的配置是使用接口必须考虑的,命令如下: Router#config terminal
标准ACL 实验人:高承旺 实验名称:标准acl 实验要求: 不让1.1.1.1 ping通3.3.3.3 实验拓扑: 实验步骤: 网络之间开启RIP协议! [R1]rip [R1-rip-1]ver 2 [R1-rip-1]undo summary [R1-rip-1]net 192.168.1.0 [R1-rip-1]net 1.0.0.0 [R1-rip-1]q [R2]rip [R2-rip-1]ver 2 [R2-rip-1]undo summary [R2-rip-1]net 192.168.1.0 [R2-rip-1]net 192.168.2.0
[R2-rip-1]q [R3]rip [R3-rip-1]ver 2 [R3-rip-1]net 192.168.2.0 [R3-rip-1]net 3.0.0.0 [R3-rip-1]q 通3.3.3.3 配置好动态路由后,测试能R1ping 配置ACL访问控制列表 [R2]firewall enable [R2]firewall default permit [R2]acl number ? INTEGER<2000-2999> Specify a basic acl INTEGER<3000-3999> Specify an advanced acl INTEGER<4000-4999> Specify an ethernet frame header acl INTEGER<5000-5999> Specify an acl about user-defined frame or packet head [R2]acl number 2000 [R2-acl-basic-2000]rule ? INTEGER<0-65534> ID of acl rule deny Specify matched packet deny permit Specify matched packet permit [R2-acl-basic-2000]rule deny source 1.1.1.1 ? 0 Wildcard bits : 0.0.0.0 ( a host ) X.X.X.X Wildcard of source [R2-acl-basic-2000]rule deny source 1.1.1.1 0 [R2]int s0/2/0 [R2-Serial0/2/0]firewall packet-filter 2000 ? inbound Apply the acl to filter in-bound packets outbound Apply the acl to filter out-bound packets [R2-Serial0/2/0]firewall packet-filter 2000 inbound
A公司的某位可怜的网管目前就面临了一堆这样的问题。A公司建设了一个企业网,并通过一台路由器接入到互联网。在网络核心使用一台基于IOS的多层交换机,所有的二层交换机也为可管理的基于IOS的交换机,在公司内部使用了VLAN技术,按照功能的不同分为了6个VLAN。分别是网络设备与网管(VLAN1,10.1.1.0/24)、内部服务器(VLAN2)、Internet 连接(VLAN3)、财务部(VLAN4)、市场部(VLAN5)、研发部门(VLAN6),出口路由器上Fa0/0接公司内部网,通过s0/0连接到Internet。每个网段的三层设备(也就是客户机上的缺省网关)地址都从高位向下分配,所有的其它节点地址均从低位向上分配。该网络的拓朴如下图所示: 自从网络建成后麻烦就一直没断过,一会儿有人试图登录网络设备要捣乱;一会儿领导又在抱怨说互联网开通后,员工成天就知道泡网;一会儿财务的人又说研发部门的员工看了不该看的数据。这些抱怨都找这位可怜的网管,搞得他头都大了。那有什么办法能够解决这些问题呢?答案就是使用网络层的访问限制控制技术――访问控制列表(下文简称ACL)。 那么,什么是ACL呢?ACL是种什么样的技术,它能做什么,又存在一些什么样的局限性呢? ACL的基本原理、功能与局限性 网络中常说的ACL是Cisco IOS所提供的一种访问控制技术,初期仅在路由器上支持,近些年来已经扩展到三层交换机,部分最新的二层交换机如2950之类也开始提供ACL的支持。只不过支持的特性不是那么完善而已。在其它厂商的路由器或多层交换机上也提供类似的技术,不过名称和配置方式都可能有细微的差别。本文所有的配置实例均基于Cisco IOS的ACL进行编写。 基本原理:ACL使用包过滤技术,在路由器上读取第三层及第四层包头中的信息如源地址、目的地址、源端口、目的端口等,根据预先定义好的规则对包进行过滤,从而达到访问控制的目的。 功能:网络中的节点资源节点和用户节点两大类,其中资源节点提供服务或数据,用户节点访问资源节点所提供的服务与数据。ACL的主要功能就是一方面保护资源节点,阻止非法用户对资源节点的访问,另一方面限制特定的用户节点所能具备的访问权限。 配置ACL的基本原则:在实施ACL的过程中,应当遵循如下两个基本原则: 最小特权原则:只给受控对象完成任务所必须的最小的权限 最靠近受控对象原则:所有的网络层访问权限控制 局限性:由于ACL是使用包过滤技术来实现的,过滤的依据又仅仅只是第三层和第四层包头中的部分信息,这种技术具有一些固有的局限性,如无法识别到具体的人,无法识别到应用内部的权限级别等。因此,要达到end to end的权限控制目的,需要和系统级及应