第19章 路由器访问控制列表配置实训2Word格式.docx
- 文档编号:17985352
- 上传时间:2022-12-12
- 格式:DOCX
- 页数:16
- 大小:110.44KB
第19章 路由器访问控制列表配置实训2Word格式.docx
《第19章 路由器访问控制列表配置实训2Word格式.docx》由会员分享,可在线阅读,更多相关《第19章 路由器访问控制列表配置实训2Word格式.docx(16页珍藏版)》请在冰豆网上搜索。
5.总结、评价
关键技术
访问控制列表的配置
二、教学内容
访问控制列表(ACL:
AccessControlList)是路由器接口的一种特殊的指令列表,用来控制端口进出的数据包。
确切地说,ACL是一种根据协议、地址、端口号、连接状态以及其他参数对数据流进行过滤的方法,是应用在网络边缘设备网络接口上的一组有序的规则集合。
ACL适用于所有的被路由协议,例如IP、IPX、AppleTalk等等。
如果路由器接口配置成为同时支持三种协议(IP、AppleTalk、IPX)的情况,那么用户必须定义三种ACL来分别控制这三种协议的数据封包。
访问控制列表(ACL)
ACL的作用
ACL对网络的安全和性能都起重要作用,ACL是网络管理员实现网络安全访问配置的基本手段。
ACL通常定义在网络的边缘设备上,应用在网络边缘设备的网络接口上。
通过预定义一组规则对通过网络接口的数据包进行过滤。
网络安全方面:
通过对数据包的过滤,可以将特定的信息隔离在网络外部,保护内部网络中设备和数据的安全,同时又可以不影响正常的网络服务。
ACL可以在路由器端口处决定哪种类型的通信流量被转发或被阻塞。
ACL还可以实现访问限制,可以达到限制网络流量、提高网络性能的作用,又可以加强局域网内部对外部网络访问的管理。
例如,用户可以被允许使用E-mail与外部网络通信,同时可以拒绝用户使用IE浏览外部网络。
ACL还可以根据数据包的协议指定数据包的优先级,优化网络性能。
ACL的工作原理
我们已经知道ACL是应用在网络边缘设备网络端口上的一组有序的规则集合。
每条规则都是以“IF<
条件>
THEN<
动作>
”结构。
一个端口执行哪条规则,是按照列表中的条件语句的顺序来判断的。
如果一个数据包的报头跟表中某个条件判断语句相匹配,那么立即执行该规则的动作,后面的规则就将被忽略。
只有当数据包与第一个条件判断语句不匹配时,它才被交给ACL中的下一个条件判断语句进行比较;
如果匹配(假设为允许发送),数据都会立即发送到目的接口;
如果所有的ACL判断语句都检查完毕,仍没有找到匹配的条件语句,则该数据包将被丢弃。
在路由器中,如果使用ACL的表号进行配置,则列表不能插入或删除行。
如果列表要插入或删除一行,必须先去掉所有ACL,然后重新配置。
当ACL中条数很多时,这种改变非常烦琐。
ACL的分类
图1ACL的分类
标准访问控制列表:
只根据数据包中源地址的匹配对数据包进行过滤。
扩展访问控制列表:
根据对数据包中的协议、源地址、目的地址、端口号的匹配对数据包进行过滤。
动态访问控制列表:
在传统访问控制列表的基础上加入动态表项,使对数据包过滤的规则能够动态产生,更具安全性。
基于时间的访问控制列表:
在传统访问控制列表的基础上增加了对时间判断,可实现按时间段对数据包进行过滤。
自反的访问控制列表:
在传统访问控制列表的基础上增加了根据连接状态对数据包进行过滤。
命名的访问控制列表:
在传统访问控制列表的基础上增加了用名称代替列表号,便于记忆,同时扩展了条目数量。
在访问控制列表中,标准访问控制列表最简单,在实际应用中在满足具体应用需求的情况下,尽可能用简单的访问控制列表来实现功能。
由于所有的访问控制列表都建立在传统访问控制列表基础上的,因此本章主要实训标准访问控制列表和扩展访问控制列表。
ACL的配置的命令格式
ACL的配置分为两个步骤:
1.创建ACL
在全局配置模式下,使用下列命令创建ACL:
Router(config)#access-listaccess-list-number{permit|deny}{test-conditions}
其中:
1)access-list-number为ACL的表号,人们使用较频繁的表号是标准的IPACL(1—99)和扩展的IPACL(100-199);
2){permit|deny}表示动作,permit表示如果条件匹配成功,允许该数据包通过该网络接口,deny则表示如果条件匹配成功,丢弃该数据包。
3)test-conditions表示匹配条件,各种访问控制列表的匹配条件是不一样的。
注意:
在ACL的配置中,如果删掉一条表项,其结果是删掉全部ACL,所以在配置时一定要小心。
在命名的访问控制列表中,网络可以使用名字命名的ACL表。
这种方式可以删除某一行ACL,但是仍不能插入一行或重新排序。
2.配置ACL
在接口配置模式下,使用access-group命令将ACL应用到某一接口上:
Router(config-if)#{protocol}access-groupaccess-list-number{in|out}
其中,in和out参数可以控制接口中不同方向的数据包,如果不配置该参数,缺省为out。
ACL在一个接口可以进行双向控制,即配置两条命令,一条为in,一条为out,两条命令执行的ACL表号可以相同,也可以不同。
但是,在一个接口的一个方向上,只能有一个ACL控制。
网络的建立和配置
【背景描述】
图2访问控制列表配置实训拓扑示意图
某大型企业现有四个局域网分别为192.168.10.0/24(10号)、192.168.20.0/24(20号)、192.168.30.0/24(30号)、192.168.40.0/24(40号),基于安全和业务的考虑,要求实现:
1.只允许10号网段与20号网段之间能够相互访问,我们可以通过配置标准访问控制列表来实现;
2.只允许10号网段的计算机能够访问PC3上的Web服务和PING服务,只允许20号网段的计算机能够访问PC4上的Telnet服务和Ping服务。
我们可以通过配置扩展访问控制列表来实现。
【实训要求】
预习本章实训指导书,事先作好实训准备。
特别是要搞清实训拓扑图中的各接口的参数定义和子网分布等情况。
在实训过程中作必要的记录。
实训结束后写好实训总结。
实训环境的建立
利用BosonNetworkDesigner绘制实验网络拓扑图,我们选择一台3640三层交换机、二台3620路由器、一台2950交换机和五台PC机,将PC5、C3640的FastEthernet0/0、C3620A和C3620B的FastEthernet1/0等四个设备接入Switch1任意接口,C3620A的FastEthernet1/0接入PC1,C3620A的FastEthernet2/0接入PC2,将C3620A的FastEthernet0/0接入PC3,将C3620A的FastEthernet0/0接入PC4。
C3640路由器请选择4个slot,分别设为FastEthernet;
C3640路由器选择2个slot,分别设为FastEthernet。
图表3访问控制列表配置实训拓扑图
1.配置默认网络环境:
(用RIP协议配置动态路由,保证内网畅通)
C3640:
Router>
enable
Router#configterminal
Router(config)#hostnameC3640
C3640(config)#interfacef0/0
C3640(config-if)#ipaddress192.168.50.1255.255.255.0
C3640(config-if)#noshutdown
C3640(config-if)#interfacef1/0
C3640(config-if)#ipaddress192.168.10.1255.255.255.0
C3640(config-if)#interfacef2/0
C3640(config-if)#ipaddress192.168.20.1255.255.255.0
C3640(config-if)#exit
C3640(config)#routerrip激活RIP协议
C3640(config-router)#network192.168.10.0申明直连网段
C3640(config-router)#network192.168.20.0
C3640(config-router)#network192.168.50.0
C3640(config-router)#end
C3640#copyrunstart
C3620A:
Router(config)#hostnameC3620A
C3620A(config)#interfacef0/0
C3620A(config-if)#ipaddress192.168.30.1255.255.255.0
C3620A(config-if)#noshutdown
C3620A(config-if)#interfacef1/0
C3620A(config-if)#ipaddress192.168.50.3255.255.255.0
C3620A(config-if)#exit
C3620A(config)#routerrip激活RIP协议
C3620A(config-router)#network192.168.30.0申明直连网段
C3620A(config-router)#network192.168.50.0
C3620A(config-router)#end
C3620A#copyrunstart
C3620B:
Router(config)#hostnameC3620B
C3620B(config)#interfacef0/0
C3620B(config-if)#ipaddress192.168.40.1255.255.255.0
C3620B(config-if)#noshutdown
C3620B(config-if)#interfacef1/0
C3620B(config-if)#ipaddress192.168.50.4255.255.255.0
C3620B(config-if)#exit
C3620B(config)#routerrip激活RIP协议
C3620B(config-router)#network192.168.40.0申明直连网段
C3620B(config-router)#network192.168.50.0
C3620B(config-router)#end
C3620B#copyrunstart
PC1:
C:
>
ipconfig/ip192.168.10.2255.255.255.0
ipconfig/dg192.168.10.1
PC2:
ipconfig/ip192.168.20.2255.255.255.0
ipconfig/dg192.168.20.1
PC3:
ipconfig/ip192.168.30.2255.255.255.0
ipconfig/dg192.168.30.1
PC4:
ipconfig/ip192.168.40.2255.255.255.0
ipconfig/dg192.168.40.1
PC5:
ipconfig/ip192.168.50.2255.255.255.0
ipconfig/dg192.168.50.1
2.测试默认网络环境
ping192.168.20.2测试到PC2连通性(畅通)
ping192.168.30.2测试到PC3连通性(畅通)
ping192.168.40.2测试到PC4连通性(畅通)
ping192.168.50.2测试到PC5连通性(畅通)
ping192.168.50.2测试到PC5连通性(不通)
ping192.168.10.2测试到PC1连通性(畅通)
ping192.168.30.2测试到PC3连通性(不通)
ping192.168.40.2测试到PC4连通性(不通)
【思考题】
在实训过程中,为什么PC5的ping包只能到达PC1和PC2,而不能到达PC3和PC4?
标准访问控制列表配置实训
这里我们要实现“只允许10号网段与20号网段之间能够相互访问”,也就是说只允许PC1与PC2之间能够相互访问,其他计算机一律不能访问PC1和PC2。
1.标准访问控制列表配置:
C3640#configterminal
C3640(config)#access-list1deny192.168.10.00.0.0.255
定义访问控制列表“access-list1”的第一条规则,其中,“0.0.0.255”为子网掩码的反码,本条规则的意思是:
不允许源地址为192.168.10.0/24网段的数据包通过
C3640(config)#access-list1deny192.168.20.00.0.0.255
定义访问控制列表“access-list1”的第二条规则,意思是:
不允许源地址为192.168.20.0/24网段的数据包通过
C3640(config)#access-list1permitany
定义访问控制列表“access-list1”的第三条规则,意思是:
放行其他所有数据包。
C3640(config-if)#ipaccess-group1out
将“access-group1”访问控制列表作用到FastEthernet0/0端口,对离开网络接口的数据包进行过滤。
如果该命令为“ipaccess-group1in”,则表示对进入网络接口的数据包进行过滤
C3640(config-if)#end
C3640#showaccess-lists
图4C3640当前访问控制列表情况
2.标准访问控制列表测试
ping192.168.50.1测试到C3640连通性(畅通)
ping192.168.10.2测试到PC1连通性(不通)
ping192.168.20.2测试到PC2连通性(不通)
3.删除已建立的访问控制列表
C3640#configterminal
C3640(config)#interfacef0/0
C3640(config-if)#noipaccess-group1out删除接口上的应用
C3640(config)#noaccess-list1删除访问控制列表
C3640(config)#end
C3640#showaccess-lists显示结果为“空”
测试结果表明:
“只允许10号网段与20号网段之间能够相互访问”已成功实现。
所有数据包尽管能流进C3640FastEthernet0/0,然而PC1和PC2所有回复的封包全被FastEthernet0/0丢弃了,因为FastEthernet0/0限制了FastEthernet0/0的流出数据,标准访问控制列表已发挥作用。
【实训内容】
按照以上实训指导的步骤,实现标准访问控制列表的配置。
三:
同步实践
教师演示题:
如图所示:
添加两个3620路由器(采用1个SLOT集成4个以太网接口),4台PC,其中PC1、PC2分别接入3620A的e0/1和e0/2,PC3、PC4分别接入3620B的e0/1和e0/2,两台路由器都用e0/3相连接。
IP地址说明:
设备名称
IP地址
子网掩码
网关
PC1
192.168.10.1
255.255.255.0
192.168.10.254
PC2
192.168.20.2
192.168.20.254
PC3
192.168.30.3
192.168.30.254
PC4
192.168.40.4
192.168.40.254
3620Ae0/1
3620Ae0/2
3620Ae0/3
10.1.1.1
255.255.255.252
3620Be0/1
3620Be0/2
3620Be0/3
10.1.1.2
任务:
1、按表格说明的内容配置对应接口的IP地址;
2、在路由器上配置RIP路由使全网畅通(netstarttelnet);
3、要求只允许PC3访问PC2的所有服务。
4、要求不允许PC4PING通PC1,但PC4能够访问PC1的TELNET服务;
3620A:
Router#conft
Router(config)#host3620A
3620A(config)#inte0/1
3620A(config-if)#ipadd192.168.10.254255.255.255.0
3620A(config-if)#nosh
%LINK-3-UPDOWN:
InterfaceEthernet0/1,changedstatetoup
3620A(config-if)#inte0/2
3620A(config-if)#ipadd192.168.20.254255.255.255.0
InterfaceEthernet0/2,changedstatetoup
3620A(config-if)#inte0/3
3620A(config-if)#ipadd10.1.1.1255.255.255.252
InterfaceEthernet0/3,changedstatetoup
3620A(config-if)#exit
3620A(config)#routerrip
3620A(config-router)#net192.168.10.0
3620A(config-router)#net192.168.20.0
3620A(config-router)#net10.1.1.0
3620A(config-router)#exit
只允许PC3访问PC2的所有服务
意味着其他所有主机都不能访问该主机。
由于访问控制列表默认情况下是拒绝所有服务,所以只需要打入允许的那一句。
3620A(config)#access-list1permit192.168.30.30.0.0.0
3620A(config)#inte0/2
3620A(config-if)#ipaccess-group1out
3620B:
Router>
en
Enterconfigurationcommands,oneperline.EndwithCNTL/Z.
Router(config)#host3620B
3620B(config)#inte0/1
3620B(config-if)#ipadd192.168.30.254255.255.255.0
3620B(config-if)#nosh
%LINK-3
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 第19章 路由器访问控制列表配置实训2 19 路由器 访问 控制 列表 配置