标准书号62-63 308-06313 第19章 路由器访问控制列表配置实训

《标准书号62-63 308-06313 第19章 路由器访问控制列表配置实训》由会员分享，可在线阅读，更多相关《标准书号62-63 308-06313 第19章 路由器访问控制列表配置实训（31页珍藏版）》请在金锄头文库上搜索。

1、计算机网络技术实训教程,作者：徐伟,责任编辑：黄娟琴 出版日期：2009年9月 IDPN：308-2009-105 课件章数：19,第19章 路由器访问控制列表配置实训,主要内容,191 访问控制列表（ACL） 192 访问控制列表配置实训,访问控制列表（Access Control List， ACL）是路由器接口的一种特殊的指令列表，用来控制端口进出的数据包。 确切地说， ACL是一种根据协议、地址、端口号、连接状态以及其他参数对数据流进行过滤的方法，是应用在网络边缘设备网络接口上的一组有序的规则集合。 ACL适用于所有的路由协议，例如IP 、AppleTalk、 IPX等等。如果路由器接

2、口配置成同时支持三种协议（IP 、AppleTalk、 IPX）的情况，那么用户必须定义三种ACL来分别控制这三种协议的数据封包。,191 访问控制列表（ACL）,1911 ACL 的作用,ACL对网络的安全和性能都起重要作用，ACL是网络管理员实现网络安全访问配置的基本手段。 ACL通常定义在网络的边缘设备上，应用在网络边缘设备的网络接口上。通过预定义一组规则对通过网络接口的数据包进行过滤。 网络安全方面： 通过对数据包的过滤，可以将特定的信息隔离在网络外部，保护内部网络中设备和数据的安全，同时又可以不影响正常的网络服务。ACL可以在路由器端口处决定哪种类型的通信流量被转发或被阻塞。,ACL

3、还可以实现访问限制，可以达到限制网络流量、提高网络性能的作用，又可以加强局域网内部对外部网络访问的管理。例如，用户可以被允许使用E-mail与外部网络通信，同时可以拒绝用户使用IE浏览外部网络。ACL还可以根据数据包的协议指定数据包的优先级，优化网络性能。,1912 ACL 的工作原理,我们已经知道ACL是应用在网络边缘设备网络端口上的一组有序的规则集合。每条规则都是“IF 条件THEN 动作”结构。 一个端口执行哪条规则，是按照列表中的条件语句的顺序来判断的。如果一个数据包的首部跟表中某个条件判断语句相匹配，那么立即执行该规则的动作，后面的规则就将被忽略。,只有当数据包与第一个条件判断语句不

4、匹配时，它才被交给ACL中的下一个条件判断语句进行比较；如果匹配（假设为允许发送），数据就会立即发送到目的接口；如果所有的ACL判断语句都检查完毕，仍没有找到匹配的条件语句，则该数据包将被丢弃。 在路由器中，如果使用 的表号进行配置，则列表不能插入或删除行。如果列表要插入或删除一行，必须先去掉所有，然后重新配置。当ACL中条数很多时，这种改变非常烦琐。,1913 ACL 的分类,访问控制列表分为传统访问控制列表和现代访问控制列表两大类。,标准访问控制列表： 只根据数据包中源地址的匹配对数据包进行过滤。 扩展访问控制列表： 根据对数据包中的协议、源地址、目的地址、端口号的匹配对数据包进行过滤。

5、动态访问控制列表： 在传统访问控制列表的基础上加入动态表项，使对数据包过滤的规则能够动态产生，更具安全性。,基于时间的访问控制列表： 在传统访问控制列表的基础上，增加了对时间的判断，可实现按时间段对数据包进行过滤。 自反的访问控制列表： 在传统访问控制列表的基础上，增加了根据连接状态，对数据包进行过滤。 命名的访问控制列表： 在传统访问控制列表的基础上，增加了用名称代替列表号，便于记忆，同时扩展了条目数量。 在访问控制列表中，标准访问控制列表最简单。实际应用中，在满足具体应用需求的情况下，尽可能用简单的访问控制列表来实现功能。 由于所有的访问控制列表都建立在传统访问控制列表基础上，因此本章主要

6、实训标准访问控制列表和扩展访问控制列表。,192 访问控制列表配置实训,1921 ACL 的配置的命令格式,ACL的配置分以下两个步骤。 1创建ACL 在全局配置模式下，使用下列命令创建ACL ： Router（config） access-list access-list-number permit deny test- conditions 其中： （） access-list-number为ACL的表号，人们使用较频繁的表号是标准的IP ACL（1-99）和扩展的IP ACL（100-199）； （）permit|deny表示动作，permit表示如果条件匹配成功，允许该数据包通过该网络

7、接口，deny则表示如果条件匹配成功，丢弃该数据包。,（）test-conditions表示匹配条件，各种访问控制列表的匹配条件是不一样的。,注意： 在ACL的配置中，如果删掉一条表项，其结果是删掉全部ACL，所以在配置时一定要小心。在命名的访问控制列表中，网络可以使用名字命名的ACL表。这种方式可以删除某一行ACL，但是仍不能插入一行或重新排序。,2配置ACL 在接口配置模式下，使用access-group命令将ACL应用到某一接口上： Router（config-if） protocol access-group access-list-number inout 其中，in 和out参数可

8、以控制接口中不同方向的数据包，如果不配置该参数，缺省为out 。ACL在一个接口可以进行双向控制，即配置两条命令，一条为in，一条为out ，两条命令执行的ACL表号可以相同，也可以不同。但是，在一个接口的一个方向上，只能有一个ACL控制。,【实训名称】 访问控制列表配置实训。 【实训目的】 掌握路由器标准访问控制列表和扩展访问控制列表配置方法。 【实训环境】 普通计算机机房，每台计算机上已安装Boson NetSim for CCNP 7.0版。,【背景描述】 某大型企业现有四个局域网分别为192.168.10.0/24（10号）、 192.168.20.0/24（20号）、 192.168

9、.30.0/24（30号）、 192.168.40.0/24（40号），基于安全和业务考虑，要求实现： （） 只允许10号网段与20号网段之间能够相互访问，我们可以通过配置标准访问控制列表来实现。 （） 只允许10号网段的计算机能够访问PC3上的Web服务和ping服务，只允许20号网段的计算机能够访问PC 4上的Telnet服务和ping服务。我们可以通过配置扩展访问控制列表来实现。 【实训要求】 预习本章实训指导书，事先做好实训准备。特别是要搞清实训拓扑图中的各接口的参数定义和子网分布等情况。在实训过程中做必要的记录。实训结束后写好实训总结。,1922 实训环境的建立,利用Boson Ne

10、twork Designer绘制实验网络拓扑图，我们选择一台3640 三层交换机、两台3620路由器 、一台2950交换机和五台PC机。将PC 5、C 3640的Fast Ethernet0/0 、 C 3620A 和C 3620B的Fast Ethernet1/0等四个设备接入 任意接口， C 3640的Fast Ethernet1/0接入PC 1， C 3640的Fast Ethernet2/0接入PC 2，将 的Fast Ethernet0/0接入PC 3，将 的Fast Ethernet0/0接入PC 4。,注意： C 3640路由器请选择4个slot，分别设为Fast Etherne

11、t； C 3620路由器选择2 个slot ，分别设为Fast Ethernet。,1配置默认网络环境 （用RIP协议配置动态路由，保证内网畅通）,2测试默认网络环境,【思考题】 在实训过程中，为什么PC 5 的ping包只能到达PC 1和PC 2，而不能到达PC 3和PC 4？,这里我们要实现“只允许10号网段与20 号网段之间能够相互访问”，也就是说只允许PC 1与PC 2之间能够相互访问，其他计算机一律不能访问PC 1和PC 2。,1923 标准访问控制列表配置实训,1标准访问控制列表配置,定义访问控制列表“access-list 1”的第一条规则，其中，“0.0.0.255”为子网掩码

12、的反码，本条规则的意思是： 不允许源地址为192.168.10.0/24网段的数据包通过。,C3640： C3640config terminal C3640（config）access-list 1 deny 192168100 000255,C3640（config） access-list 1 deny 192168200 000255 定义访问控制列表“access-list 1” 的第二条规则，意思是： 不允许源地址为192.168.20.0、24网段的数据包通过 C3640（config）access-list 1 permit any 定义访问控制列表“access-list 1

13、”的第三条规则，意思是： 放行其他所有数据包。 C3640 （config）interface f0 0 C3640（config-if）ip access-group 1 out 将“access-group 1”访问控制列表作用到Fast Ethernet0/0端口，对离开网络接口的数据包进行过滤。如果该命令为“ip access-group 1 in”，则表示对进入网络接口的数据包进行过滤 C3640（config-if） end C3640show access-lists,2标准访问控制列表测试,3删除已建立的访问控制列表,测试结果表明： “只允许10号网段与20号网段之间能够相互访

14、问”已成功实现。所有数据包尽管能流进C3640 Fast Ethernet0/0，然而PC 1和PC 2所有回复的封包全被Fast Ethernet0/0丢弃了，因为ACL限制了Fast Ethernet0/0的流出数据，标准访问控制列表已发挥作用。 【实训内容】 按照以上实训指导的步骤，实现标准访问控制列表的配置。,1924 扩展访问控制列表配置实训,这里我们要实现“只允许10号网段的计算机能够访问PC 3上的Web 服务和ping服务，只允许20号网段的计算机能够访问PC 4 上的Telnet服务和ping服务”。我们可以通过配置扩展访问控制列表来实现这些功能。 要实现这些功能我们可以分别

15、配置C3620A和C3620B来实现，也可以通过配置C3640路由器实现，这里我们以配置C3640路由器为例进行实训。 注意： 受NetSim版本的影响，以下配置有可能不能在模拟器上实现。,配置过程如下：,C3640： C3640config terminal C3640（config）interface f0 0 C3640（config）access-list 50 permit tcp 192168100 000255 host 192168302 eq 80 “tcp”表示协议，“host”后面是访问的目的主机地址，“eq”后面是端口号对应的网络服务，“80”代表HTTP 服务。意思是

16、： 只允许目的地址为192.168.30.2并且端口号为80 的TCP封包通过 C3640（config）access-list 50 permit icmp 192168100 000255 host 192168302 只允许目的地址为192.168.30.2的ICMP封包通过，我们知道ping封包属于ICMP封包的一种,C3640（config）access-list 50 permit tcp 192168200 000255 host 192168402 eq 23 “23”代表Telnet 服务 C3640（config）access-list 50 permit icmp 192168200 000255 host 192168402 C3640（config）interface f0 0 C3