驗報告
指導老師:姚育生 實驗者:樊申申 時間:2010-1-24
實驗項目:ACCESS訪問控制列表 |
實驗目的:掌握ACCESS標準和擴展列表的使用 |
設備需求、組網拓撲、IP數據: |
實驗項目:
1、拒絕R1的1網段訪問R3的5網段,其它均能正常訪問
2、拒絕R1的1網段訪問R3的5網段的HTTP服務器 |
一:下面來介紹一下ACCESS訪問控制列表
標準ACL:
• 如果想允許或者禁止來自於某各個網絡的所有數據流,可以使用標準ACL。標準ACL檢查數據報的源地址。即根據地址中的網絡,子網和主機位,來允許或者拒絕來自於整套協議的數據報。
• 例如,來自於E0端口的數據報,將檢查它的源地址和協議,如果被允許,將輸出到S0端口。如果被禁止,數據報將被丟棄。
•
標準ACL的配置
• 使用標準版本的access-list全局配置命令來定義一個帶有數字的標準ACL。這個命令用在全局配置模式下。
Router(config)# access-list access_list_number {deny|permit} source [source-wildcard ] [log]
• 使用這個命令的no形式,可以刪除一個標準ACL。語法是:
Router(config)# no access-list access_list_number
擴展ACL :
• 擴展ACL提供了比標準ACL更大範圍的控制,因而運用更廣。例如,可以使用擴展ACL來實現允許Web數據流,而禁止FTP或Telnet。
• 擴展ACL可以檢查源地址和目標地址,特定的協議,端口號,以及其它的參數。一個數據報,可以根據它的源或者目標地址,而被允許或者禁止。例如,擴展ACL可以允許來自於E0而到S0的e-mail數據,而禁止遠程登錄或者文件傳輸。
• 假設端口E0與一個擴展ACL相關聯。可以使用精確的邏輯指令,來創建ACL。在一個數據報進入這個端口前,相應的ACL將對其進行檢查。
• 基於擴展ACL檢查,數據報將被允許或禁止。對於進入端口的數據,允許的數據報將被繼續處理。對於發出端口的數據,允許的數據報將被轉發到端口。拒絕的數據報將被丟棄,某些協議還會向發端發送數據報,說明目標不可到達。
• 一個ACL中可以包含任意多條指令。每一條指令,應該具有相同的標識名或者數字。ACL中的指令越多,就越難理解和管理。所以,爲ACL做好文檔可以防止混淆。
擴展ACL配置:
• 完全形式的access-list命令爲:
Router(config)# access-list access_list_number {permit|deny}
protocol source [source_mask destination
destination_mask operator operand [established]
• 命令"ip access-group"將一個存在的擴展ACL和一個端口關聯。記住:一個端口的一個方向的某套協議,只允許存在一個ACL。
Router(config-if)# {protocol} access-group access_list_number {in|out}
實站標準和擴展ACL配置:
實站1,標準ACL配置,目的拒絕R1的1網段訪問R3的5網段,其它均能正常訪問
配置各個路由接口IP:
R1:F0/0
R1:S0/0/0
R2:F0/0
R2:S0/0/0
R2:S0/0/1
R3:F0/0
R3:S0/0/0
好接口IP配置完成以後,爲了跨網段通信下面我們來配置RIP
R1
R2
R3
好RIP配置完成,下面我們來查看一下路由表
R1
R2
R3
下面進行測試一下用PC機
PC1
PC2
又完成了一項,下面我們來配置ACL的標準控制列表。
在這裏ACL標準控制列表的配置爲什麼要在R3上配置呢?
因爲標準ACL儘可能靠近目標,記住這一句話。
R3(CONFIG)#Access-list 10 deny 192.168.1.0 0.0.0.255
這裏的10表示的是一個序號,標準ACL的序號在1-99之間,DENY是關閉,關閉什麼呢?,關閉源網絡號爲192.168.1.0的網段來訪問我們的5.0網段(下面把這張ACL表應用在在.0也就是F0/0接口上),0.0.0.255是192.168.1.0網段的通配符。
R3(CONFIG)#ACCESS-LIST 10 PERMIT ANY 序列同上一條一樣,PERMIT是允許的意思,允許什麼呢?ANY表示所有的意思。
R3(CONFIG)#INTERFACE F0/0 ,爲什麼是F0/0?引用上一句話標準ACL儘可能靠近目標。
好下面一句
R3(CONFIG-if)#IP ACCESS-GROUP 10 OUT
序號同上,OUT出,表示當1.0網段數據到達4.0段的時候,路由器會把這個數據包送出到5.0段,送出就是OUT。
配置完成以後我們來查看一下ACL列表
查看接口信信息
第九行表示的是
出站的ACL控制列表爲10。
第十行爲IN沒有對進入數據包進行控制。
下面我們來用PC機進行測試
PC1
PC1是PING 不通的,下面看一下PC2
已經達到我們的第一個要求了。
下面我們來刪除ACL控制列表
刪除接口應用的列表和刪除整個配置ACL表.
好標準的已配置完成,下面來進行我們的第二步,擴展ACL列表
二、
拒絕R1的1網段訪問R3的5網段的HTTP服務器
具體配置如下
在這裏爲什麼要在R1路由上配置呢,同樣記住一句話
擴展ACL儘可能靠近源
既然是拒絕1.0網段的HTTP協議,那當然就是在F0/0口設置了。
這裏的122是序號,擴展的序號範圍是從100-199,HTTP是基於TCP協議的,所以所關閉的是TCP協議中的HTTP,下面是源網絡號,目標網絡號,EQ是標識,標識協議所用到的端口。
下面來查看一下ACL列表
好用PC機來測試一下
之前未配置擴展ACL列表之前的狀態
之後的狀態
PC2
到此完成 |
注意:在配置的時候一定不要把進站IN和出站OUT弄混了,否則所配置的列表不起認何作用。 |
|
|