发布日期:2015-10-08 09:16 来源: 标签: 网络技术教程 网络实验教程 标准IP访问 IP访问控制列表
IP访问控制是对经过网络设备的数据包根据一定的规则进行数据包的过滤,达到安全的目的。标准访问列表根据数据包源IP地址进行规则定义。

实验名称:标准IP访问控制列表。

实验目的:掌握路由器上标准IP访问控制列表规则及配置。

技术原理:IP访问控制是对经过网络设备的数据包根据一定的规则进行数据包的过滤,达到安全的目的。标准访问列表根据数据包源IP地址进行规则定义。

1.定义标准ACL

Ø 编号的标准访问列表

Router(config)#access-list <1-99> {permit|deny} 源地址 [反掩码]

Ø 命名的标准访问列表

switch(config)# ip access-list standard < name >

switch(config-std-nacl)#{permit|deny} 源地址 [反掩码]

2.应用ACL到接口

Router(config-if)#ip access-group <1-99> { in | out }

实现功能:实现网段间相互访问的安全控制。

实验设备:R1762路由器两台,V.35线缆一条,直连线或交叉线三根。

实验拓朴:


实验步骤:1. router1基本配置。

Router(config)#hostname router1 

Router1(config)#interface fastethernet 1/0

Router1(config-if)#ip address 172.16.1.1 255.255.255.0 

Router1(config-if)#no shutdown

Router1(config)#interface fastethernet 1/1

Router1(config-if)#ip address 172.16.2.1 255.255.255.0

Router1(config-if)#no shutdown

Router1(config)#interface serial 1/2

Router1(config-if)#ip add 172.16.3.1 255.255.255.0

Router1(config-if)#clock rate 64000

Router1(config-if)#no shutdown

Router1(config-if)#end

Router1#show ip interface brief  ! 查处接口状态。

Interface                        IP-Address(Pri)      OK?       Status

serial 1/2                       172.16.3.1/24        YES       DOWN

serial 1/3                       no address            YES       DOWN

FastEthernet 1/0                 172.16.1.1/24        YES       DOWN

FastEthernet 1/1                 172.16.2.1/24        YES       DOWN

Null 0                           no address           YES       UP

 

2. router2基本配置。

Router(config)#hostname router2 

Router2(config)#interface fastethernet 1/0

Router2(config-if)#ip address 172.16.4.1 255.255.255.0 

Router2(config-if)#no shutdown

Router2(config)#interface serial 1/2

Router2(config-if)#ip add 172.16.3.2 255.255.255.0

Router2(config-if)#no shutdown

Router2(config-if)#end

Router2#show ip interface brief  ! 查处接口状态。

Interface                        IP-Address(Pri)      OK?       Status

serial 1/2                       172.16.3.2/24        YES       DOWN

serial 1/3                       no address           YES       DOWN

FastEthernet 1/0                 172.16.4.1/24        YES       DOWN

FastEthernet 1/1                 no address           YES       DOWN

Null 0                           no address           YES       UP

Router1(config)#ip route 172.16.4.0 255.255.255.0 serial 1/2   !配置静态路由。

Router2(config)#ip route 172.16.1.0 255.255.255.0 serial 1/2   !配置静态路由。

Router2(config)#ip route 172.16.2.0 255.255.255.0 serial 1/2   !配置静态路由。

Router1#show ip route !查看路由表信息。

Codes:  C - connected, S - static,  R - RIP

        O - OSPF, IA - OSPF inter area

        N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2

        E1 - OSPF external type 1, E2 - OSPF external type 2

        * - candidate default

 

Gateway of last resort is no set

C    172.16.3.0/24 is directly connected, serial 1/2

C    172.16.3.1/32 is local host.

S    172.16.4.0/24 is directly connected, serial 1/2

注意:两台路由器没连接之前只能显示:

Codes:  C - connected, S - static,  R - RIP

        O - OSPF, IA - OSPF inter area

        N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2

        E1 - OSPF external type 1, E2 - OSPF external type 2

        * - candidate default

 

Gateway of last resort is no set

Router2#show ip route !查看路由表信息。

Codes:  C - connected, S - static,  R - RIP

        O - OSPF, IA - OSPF inter area

        N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2

        E1 - OSPF external type 1, E2 - OSPF external type 2

        * - candidate default

 

Gateway of last resort is no set

S    172.16.1.0/24 is directly connected, serial 1/2

S    172.16.2.0/24 is directly connected, serial 1/2

C    172.16.3.0/24 is directly connected, serial 1/2

C    172.16.3.2/32 is local host.

3.配置标准访问控制列表。

Router2(config)#access-list 1 deny 172.16.2.0 0.0.0.255  !拒绝来自172.16.2.0网段的流量通过。

Router2(config)#access-list 1 permit 172.16.1.0 0.0.0.255  !允许来自172.16.1.0网段的流量通过。

Router2#show access-lists 1

Standard IP access list 1 includes 2 items:

    deny   172.16.2.0, wildcard bits 0.0.0.255

    permit 172.16.1.0, wildcard bits 0.0.0.255

4.在接口下应用访问控制列表。

Router2(config)#interface fastethernet 1/0

Router2(config-if)#ip access-group 1 out  ! 访问列表的出栈应用

Router2#show ip interface fastethernet 1/0

FastEthernet 1/0

  IP interface state is: DOWN

  IP interface type is: BROADCAST

  IP interface MTU is: 1500

  IP address is:

    172.16.4.1/24 (primary)

  IP address negotiate is: OFF

  Forward direct-boardcast is: ON

  ICMP mask reply is: ON

  Send ICMP redirect is: ON

  Send ICMP unreachabled is: ON

  DHCP relay is: OFF

  Fast switch is: ON

  Route horizontal-split is: ON

  Help address is: 0.0.0.0

  Proxy ARP is: ON

  Outgoing access list is 1.

  Inbound access list is not set.

5.验证测试。(172.16.2.0网段的主机不能ping通172.16.4.0网段的主机,172.16.1.0网段的主机能ping通172.16.4.0网段的主机)

注意事项:

1.访问控制列表的网络掩码是反掩码。

2.访问控制列表要尽量应用在靠近目的地址的接口。

3. 路由器或三层交换机缺省允许所有的信息流通过而防火墙缺省封锁所有的信息流,然后对希望提供的服务逐项开放。

4. 从头到尾,至顶向下的匹配方式,匹配成功马上停止,执行规则中的denypermit

5. 一个端口在一个方向上只能应用一组ACL

相关评论

专题信息
    网络技术是从1990年代中期发展起来的新技术,它把互联网上分散的资源融为有机整体,实现资源的全面共享和有机协作,使人们能够透明地使用资源的整体能力并按需获取信息。本教程从交换机、路由器、防火墙、网络安全四个方面来讲解了一些实例。