返回
《计算机网络实验报告》实验五预习

《计算机网络实验报告》实验五预习

ID:41567697

大小:58.95 KB

页数:4页

时间:2019-08-27

《计算机网络实验报告》实验五预习_第1页
《计算机网络实验报告》实验五预习_第2页
《计算机网络实验报告》实验五预习_第3页
《计算机网络实验报告》实验五预习_第4页
资源描述:

《《计算机网络实验报告》实验五预习》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、实验五ACL配置ConfigurationofAccessControlList实验学时:2实验类型:设计型前修课程名称:计算机网络适用专业:计算机科学与技术专业—、实验目的要求1、学生掌握路由访问控制列表配置方法;2、熟悉和掌握用访问控制列表控制IP通信、扩展IP访问列表(协议、端口)配置的方法。二、实验知识1、防火墙技术由于路由器工作在网络层,因此可以在网络层针对单个数据包进行访问。这种对于数据包的访问控制技术一般被称为防火墙技术。实施防火墙技术的目的是为了保护内部网络免遭非法数据包的侵害。防火墙一般布

2、置在一个网络的边缘,用于控制进入网络的数据包的种类。路由器的防火墙配置包扌舌两方面的内容:一是定义对特定数据流的访问控制规则,即定义访问控制列表(AccessControlList,ACL);二是将特定的规则应用到具体的接口上,从而过滤特定方向的数据流。通过网络层数据包过滤设置,可以限制网络流量、增强安全性。2、访问控制列表路由器为了过滤数据包,需要配置一系列的规则,以决定什么样的数据包能够通过,这些规则就是通过访问控制列表定义的。ACL是[tlpermitIdeny语句组成的一系列有顺序的规则列表,这些规

3、则根据数据包的源地址、目的地址、端口号等来描述。ACL通过这些规则对数据包进行分类,并将这些规则应用到路由器的接口中。路由器根据这些规则来判断哪些数据可以接收,哪些数据包需要拒绝。访问列表分为两类:标准访问控制列表和扩展访问控制列表。3、标准访问列表:只对数据包中的源地址进行检査,在全局配置模式下进行设置。根据在设备中定义列表的方式,可以将列表分为编号列表和命名列表两类A)编号法标准访问列表的格式为:Access-listlistnumber{permitIdeny}address[wildcard-mas

4、k]此格式表示:允许或拒绝來自指定网络的数据包,该网络由IP地址(address)和掩码(屏蔽码)指定。其屮listnumber为规则序号,标准访问控制列表的规则序号范I韦I为1-99opermit和deny表示允许或禁止满足该规则的数据包通过。Addresswildcard-mask分别为IP地址和掩码(屏蔽码),指定某个网络。如果IP地址指定为any,则表示所有IP地址,而且不需配置指定相应的掩码.注意:屏蔽码的定义与掩码不同,它也是一个点分十进制数表示的一个32位的二进制值,其中为0的代表只有到来数据

5、包的源地址对应位与列表的对应位一一匹配才认为到来数据包是列表数据,需要进行控制;为1的位代表模糊处理,即不匹配也不影响列表对特征数据的判断。列表的形成完全依赖于写入的先后顺序,先写入的自然在第一条,依次排列。列表对进入的数据进行匹配查询时也是按照从上到下的顺序,一旦找到对应的列表项即退出列表不再往下继续查询。这时,如果定义列表时没有将小范I韦I源地址放在列表的前儿项,而是把整个大范围的网络采取的动作写入了列表的前面,就会使设备形成错误的判断。例如,当设备需要对A网段的a主机特殊照顾允许其通过检查,而对除a之

6、外的主机进行限行处理时,列表1和列表2将会产生完全不同的结果。列表1定义:access-list1permita255.255.255.255.access-list1denyAA网段的网络掩码列表2定义:access-list1denyAA网段的网络掩码access-list1permita255.255.255.255这时,由于A包含了a,所以当a数据到达设备进行检查时,如果在列表2的作用下,a会因为己经匹配了此列表的第一个列表项而退岀列表,不再进行下而的列表项查询,因此列表2将无法达到a主机的特权设置

7、。列表1则可以实现此目的。基于神州数码DCR-2626路由器的标准访问列表配置命令:Router#conflgRouter_config#ipaccess-liststandard1〃定义标准的访问控制列表Router_config_std_nacl#deny192.168.0.0255.255.255.0/基于源地址Router_config_std_nacl#permitany〃因为有隐含的DENYANYB)命名法由于数值表示的访问控制列表在列表进行改动吋无法将其中的某条删除,这样当我们需要对访问列表的

8、某条进行更改时,只能先将整个列表一同删除,再一条一条将修改后的写入。而且数值表示的列表很不直观,一段时间之后,网管员也容易忘记当时配置访问列表的FI的为何了,因此,在设备实现中可以采用另外一种方式配置•这就是命名的访问控制列表。命名的列表配置分两步骤进行:一是创建一个列表并进入到列表配置模式:二是在独立的模式中配置具体列表项。整个过程如下所示:Router_congfig#ipaccess-liststandar

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。