第13课 标准ip访问控制列表配置

《第13课 标准ip访问控制列表配置》由会员上传分享，免费在线阅读，更多相关内容在行业资料-天天文库。

第13课：标准IP访问控制列表配置注意：入栈端口和出栈端口实验目标�理解标准IP访问控制列表的原理及功能；�掌握编号的标准IP访问控制列表的配置方法；实验背景�你是公司的网络管理员，公司的经理部、财务部门和销售部分别属于不同的3个网段，三部门之间用路由器进行信息传递，为了安全起见，公司领导要求销售部门不能对财务部进行访问，但经理部可以对财务部进行访问。�PC1代表经理部的主机、PC2代表销售部的主机、PC3代表财务部的主机。技术原理�ACLs的全称为接入控制列表(AccessControlLists)，也称为访问列表（AccessLists），俗称为防火墙，在有的文档中还称之为包过滤。ACLs通过定义一些规则对网络设备接口上的数据报文进行控制：允许通过或丢弃，从而提高网络可管理性和安全性；�IPACL分为两种：标准IP访问列表和扩展IP访问列表，编号范围分别为1～99、1300～1999；100～199、2000～2699；�标准IP访问列表可以根据数据包的源IP地址定义规则，进行数据包的过滤；�扩展IP访问列表可以根据数据包的源IP、目的IP、源端口、目的端口、协议来定义规则，进行数据包的过滤；�IPACL基于接口进行规则的应用，分为：入栈应用和出栈应用；实验步骤�新建packettracer拓扑图（如图）（1）路由器之间通过V.35电缆通过串口连接，DCE端连接在R1上，配置其时钟频率64000；主机与路由器通过交叉线连接。（2）配置路由器接口IP地址。（3）在路由器上配置静态路由协议，让三台pc能相互ping通，因为只有在互通的前提下才能涉及到访问控制列表。（4）在R1上配置编号的IP标准访问控制列表。（5）将标准IP访问列表应用到接口上。（6）验证主机之间的互通性。配置过程：第一步：首先配置三台PC的IP：主机0的IP为172.16.1.2255.255.255.0172.16.1.1主机1的IP为172.16.2.2255.255.255.0172.16.2.1主机2的IP为172.16.4.2255.255.255.0172.16.4.1 ↓↓路由器R1设置：Router>enableRouter#configureterminalRouter(config)#hostnameR1R0(config)#intfa0/0R0(config-if)#ipadd172.16.1.1255.255.255.0R0(config-if)#noshutdownR0(config-if)#intfa1/0R0(config-if)#ipadd172.16.2.1255.255.255.0R0(config-if)#noshutdownR0(config-if)#ints2/0R0(config-if)#ipadd172.16.3.1255.255.255.0R0(config-if)#noshutdownR0(config-if)#clockrate64000↓↓路由器R2设置：Router>enableRouter#configureterminalRouter(config)#hostnameR2R1(config)#ints2/0R1(config-if)#ipaddress172.16.3.2255.255.255.0R1(config-if)#noshutdownR1(config-if)#intfa0/0R1(config-if)#ipaddress172.16.4.1255.255.255.0R1(config-if)#noshutdown第二步：接下来配置路由表，通过静态路由实现继续路由器R1设置：R0(config-if)#exitR0(config)#iproute172.16.4.0255.255.255.0172.16.3.2设置静态路由↓继续路由器R2设置：R1(config-if)#exitR1(config)#iproute0.0.0.00.0.0.0172.16.3.1设置缺省路由，下一跳的那个路由器上接了两个网段，因都要到达不好设置目标网络。R1(config)#end↓测试：三台PC互通现在 ↓↓第三步：在R1上配置基本访问控制列表（要求配置，主机1能访问主机3；主机2不能访问主机3）创建基本访问控制列表有两种方式，一种通过命名的方式来创建，另一种通过编号的方式来创建。在这里采用命名的方式来创建。R1>enR1#configureterminalR1(config)#ipaccess-liststandardmm(创建基本访问控制列表standard，名字为mm)R1(config-std-nacl)#进入访问控制列表模式//R1(config-std-nacl)#permit?允许//A.B.C.DAddresstomatch允许某一个网段？//anyAnysourcehost允许任何的地址？//hostAsinglehostaddress允许某一个主机？R1(config-std-nacl)#permit172.16.1.00.0.0.255(允许172.16.1.0网段)R1(config-std-nacl)#deny172.16.2.00.0.0.255(在这里这条可以不写，默认写完上面那一条以后，默认只让上面那条通过)R1(config-std-nacl)#end注释：1、访问控制列表的网络掩码是反掩码；R1#configureterminal2、标准控制列表应用要尽量靠近目的地址的接口R1(config)#intserial2/0（配置完访问控制列表后，需要在某个端口上应用一下。这里在出口端口上应用）R1(config-if)#ipaccess-groupmmout（应用指令，也是可以）R1(config-if)#end(说明：in：是互联网数据进入路由器)out：是路由器的数据经过此端口进入互联网)=====================================================ACL：防火墙功能可以限制某一款软件，某一个端口等等白名单：允许访问黑名单：禁止访问