返回
实训三访问控制列表

实训三访问控制列表

ID:22280781

大小:899.18 KB

页数:13页

时间:2018-10-28

实训三访问控制列表_第1页
实训三访问控制列表_第2页
实训三访问控制列表_第3页
实训三访问控制列表_第4页
实训三访问控制列表_第5页
资源描述:

《实训三访问控制列表》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库

1、实训二、网络控制列表一、实训说明:ACL(AccessControlList,访问控制列表),简单说就是过滤,在路由器上读取第三层及第四层包头中的信息如源地址、目的地址、源端口、目的端口等,根据预先定义好的规则对包进行过滤,从而达到访问控制的目的。ACL的主要功能就是一方面保护资源节点,阻止非法用户对资源节点的访问,另一方面限制特定的用户节点所能具备的访问权限。ACL并不复杂,但在实际应用屮的,要想恰当地应用ACL,必需要制定合理的策略。配置ACL的基本原则:在实施ACL的过程中,应当遵循如下两个基本原则:最小特权原则:以给受控对象完成任务所必须的最小的权限

2、。最靠近受控对象原则:所有的网络层访问权限控制。具体规则如下:1、入站访问控制列表:将到来的分组路山到出站接口之前对其进行处理。因为如果根据过滤条件分组被丢弃,则无需查找路由选择表;如果分组被允许通过,则对其做路由选择方面的处理。2、出站访问列表:到来的分组首先被路由到出站接口,并在将其传输出去之前根据出站访问列表对其进行处理。3、访问控制列表的顺序决定被检验的顺序,最特殊的的规则极该被刚到访问控制列表的前面。4、任何访问列表都必须至少包含一条permit语句,否则将禁止任何数据流通过。5、同一个访问列表被用于多个接口,然而,在每个接口的每个方向上,针对每种

3、协议的访问列表只能有一个。6、在每个接U的每个方向上,针对每种协议的访问列表只能有一个。同一个接口上可以有多个访问列表,但必须是针对不同协议的。7、将具体的条件放在_般性条件的前面;将常发生的条件放在不常发生的条件前面。8、新添的语句总是被放在访问列表的末尾,但位于隐式deny语句的前而。9、使用编号的访问列表时,不能有选择性的删除其中的语句;但使用名称访问列表时可以。10、除非显式地在访问列表末尾添加一条permitany语句,否则默认情况下,访问列表将禁止所有不与任何访问列表条件匹配的数据流。11、访问控制列表应绑定到端口上,创建访M列表后再将其应用于接

4、口,如果应用于接U的访问列表米定义或不存在,该接U将允许所有数据流通过。12、访问列表只过滤经由当前路由器的数据流,而不能过滤当前路由器发送的数据流。13、应将扩展访问列表放在离禁止通过的数据流源尽可能近的地方。14、标准访问列表不能指定口标地址,应将其放在离口的地尽可能近的地方。ACL局限性:由于ACL是使用包过滤技术來实现的,过滤的依裾又仅仅只是第三层和第四层包头中的部分信息,这种技术具冇一些固冇的局限性,如无法识别到具体的人,无法识别到应用内部的权限级别等。因此,要达到endtoend的权限控制目的,需要和系统级及应用级的访问权限控制结合使用。完成本实

5、验所需的基本操作技术:PacketTracer仿真砍件的使用本实验涉及的知识点:包过滤:技术本实验中的技术点:配置访问控制列表的规则本实验涉及的技能:路由器的配置二、实训目的:掌握访问控制列表的设置规则,提升对于网络的应用能力。三、实训硬件环境:计算机,思科交换机等设备,M络仿真软件。四、实训任务(1)、ACL配置实例1、网络拓扑图图一、网络拓扑图2、因为路由器选择的是2620XM。没有串口,所以在両拓扑图之前,先为路由器增加串口,如下图。图二、2620XM增加串口3、路由器配置图三、R1的1P地址和时钟配置Router1B回®PhysicalConfigC

6、LIIOSCommandLineInterfacewixlxyxi/#Aconngjjroux^errip1(config-router)券networkI(config-router)#network192.168.1.0172.168.1.0KXCUIXLXIJLUi#R1(config-router)#exit图叫、R1的动态路巾配置(RTP)-通过命令行图五、R0配置图六、R0的动态路山配置(RTP)-通过图形界面4、PC配置以及测试连通性PCO□回®PhysicalConfigDesktopIPConfigurationODHCP©Static

7、WebBrowserIPAddressSubnetMaskDefaultGatewayDNSServer192.168.1.2255.(255.255.0192.168.1.1图七、PC配置PhysicalConfigDesktopCommandPromptPOPOipconfig:PAddress:192.168.1.2JubnetMask:2SS.2SS.2SS.0defaultGateway:192-168-1.1POping172.168.1.2Pinging172.168.1.2with32bytesofdata:Replyfrom172.168-

8、1.2:bytes=32time=94nxsTTL=

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。