標(biāo)準(zhǔn)訪問控制列表配置

標(biāo)準(zhǔn)訪問控制列表配置標(biāo)準(zhǔn)訪問控制列表配置標(biāo)準(zhǔn)訪問控制列表配置資料僅供參考文件編號(hào)：2022年4月標(biāo)準(zhǔn)訪問控制列表配置版本號(hào)：A修改號(hào)：1頁次：1.0審核：批準(zhǔn):發(fā)布日期：13.標(biāo)準(zhǔn)訪問列表的實(shí)現(xiàn)一．實(shí)訓(xùn)目的1.理解標(biāo)準(zhǔn)訪問控制列表的概念和工作原理。2.掌握標(biāo)準(zhǔn)訪問控制列表的配置方法。3.掌握對(duì)路由器的管理位置加以限制的方法。二．實(shí)訓(xùn)器材及環(huán)境1．安裝有packet模擬軟件的計(jì)算機(jī)。2．搭建實(shí)驗(yàn)環(huán)境如下：三．實(shí)訓(xùn)理論基礎(chǔ)1．訪問列表概述訪問列表是由一系列語句組成的列表，這些語句主要包括匹配條件和采取的動(dòng)作（允許或禁止）兩個(gè)內(nèi)容。訪問列表應(yīng)用在路由器的接口上，通過匹配數(shù)據(jù)包信息與訪問表參數(shù)來決定允許數(shù)據(jù)包通過還是拒絕數(shù)據(jù)包通過某個(gè)接口。數(shù)據(jù)包是通過還是拒絕，主要通過數(shù)據(jù)包中的源地址、目的地址、源端口、目的端口、協(xié)議等信息來決定。訪問控制列表可以限制網(wǎng)絡(luò)流量，提高網(wǎng)絡(luò)性能，控制網(wǎng)絡(luò)通信流量等，同時(shí)ACL也是網(wǎng)絡(luò)訪問控制的基本安全手段。2．訪問列表類型訪問列表可分為標(biāo)準(zhǔn)IP訪問列表和擴(kuò)展IP訪問列表。標(biāo)準(zhǔn)訪問列表：其只檢查數(shù)據(jù)包的源地址，從而允許或拒絕基于網(wǎng)絡(luò)、子網(wǎng)或主機(jī)的IP地址的所有通信流量通過路由器的出口。擴(kuò)展IP訪問列表：它不僅檢查數(shù)據(jù)包的源地址，還要檢查數(shù)據(jù)包的目的地址、特定協(xié)議類型、源端口號(hào)、目的端口號(hào)等。3．ACL的相關(guān)特性每一個(gè)接口可以在進(jìn)入（inbound）和離開（outbound）兩個(gè)方向上分別應(yīng)用一個(gè)ACL，且每個(gè)方向上只能應(yīng)用一個(gè)ACL。ACL語句包括兩個(gè)動(dòng)作，一個(gè)是拒絕（deny）即拒絕數(shù)據(jù)包通過，過濾掉數(shù)據(jù)包，一個(gè)是允許(permit)即允許數(shù)據(jù)包通過，不過濾數(shù)據(jù)包。在路由選擇進(jìn)行以前，應(yīng)用在接口進(jìn)入方向的ACL起作用。在路由選擇決定以后，應(yīng)用在接口離開方向的ACL起作用。每個(gè)ACL的結(jié)尾有一個(gè)隱含的“拒絕的所有數(shù)據(jù)包(denyall)”的語句。4．ACL轉(zhuǎn)發(fā)的過程5．IP地址與通配符掩碼的作用規(guī)32位的IP地址與32位的通配符掩碼逐位進(jìn)行比較，通配符掩碼為0的位要求IP地址的對(duì)應(yīng)位必須匹配，通配符掩碼為1的位所對(duì)應(yīng)的IP地址位不必匹配。通配符掩碼掩碼的兩種特殊形式：一個(gè)是host表示一種精確匹配，是通配符掩碼掩碼的簡(jiǎn)寫形式；一個(gè)是any表示全部不進(jìn)行匹配，是通配符掩碼掩碼的簡(jiǎn)寫形式。6．訪問列表配置步驟第一步是配置訪問列表語句；第二步是把配置好的訪問列表應(yīng)用到某個(gè)端口上。7．訪問列表注意事項(xiàng)注意訪問列表中語句的次序，盡量把作用范圍小的語句放在前面。新的表項(xiàng)只能被添加到訪問表的末尾，這意味著不可能改變已有訪問表的功能。如果必須要改變，只有先刪除已存在的訪問列表，然后創(chuàng)建一個(gè)新訪問列表、然后將新訪問列表用到相應(yīng)的接口上。標(biāo)準(zhǔn)的IP訪問列表只匹配源地址，一般都使用擴(kuò)展的IP訪問列表以達(dá)到精確的要求。標(biāo)準(zhǔn)的訪問列表盡量靠近目的，由于標(biāo)準(zhǔn)訪問表只使用源地址，因此將其靠近源會(huì)阻止報(bào)文流向其他端口。擴(kuò)展的訪問列表盡量靠近過濾源的位置上，以免訪問列表影響其他接口上的數(shù)據(jù)流。在應(yīng)用訪問列表時(shí)，要特別注意過濾的方向。8．標(biāo)準(zhǔn)IP訪問列表的配置命令access-list（access-list-number）（deny|permit）（source-address）（source-wildcard）[log]access-list-number：標(biāo)準(zhǔn)訪問列表編號(hào)只能是1～99之間的一個(gè)數(shù)字，同時(shí)只要訪問列表編號(hào)在1～99之間，它即可以定義訪問控制列表操作的協(xié)議，也可以定義訪問控制列表的類型；deny|permit：deny表示匹配的數(shù)據(jù)包將被過濾；permit表示允許匹配的數(shù)據(jù)包通過；source-address：表示單臺(tái)或一個(gè)網(wǎng)段內(nèi)的主機(jī)的IP地址；source-wildcard：通配符掩碼；Log：訪問列表日志，如果該關(guān)鍵字用于訪問列表中，則對(duì)匹配訪問列表中條件的報(bào)文作日志。9．標(biāo)準(zhǔn)IP訪問列表的配置命令續(xù)（1）應(yīng)用訪問列表到接口ipaccess-groupaccess-list-numberin|outIn：通過接口進(jìn)入路由器的報(bào)文；Out：通過接口離開路由器的報(bào)文。（2）顯示所有協(xié)議的訪問列表配置細(xì)節(jié)showaccess-list[access-list-number]（3）顯示IP訪問列表showipaccess-list[access-list-number]四．實(shí)訓(xùn)內(nèi)容1．設(shè)置簡(jiǎn)單路由，使Router4能夠訪問Router2；2．在Router2上配置標(biāo)準(zhǔn)ACL，使Router4不能夠訪問Router2。五．實(shí)訓(xùn)步驟(標(biāo)號(hào)的點(diǎn)需要改嗎字體與前面不同，不是宋體)1.設(shè)置路由器Router1的Ethernet0和Serial0兩個(gè)接口的IP屬性，并予以激活。Ethernet0：Serial0：命令如下：Router>Router#Router#configtRouter(config)#hostnameRouter1Router1(config)#Router1(config)#interfaceethernet0Router1(config-if)#ipaddressRouter1(config-if)#noshutdownRouter1(config-if)#exitRouter1(config)#interfaceserial0Router1(config-if)#ipaddressRouter1(config-if)#noshutdownRouter1(config-if)#exitRouter1(config)#exit2.設(shè)置路由器Router2的Ethernet0接口的IP屬性，并予以激活。Ethernet0：命令如下：Router>Router>enableRouter#Router#configtRouter(config)#hostnameRouter2Router2(config)#Router2(config)#interfaceethernet0Router2(config-if)#ipaddressRouter2(config-if)#noshutdownRouter2(config-if)#exitRouter1(config)#exit3.在Router2上使用Ping命令查看和路由器Router1中Ethernet0接口的連通性。Router2#ping4.設(shè)置路由器Router4的Serial0接口的IP屬性，并予以激活。Serial0：然后使用Ping命令查看和路由器Router1中Serial0接口的連通性。Router>Router>enableRouter#Router#configtRouter(config)#hostnameRouter4Router4(config)#Router4(config)#interfaceserial0Router4(config-if)#ipaddressRouter4(config-if)#noshutdownRouter4(config-if)#exitRouter4(config)#exitRouter4#ping5.在路由器1上啟用RIP動(dòng)態(tài)路由協(xié)議，再使用network命令配置需要進(jìn)行通告的網(wǎng)絡(luò)號(hào)。Router1#configtRouter1(config)#routerripRouter1(config-router)#networkRouter1(config-router)#exitRouter1(config)#exit6.在路由器2上啟用RIP動(dòng)態(tài)路由協(xié)議，再使用network命令配置需要進(jìn)行通告的網(wǎng)絡(luò)號(hào)。Router2#conftRouter2(config)#routerripRouter2(config-router)#networkRouter2(config-router)#exitRouter2(config)#exit7.最后在路由器4上啟用RIP動(dòng)態(tài)路由協(xié)議，再使用network命令配置需要進(jìn)行通告的網(wǎng)絡(luò)號(hào)。Router4#conftRouter4(config)#routerripRouter4(config-router)#networkRouter4(config-router)#exitRouter4(config)#exit8.上述通道建立之后，我們從Router4上ping路由器Router2的Ethernet0接口。Router4#ping9.為了能使路由器4和路由器2之間能夠相互Ping通，下面我們進(jìn)入路由器2的全局配置模式。Router2#conftRouter2(config)#10.下面我們可以使用三種方式在路由器2上創(chuàng)建一條訪問控制列表，如果拒絕，選擇①、②、③語句中任意一條，則允許所有從發(fā)來的數(shù)據(jù)包通過。①Router2(config)#access-list1denyhost-----OR---②Router2(config)#access-list1deny-----OR---③Router2(config)#access-list1deny-----THEN---Router2(config)#access-list1permitany11.使用下列命令將上述訪問規(guī)則應(yīng)用到路由器2的Ether