8 标准访问控制列表

标准IP访问控制列表的配置及应用一、拓扑结构图；二、访问控制列表的概念；1．访问控制列表(Access Control List，ACL)是应用在路由器（或三层交换机）端口上的控制列表。

ACL可以允许（permit）或拒绝（deny）进入或离开路由器的数据包（分组），通过设置可以允许或拒绝网络用户使用路由器的某些端口，对网络系统起到安全保护作用。

访问控制列表（ACL）实际上是一系列允许和拒绝匹配准则的集合。

2．IP访问控制列表可以分为两大类：标准IP访问控制列表，只对数据包的源IP地址进行检查。

其列表号为1~99或者1300~1999。

扩展IP访问控制列表，对数据包的源和目标IP地址、源和目标端口号等进行检查，可以允许或拒绝部分协议。

其列表号为100~199或2000~2699。

3．访问控制列表对每个数据包都以自上向下的顺序进行匹配。

如果数据包满足第一个匹配条件，那么路由器就按照该条语句所规定的动作决定是拒绝还是允许；如果数据包不满足第一个匹配条件，则继续检测列表的下一条语句，以此类推。

数据包在访问控制列表中一旦出现了匹配，那么相应的操作就会被执行，并且对此数据包的检测到此为止。

后面的语句不可能推翻前面的语句，因此访问控制列表的过滤规则的放置顺序是很讲究的，不同的放置顺序会带来不同的效果。

三、技术原理；假设某公司的经理部，销售部和财务部分别属于不同的网段，出于安全考虑，公司要求经理部的网络可以访问财务部，而销售部无法访问财务部的网络，其他网络之间都可以实现互访。

访问控制列表一般是布局于需要保护的网络与其他网络联接的路由器中，即为距离被保护网络最接近的路由器上。

配置标准IP访问控制列表：1.定义标准IP访问控制列表；Router (config)#access-list access-list-number deny/permit source-address source-wildcard/*source-wildcard为数据包源地址的通配符掩码。

标准访问控制列表配置当网络管理员想要阻止某一网络的所有通信流量时，或者允许来自某一特定网络的所有通信流量时，或者想要拒绝某一协议簇的所有通信流量时，可以使用标准访问控制列表实现这一目标。

标准ACL检查可以过滤被路由的数据包的源地址、从而允许或拒绝基于网络、子网或主机IP地址的某一协议簇通过路由器出口。

一、实验内容1、在路由器的 E 0/0 口添加“ACL 访问控制列表6”并对转出（从路由器端口出来转向交换机或主机）的数据包进行过滤，实现功能：禁止将 HostC、HostD 的数据包通过路由器 E 0/0 口转发到 HostA、HostB 。

其结果是：（对于 TCP 数据包来说，访问是双向的，只要 A 不能访问 B ，则 B 也将不能访问 A）●HostA和HostB之间可以通信，但无法访问HostC、HostD。

●HostC和HostD之间可以通信，但无法访问 HostA、HostB。

2、在路由器的 E 0/1 口添加“ACL 访问控制列表10”并对转出（从路由器端口出来转向交换机或主机）的数据包进行过滤，实现功能：禁止 HostA 、HostC 访问 Server E 服务器。

由于标准ACL访问控制列表只能根据数据包的源地址来过滤通信流量，因此，应该将ACL访问控制列表放置离目标地址最近的地方。

二、实验目的1、掌握标准访问控制列表的原理2、掌握标准访问控制列表的配置三、网络拓朴五、实验过程（需要将相关命令写入实验报告）1、根据上述图示进行交换机、路由器、主机的连接2、设置主机的IP地址、子网掩码和默认网关3、配置路由器接口Router> enableRouter# configure terminalRouter(config)# interface ethernet 0/0Router(config-if)# ip address 192.168.1.1 255.255.255.0Router(config-if)# no shutdownRouter(config-if)# exitRouter(config)# interface ethernet 0/1Router(config-if)# ip address 192.168.3.1 255.255.255.0Router(config-if)# no shutdownRouter(config-if)# exitRouter(config)# interface ethernet 0/2Router(config-if)# ip address 192.168.2.1 255.255.255.0Router(config-if)# no shutdownRouter(config-if)#exit4、配置访问控制列表6并将之添加到 Ethernet 0/0接口的out方向上Router(config)# access-list 6 deny 192.168.2.0 0.0.0.255Router(config)# access-list 6 permit anyRouter(config)# interface ethernet 0/0Router(config-if)# ip access-group 6 outRouter(config-if)# exit5、配置访问控制列表10并将之添加到 Ethernet 0/1接口的out方向上Router(config)# access-list 10 deny host 192.168.1.2Router(config)# access-list 10 deny host 192.168.2.2Router(config)# access-list 10 permit anyRouter(config)# interface ethernet 0/1Router(config-if)# ip access-group 10 outRouter(config-if)# exit6、查看设置的访问控制列表信息Router# show access-lists7、查看e 0/0 接口上设置的访问控制列表信息Router# show ip interface e 0/08、查看e 0/1 接口上设置的访问控制列表信息Router# show ip interface e 0/1。

1、什么是访问控制列表？访问控制列表在Cisco IOS软件中是一个可选机制，可以配置成过滤器来控制数据包，以决定该数据包是继续向前传递到它的目的地还是丢弃。

2、为什么要使用访问控制列表？最初的网络只是连接有限的LAN和主机，随着路由器连接内部和外部的网络，加上互联网的普及，控制访问成为新的挑战，网络管理员面临两难的局面：如何拒绝不期望的访问而允许需要的访问？访问控制列表增加了在路由器接口上过滤数据包出入的灵活性，可以帮助管理员限制网络流量，也可以控制用户和设备对网络的使用，它根据网络中每个数据包所包含的信息内容决定是否允许该信息包通过接口。

3、访问控制列表有哪些类型？访问控制列表主要可以分为以下两种：A、标准访问控制列表：标准访问控制列表只能够检查可被路由的数据包的源地址，根据源网络、子网、主机IP地址来决定对数据包的拒绝或允许，使用的局限性大，其序列号范围是1-99。

B、扩展访问控制列表：扩展访问控制列表能够检查可被路由的数据包的源地址和目的地址，同时还可以检查指定的协议、端口号和其他参数，具有配置灵活、精确控制的特点，其序列号的范围是100-199。

以上两种类型都可以基于序列号和命名来配置，我们建议使用命名来配置访问控制列表，这样在以后的修改中也是很方便的。

4、访问控制列表具有什么样的特点？A、它是判断语句，只有两种结果，要么是拒绝(deny),要么是允许(permit)；B、它按照由上而下的顺序处理列表中的语句；C、处理时，不匹配规则就一直向下查找，一旦找到匹配的语句就不再继续向下执行；D、在思科中默认隐藏有一条拒绝所有的语句，也就默认拒绝所有(any);由上面的特点可以总结出，访问控制列表中语句的顺序也是非常重要的，另外就是所配置的列表中必须有一条允许语句。

5、配置访问控制列表需要注意什么？A、访问控制列表只能过滤流经路由器的流量，对路由器自身发出的数据包不起作用。

B、一个访问控制列表中至少有一条允许语句。

“网络工程师培训”基础教程：标准访问控制列表和扩展访问控制列表标准访问控制列表概况标准列表的规则序列号的范围为：1∼99。

标准列表只使用 1 个条件判别数据包：数据包的源地址。

标准访问列表可以指定一个源地址段，这是由 IP 地址和地址通配符组合定义的一个地址段。

标准访问控制列表的命令配置此格式表示：允许或拒绝来自指定网络的数据包，该网络由IP地址（ip-address）和地址通配掩码位（wildcard-mask）指定。

其中：normal 和 special 表示该规则是在普通时间段中有效还是在特殊时间段中有效。

listnumber 为规则序号，标准访问列表的规则序号范围为 1-99。

permit 和 deny 表示允许或禁止满足该规则的数据包通过。

ip-address 和 wildcard-mask 分别为 IP 地址和通配比较位，用来指定某个网络。

如果 IP 地址指定为 any ，则表示所有 IP 地址，而且不需配置指定相应的通配位（通配位缺省为 0.0.0.0 ）。

扩展访问控制列表概况扩展列表使用数据包的源地址的同时，还使用目的地址，和协议号（TCP、UDP 等）。

对于TCP、UDP 协议可以同时使用目的端口号。

例如，利用扩展列表可以描述“从 202.110.10.0/24 的网段到110.10.10.0/24 的网段的所有IP数据包是被拒绝的”，或者“从202.110.10.0/24 网段到110.10.10.0/24 网段的所有 Telnet（使用 TCP 协议的 23 端口）访问是被拒绝的”。

它们到底如何表示？我们将从具体配置命令来入手来介绍。

扩展访问控制列表的配置命令Normal 和 special 表示该规则是在普通时间段生效还是在特殊时间段有效，缺省的情况是在普通时间段。

Listnumber 为规则序号，扩展访问列表的规则序号范围为 100-199。

Permit 和 deny 表示允许或禁止满足该规则的数据包通过。

实验八网络访问控制与基本包过滤配置一、实验内容与要求1、理解基于IP源地址的包过滤原理和应用方法；2、掌握标准访问控制列表的设计、配置和测试；二、实验设备或仪器思科路由器2620XM三台，交换机2950-24六台，Hub-PT一台，PC机五台，服务器四台三、实验原理本次试验中我们首先组建一个简易的校园网，在此基础上利用标准访问控制列表实施访问控制。

在PacketTracer5.3下实现：教学网段和宿舍网段不能访问行政网段，管理网段中只允许PC1访问行政网段，行政网段可以访问DMZ中的www、ftp、smtp服务器。

实验之前大家应该先理解标准访问控制列表的基本特点、工作原理和应用的方法，熟练掌握其基本语法和配置步骤；会使用show running-config、show access-lists等命令查看访问控制列表是否配置成功以及在仿真环境下测试是否达到预期结果。

ACL(Access Control List，访问控制列表)，简单说就是包过滤，根据数据包的报头中的ip地址、协议端口号等信息进行过滤。

利用ACL可以实现安全控制。

编号：1-99 or 1300-1999(standard IP)，100-199 or 2000-2699(Extended IP)。

1、标准访问控制列表的基本语法如下：Access-list access-list-number{deny | permit} source [source-wildcard][log]Access-list命令参数的含义如下：（1）access-list-number：访问控制列表号，标准访问控制列表的号码范围是1—99；（2）deny：如果满足条件，数据包被拒绝从该入口通过；（3）permit：如果满足条件，数据包允许从该入口通过；（4）source：数据包的源网络地址，源网络地址可以是具体的地址或any（任意），源地址是单个的IP地址时，将“source”改成“host”，后再写IP地址即可；（5）source-wildcard：源地址通配符掩码，可选项；通配符掩码是一个32比特位的数字字符串，使用1或0来表示，它备用“.”分成4组，每组8位；在通配符掩码位中，0表示“检查相应的位”，而1表示不检查相应的位；通配符掩码相当于子网掩码的反码。

标准访问控制列表1 实验目标✓在路由器上配置标准访问控制列表✓能够确定标准访问控制列表绑定的路由器接口2 试验要求✓创建标准访问控制列表10✓只允许市场部访问Internet，但PC7例外✓销售部财务部市场部三个部门之间需要相互访问✓请考虑访问控制列表放在Router0的那个接口?2.1试验拓扑3 实验过程：3.1在Router0上定义标准访问控制列表Router>Router>enRouter#confi tRouter(config)#access-list 10 deny 192.168.2.2 0.0.0.0Router(config)#access-list 10 permit 192.168.2.0 0.0.0.255Router(config)#Router(config)#interface serial 3/0Router(config-if)#ip access-group 10 out 将访问控制列表绑定到S3/0出口3.2查看访问控制列表Router#show access-listsStandard IP access list 10deny host 192.168.2.2permit 192.168.2.0 0.0.0.255Router#3.3查看当前配置Router#show running-configBuilding configuration...Current configuration : 665 bytesversion 12.2no service password-encryptionhostname Routerip ssh version 1interface FastEthernet0/0ip address 192.168.0.1 255.255.255.0duplex autospeed autointerface FastEthernet1/0ip address 192.168.1.1 255.255.255.0duplex autospeed autointerface FastEthernet2/0ip address 192.168.2.1 255.255.255.0duplex autospeed autointerface Serial3/0ip address 172.16.0.1 255.255.255.252ip access-group 10 out 可以看到Serial3/0接口绑定的访问控制列表clock rate 64000ip classlessip route 0.0.0.0 0.0.0.0 172.16.0.2access-list 10 deny host 192.168.2.2 可以看到访问控制列表access-list 10 permit 192.168.2.0 0.0.0.255no cdp runline con 0line vty 0 4loginend4 测试访问控制列表4.1在PC7上Packet Tracer PC Command Line 1.0PC>ping 10.0.0.3Pinging 10.0.0.3 with 32 bytes of data:Request timed out.Request timed out.Request timed out.Request timed out.Ping statistics for 10.0.0.3:Packets: Sent = 4, Received = 0, Lost = 4 (100% loss), PC>4.2在PC4上Packet Tracer PC Command Line 1.0PC>ping 10.0.0.3Pinging 10.0.0.3 with 32 bytes of data:Request timed out.Reply from 10.0.0.3: bytes=32 time=21ms TTL=126Reply from 10.0.0.3: bytes=32 time=19ms TTL=126Reply from 10.0.0.3: bytes=32 time=22ms TTL=126Ping statistics for 10.0.0.3:Packets: Sent = 4, Received = 3, Lost = 1 (25% loss), Approximate round trip times in milli-seconds:Minimum = 19ms, Maximum = 22ms, Average = 20ms PC>Ip access-group 10 outACL列表的顺序应该先配置具体的网段的默认拒绝所有Access-list 10 permit anyAny=0.0.0.0 255.255.255.255任何一个地址都满足Host 192.168.1.2=192.168.1.2 0.0.0.0使用标准的ACL 保护路由器的访问离目标网络较近的路由器上将扩展的ACL放到距离源网较近的路由器上。

13.标准访问列表的实现一.实训目的1.理解标准访问控制列表的概念和工作原理。

2.掌握标准访问控制列表的配置方法。

3.掌握对路由器的管理位置加以限制的方法。

二.实训器材及环境1.安装有packet tracer5.0模拟软件的计算机。

2.搭建实验环境如下:三.实训理论基础1.访问列表概述访问列表是由一系列语句组成的列表，这些语句主要包括匹配条件和采取的动作（允许或禁止）两个内容。

访问列表应用在路由器的接口上，通过匹配数据包信息与访问表参数来决定允许数据包通过还是拒绝数据包通过某个接口。

数据包是通过还是拒绝，主要通过数据包中的源地址、目的地址、源端口、目的端口、协议等信息来决定。

访问控制列表可以限制网络流量，提高网络性能，控制网络通信流量等，同时ACL也是网络访问控制的基本安全手段。

2.访问列表类型访问列表可分为标准IP访问列表和扩展IP访问列表。

1d标准访问列表：其只检查数据包的源地址，从而允许或拒绝基于网络、子网或主机的IP地址的所有通信流量通过路由器的出口。

扩展m访问列表：它不仅检查数据包的源地址，还要检查数据包的目的地址、特定协议类型、源端口号、目的端口号等。

3. ACL的相关特性每一个接口可以在进入（1班。

3（1）和离开（outbound）两个方向上分别应用一个ACL，且每个方向上只能应用一个ACL。

ACL语句包括两个动作，一个是拒绝（deny）即拒绝数据包通过，过滤掉数据包，一个是允许（permi伽允许数据包通过，不过滤数据包。

在路由选择进行以前，应用在接口进入方向的］ACL起作用。

在路由选择决定以后，应用在接口离开方向的］ACL起作用。

每个ACL的结尾有一个隐含的拒绝的所有数据包（deny all的语句。

32位的1时地址与32位的通配符掩码逐位进行比较，通配符掩码为0的位要求中地址的对应位必须匹配，通配符掩码为1的位所对应的I P地址位不必匹配。

1.1附件1：ace与GBT19011-2008标准主要差异性分析通配符掩码掩码的两种特殊形式：一个是host表示一种精确匹配，是通配符掩码掩码0.0.0.0的简写形式；一个是any表示全部不进行匹配，是通配符掩码掩码255.255.255.255的简写形式。

《网络互联技术》课程实验报告实验名称标准的访问控制列表实验序号 3姓名高胜系院专业网络工程班级08网络1班学号0810322123实验日期指导教师李红成绩二、实验内容与要求理解什么是访问控制列表•了解访问控制列表的功能•掌握ACL工作原理及规则•掌握如何配置标准访问控制列表三、实验设备模拟软件：Cisco PacketTracer53_setup_no_tutorials设备：路由器两台，PC机若干，交叉线若干四、实验拓扑图五、实验步骤步骤1．画出实验拓扑结构图。

步骤2. 按实验拓扑图连接设备。

并对三台PC机进行IP设置。

步骤3．对路由器Router0进行基本配置（ip地址的配置和时钟配置）Router(config)#hostname Router0Router0(config)#interface fastEthernet 0/0Router0(config-if)#ip address 198.162.10.2 255.255.255.0Router0(config-if)#no shutdownRouter0(config-if)#exitRouter0(config)#interface fastEthernet 0/1Router0(config-if)#ip address 198.162.20.2 255.255.255.0Router0(config-if)#no shutdownRouter0(config-if)#exitRouter0(config)#interface serial 0/1/0Router0(config-if)#ip address 198.162.30.1 255.255.255.0Router0(config-if)#clock rate 64000Router0(config-if)#no shutdown步骤4．对路由器Router1进行基本配置Router(config)#hostname Router1Router1(config)#interface fastEthernet 0/0Router1(config-if)#ip address 198.162.40.1 255.255.255.0Router1(config-if)#no shutdownRouter1(config-if)#exitRouter1(config)#interface serial 0/1/0Router1(config-if)#ip address 198.162.30.2 255.255.255.0Router1(config-if)#no shutdown步骤5．在路由器Router0上开启RIP协议Router0(config)#router ripRouter0(config-router)#version 2Router0(config-router)#network 198.162.10.0Router0(config-router)#network 198.162.20.0Router0(config-router)#network 198.162.30.0Router0(config-router)#no auto-summary步骤6．在路由器Router1上开启RIP协议Router1(config)#router ripRouter1(config-router)#version 2Router1(config-router)#network 198.162.30.0Router1(config-router)#network 198.162.40.0Router1(config-router)#no auto-summary步骤7．查看路由器中的路由表，测试。