实训十一扩展访问控制列表答案

实验十五命名的扩展IP访问控制列表实验名称：命名的扩展IP访问控制列表。

实验目的：掌握交换机上命名的扩展IP访问控制列表规则及配置。

背景描述：你是学校的网络管理员，在S3550-24交换机上连着的学校的提供WWW 和FTP的服务器，学校规定学生只能对服务器进行FTP访问，不能进行WWW访问，教工则每此限制。

技术原理：IP访问控制列表是实现对流经路由器或交换机的数据包根据一定的规则进行过滤，从而提高网络可管理性和安全性。

IP访问控制列表分为两种：标准IP访问控制列表和扩展IP访问控制列表。

标准IP访问控制列表可以根据数据包的源IP地址定义规则，进行数据包过滤。

扩展IP访问控制列表可以根据数据包的源IP、目的IP、源端口、目的端口、协议来定义规则，进行数据包过滤。

IP访问控制列表基于接口进行规则的应用，分为：入栈应用和出栈应用。

入栈应用是指外部经该接口进入路由器的数据包进行过滤。

出栈应用是指路由器从该接口向外转发数据时进行数据包过滤。

IP访问控制列表的配置有两种方式：按照编号的访问控制列表，按照命名的访问控制列表。

实现功能：实现网段间互相访问的安全控制。

实验设备：S3550-24（1台）；PC机（3台）；直连线（3根）实验拓扑：vlan 20实验步骤: 步骤1：基本配置。

S3760_01#conf tS3760_01(config)#vlan 10S3760_01(config-vlan)#name server S3760_01(config-vlan)#vlan 20S3760_01(config-vlan)#name teachers S3760_01(config-vlan)#vlan 30S3760_01(config-vlan)#name studentsS3760_01(config-vlan)#exitS3760_01(config)#interface fastEthernet 0/10 S3760_01(config-if)#switchport access vlan 10S3760_01(config-if)#exitS3760_01(config)#interface f0/12S3760_01(config-if)#switchport access vlan 20 S3760_01(config-if)#exitS3760_01(config)#interface f0/13S3760_01(config-if)#switchport access vlan 30 S3760_01(config-if)#exitS3760_01(config)#interface vlan 10S3760_01(config-if)#ip add 192.168.10.1 255.255.255.0 S3760_01(config-if)#exitS3760_01(config)#interface vlan 20S3760_01(config-if)#ip add 192.168.20.1 255.255.255.0 S3760_01(config-if)#exitS3760_01(config)#interface vlan 30S3760_01(config-if)#ip add 192.168.30.1 255.255.255.0 S3760_01(config-if)#exitS3760_01(config)#步骤2：配置扩展IP 访问控制列表。

创建一个命名扩展IP 访问列表命令：ip access-list extended <name>说明：name为访问列表的名字，字符串长度为1—16个字符，第一个字符不能为数字。

举例：创建一个名为test的扩展IP访问列表ip access-list extended test指定多条permit 或deny 规则命令（过滤ICMP数据包）：deny | permit icmp <sIpAddr> <sMask> | any-source | host-source<sIpAddr> <dIpAddr> <dMask>} | any-destination | host-destination<dIpAddr> [<icmp-type> [<icmp-code>]] [precedence <prec>] [tos<tos>] [time –range <time-range-name>]说明<icmp-type>，icmp 的类型，0－255；<icmp-code>，icmp 的协议编号，0－255；<prec>，IP 优先级，0－7；<tos>，tos 值，0-15time-range-name> ，时间范围名称。

命令（过滤UDP数据包）：deny | permit udp <sIpAddr> <sMask> | any-source | host-source<sIpAddr> [sPort <sPort>] <dIpAddr> <dMask>| any-destination|host-destination <dIpAddr> [dPort <dPort>] [precedence <prec>][tos <tos>][time -range <time-range-name>]命令（过滤TCP数据包）：deny | permit tcp <sIpAddr> <sMask> | any-source | host-source<sIpAddr> [sPort <sPort>] <dIpAddr> <dMask>| any-destination|host-destination <dIpAddr> [dPort <dPort>][ack+fin+psh+rst+urg+syn] [precedence <prec>] [tos <tos>][time -range<time-range-name>]说明<sPort>，源端口号，0-65535；<dPort>，目的端口号，0-65535。

扩展访问控制列表实验报告课程名称交换机配置实验项目名称实验项目19:扩展访问控制列表开课系（部）及实验室巡天楼311 实验日期2019年 10月 24日学生姓名董小明学号Ming 专业班级计算机网络技术1班指导教师- 实验成绩一、实验目的1、掌握路由器的扩展访问控制列表的基本原理。

2、熟练掌握扩展访问控制列表的配置方法与技巧。

二、实验拓扑图三、实验步骤1、Ming1的配置过程Switch>enSwitch#conf tSwitch(config)#hostname Ming1Ming1(config)#vlan 10Ming1(config-vlan)#vlan 20Ming1(config)#int f0/24Ming1(config-if)#switchport mode accessMing1(config-if)#switchport access vlan 10Ming1(config-if)#int range f0/22 - 23Ming1(config-if-range)#switchport mode accessMing1(config-if-range)#switchport access vlan 20Ming1(config)#int f0/1Ming1(config-if)#switchport mode trunkRouter>enRouter#conf tRouter(config)#host R1R1(config)#int s0/0/0R1(config-if)#ip add 192.168.7.33 255.255.255.252R1(config-if)#clock rate 64000R1(config-if)#no shutR1(config-if)#int f0/0R1(config-if)#no shutR1(config-if)#int f0/0.10R1(config-subif)#encapsulation dot1Q 10R1(config-subif)#ip add 192.168.7.1 255.255.255.248R1(config-subif)#int f0/0.20R1(config-subif)#encapsulation dot1Q 20R1(config-subif)#ip add 192.168.7.9 255.255.255.248R1(config-subif)#exitR1(config)#router ripR1(config-router)#ver 2R1(config-router)#net 192.168.7.0其他的路由器与R1配置类似。

扩展访问控制列表配置实验注意：前一讲“标准IP访问控制列表”是在路由器上对来自某一个IP源地址的数据包的允许或拒绝转发。

这一讲说的是在某一个具体层面上允许或拒绝转发数据包。

实验背景学院出口路由器R2与学校路由器R1之间通过V.35线串口连接。

学校服务器上有各种服务，比如WWW、FTP、TELNET等。

现为了网络安全，仅允许学院PC机访问学校服务器上的WWW服务，其他一概拒绝，包括ICMP协议（即不允许从PC机ping服务器）。

技术原理●访问控制列表中定义的典型规则主要有以下：源地址、目标地址、上层协议、时间区域；●扩展IP访问列表（编号为100-199）使用以上四种组合来进行转发或阻断分组；根据数据包的源IP、目的IP、源端口、目的端口、协议来定义规则，进行数据包的过滤。

●扩展IP访问列表的配置包括以下两步：●定义扩展IP访问列表●将扩展IP访问列表应用于特定接口上实验步骤1、拓扑图2、配置PC机、服务器、路由器R1和R2的接口IP地址PC机IP：172.16.1.2 子网掩码：255.255.255.0 网关：172.16.1.1R1 Fa0/0端口IP：172.168.1.1子网掩码：255.255.255.0R1 Fa1/0端口IP：172.168.2.1子网掩码：255.255.255.0R2 Fa0/0端口IP：172.168.2.2子网掩码：255.255.255.0R2 Se2/0端口IP：172.168.3.1子网掩码：255.255.255.0 时钟频率64000R3 Se2/0端口IP：172.168.3.2子网掩码：255.255.255.0R3 Fa1/0端口IP：172.16.4.2 子网掩码：255.255.255.0 网关：172.16.4.13、在路由器R1、R2、R3上配置静态路由协议，实现全网通信。

（1）、进入R1全局配置视图Router(config)#host R1 ；修改名称R1(config)#ip rout 172.16.3.0 255.255.255.0 172.16.2.2 ；到3.0网段的静态路由R1(config)#ip rout 172.16.4.0 255.255.255.0 172.16.2.2 ；到4.0网段的静态路由（2）、进入R3全局配置视图Router(config)#host R3 ；修改名称R3(config)#ip rout 172.16.1.0 255.255.255.0 172.16.3.1 ；到1.0网段的静态路由R3(config)#ip rout 172.16.2.0 255.255.255.0 172.16.3.1 ；到2.0网段的静态路由（3）、进入R2全局配置视图Router(config)#host R2 ；修改名称R2(config)#ip rout 172.16.1.0 255.255.255.0 172.16.2.1 ；到1.0网段的下一跳是2.1 R2(config)#ip rout 172.16.4.0 255.255.255.0 172.16.3.2 ；到4.0网段的下一跳是3.2 4、PC机和服务器间能相互ping通自此PC与服务器之间可以相互ping通。

Packet Tracer 5.2实验(十三) 扩展IP访问控制列表配置一、实验目标∙理解扩展IP访问控制列表的原理及功能；∙掌握编号的扩展IP访问控制列表的配置方法；二、实验背景分公司和总公司分别属于不同的网段，部门之间用路由器进行信息传递，为了安全起见，分公司领导要求部门主机只能访问总公司服务器的WWW服务，不能对其使用ICMP服务。

三、技术原理访问列表中定义的典型规则主要有以下：源地址、目标地址、上层协议、时间区域；扩展IP访问列表（编号为100~199，2000~2699）使用以上四种组合来进行转发或阻断分组；可以根据数据包的源IP、目的IP、源端口、目的端口、协议来定义规则，进行数据包的过滤；扩展IP访问列表的配置包括以下两步：∙定义扩展IP访问列表∙将扩展IP访问列表应用于特定接口上四、实验步骤实验步骤1、分公司出口路由器与外部路由器之间通过V.35电缆串口连接，DCE端连接在R2上，配置其时钟频率64000；主机与路由器通过交叉线连接；2、配置PC机、服务器及路由器接口IP地址；3、在各路由器上配置静态路由协议，让PC间能互相ping通，因为只有在互通的前提下才能涉及到访问控制列表；4、在R2上配置编号的IP扩展访问控制列表；5、将扩展IP访问列表应用到接口上；6、验证主机之间的互通性；R1:Router>enRouter#conf tEnter configuration commands, one per line. End with CNTL/Z.Router(config)#hostname R1R1(config)#int fa0/0R1(config-if)#ip add 192.168.1.1 255.255.255.0 //配置端口IP地址R1(config-if)#no shut%LINK-5-CHANGED: Interface FastEthernet0/0, changed state to up%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to upR1(config-if)#exitR1(config)#int fa0/1R1(config-if)#ip add 192.168.2.1 255.255.255.0 //配置端口IP地址R1(config-if)#no shutR1(config-if)#%LINK-5-CHANGED: Interface FastEthernet0/1, changed state to up%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1, changed state to upR1(config-if)#exitR1(config)#ip route 0.0.0.0 0.0.0.0 192.168.2.2 //配置default routeR1(config)#endR1#%SYS-5-CONFIG_I: Configured from console by consoleR1#show ip route //查看路由表Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area* - candidate default, U - per-user static route, o - ODRP - periodic downloaded static routeGateway of last resort is 192.168.2.2 to network 0.0.0.0C 192.168.1.0/24 is directly connected, FastEthernet0/0 C 192.168.2.0/24 is directly connected, FastEthernet0/1 S* 0.0.0.0/0 [1/0] via 192.168.2.2R1#R1#show runBuilding configuration...Current configuration : 510 bytes!version 12.4no service timestamps log datetime msecno service timestamps debug datetime msecno service password-encryption!hostname R1!...!interface FastEthernet0/0ip address 192.168.1.1 255.255.255.0duplex autospeed auto!interface FastEthernet0/1ip address 192.168.2.1 255.255.255.0duplex autospeed auto!interface Vlan1no ip addressshutdown!ip classlessip route 0.0.0.0 0.0.0.0 192.168.2.2!...!line con 0line vty 0 4login!!!endR1#R2:Router>enRouter#conf tEnter configuration commands, one per line. End with CNTL/Z.Router(config)#hostname R2R2(config)#int fa0/0R2(config-if)#ip add 192.168.2.2 255.255.255.0 //配置端口IP地址R2(config-if)#no shut%LINK-5-CHANGED: Interface FastEthernet0/0, changed state to up%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to upR2(config-if)#exitR2(config)#int s2/0R2(config-if)#ip add 192.168.3.1 255.255.255.0 //配置端口IP地址R2(config-if)#no shut%LINK-5-CHANGED: Interface Serial2/0, changed state to downR2(config-if)#clock rate 64000 //配置时钟频率R2(config-if)#%LINK-5-CHANGED: Interface Serial2/0, changed state to up%LINEPROTO-5-UPDOWN: Line protocol on Interface Serial2/0, changed state to upR2(config-if)#exitR2(config)#ip route 192.168.1.0 255.255.255.0 192.168.2.1 //配置目标网段1.0的静态路由R2(config)#ip route 192.168.4.0 255.255.255.0 192.168.3.2 //配置目标网段4.0的静态路由R2(config)#endR2#%SYS-5-CONFIG_I: Configured from console by consoleR2#show ip routeCodes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGPD - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter areaN1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGPi - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS interarea* - candidate default, U - per-user static route, o - ODRP - periodic downloaded static routeGateway of last resort is not setS 192.168.1.0/24 [1/0] via 192.168.2.1C 192.168.2.0/24 is directly connected, FastEthernet0/0C 192.168.3.0/24 is directly connected, Serial2/0S 192.168.4.0/24 [1/0] via 192.168.3.2R2#R2#conf tEnter configuration commands, one per line. End with CNTL/Z.R2(config)#acR2(config)#access-list ?<1-99> IP standard access list<100-199> IP extended access listR2(config)#access-list 100 ?deny Specify packets to rejectpermit Specify packets to forwardremark Access list entry commentR2(config)#access-list 100 perR2(config)#access-list 100 permit ?eigrp Cisco's EIGRP routing protocolgre Cisco's GRE tunnelingicmp Internet Control Message Protocolip Any Internet Protocolospf OSPF routing protocoltcp Transmission Control Protocoludp User Datagram ProtocolR2(config)#access-list 100 permit tcp ? //web服务使用的是tcp协议A.B.C.D Source addressany Any source hosthost A single source hostR2(config)#access-list 100 permit tcp host ?A.B.C.D Source addressR2(config)#access-list 100 permit tcp host 192.168.1.2 ? //源主机地址A.B.C.D Destination addressany Any destination hosteq Match only packets on a given port numbergt Match only packets with a greater port numberhost A single destination hostlt Match only packets with a lower port numberneq Match only packets not on a given port numberrange Match only packets in the range of port numbersR2(config)#access-list 100 permit tcp host 192.168.1.2 host ?A.B.C.D Destination addressR2(config)#access-list 100 permit tcp host 192.168.1.2 host 192.168.4.2 ? //目标主机地址dscp Match packets with given dscp valueeq Match only packets on a given port numberestablished establishedgt Match only packets with a greater port numberlt Match only packets with a lower port numberneq Match only packets not on a given port numberprecedence Match packets with given precedence valuerange Match only packets in the range of port numbers<cr>R2(config)#access-list 100 permit tcp host 192.168.1.2 host 192.168.4.2eq ?<0-65535> Port numberftp File Transfer Protocol (21)pop3 Post Office Protocol v3 (110)smtp Simple Mail Transport Protocol (25)telnet Telnet (23)www World Wide Web (HTTP, 80)R2(config)#access-list 100 permit tcp host 192.168.1.2 host 192.168.4.2eq www ? //www服务dscp Match packets with given dscp valueestablished establishedprecedence Match packets with given precedence value<cr>R2(config)#access-list 100 permit tcp host 192.168.1.2 host 192.168.4.2eq wwwR2(config)#R2(config)#access-list 100 deny ?eigrp Cisco's EIGRP routing protocolgre Cisco's GRE tunnelingicmp Internet Control Message Protocolip Any Internet Protocolospf OSPF routing protocoltcp Transmission Control Protocoludp User Datagram ProtocolR2(config)#access-list 100 deny icmp ? //禁止icmp 协议，也就是ping使用的协议A.B.C.D Source addressany Any source hosthost A single source hostR2(config)#access-list 100 deny icmp host ?A.B.C.D Source addressR2(config)#access-list 100 deny icmp host 192.168.1.2 ?A.B.C.D Destination addressany Any destination hosthost A single destination hostR2(config)#access-list 100 deny icmp host 192.168.1.2 host 192.168.4.2 ? <0-256> type-numecho echoecho-reply echo-replyhost-unreachable host-unreachablenet-unreachable net-unreachableport-unreachable port-unreachableprotocol-unreachable protocol-unreachablettl-exceeded ttl-exceededunreachable unreachable<cr>R2(config)#access-list 100 deny icmp host 192.168.1.2 host 192.168.4.2 echo ?<cr>R2(config)#access-list 100 deny icmp host 192.168.1.2 host 192.168.4.2 echoR2(config)#R2(config)#int s2/0R2(config-if)#?bandwidth Set bandwidth informational parametercdp CDP interface subcommandsclock Configure serial interface clockcrypto Encryption/Decryption commandscustom-queue-list Assign a custom queue list to an interfacedelay Specify interface throughput delaydescription Interface specific descriptionencapsulation Set encapsulation type for an interfaceexit Exit from interface configuration modefair-queue Enable Fair Queuing on an Interfaceframe-relay Set frame relay parametershold-queue Set hold queue depthip Interface Internet Protocol config commandskeepalive Enable keepalivemtu Set the interface Maximum Transmission Unit (MTU) no Negate a command or set its defaultsppp Point-to-Point Protocolpriority-group Assign a priority group to an interfaceservice-policy Configure QoS Service Policyshutdown Shutdown the selected interfacetx-ring-limit Configure PA level transmit ring limitzone-member Apply zone nameR2(config-if)#ip ?access-group Specify access control for packetsaddress Set the IP address of an interfacehello-interval Configures IP-EIGRP hello intervalhelper-address Specify a destination address for UDP broadcasts inspect Apply inspect nameips Create IPS rulemtu Set IP Maximum Transmission Unitnat NAT interface commandsospf OSPF interface commandssplit-horizon Perform split horizonsummary-address Perform address summarizationvirtual-reassembly Virtual ReassemblyR2(config-if)#ip acR2(config-if)#ip access-group ?<1-199> IP access list (standard or extended)WORD Access-list nameR2(config-if)#ip access-group 100 ?in inbound packetsout outbound packetsR2(config-if)#ip access-group 100 out ?<cr>R2(config-if)#ip access-group 100 out //将控制列表应用于s2/0端口R2(config-if)#R2(config-if)#R2(config-if)#endR2#%SYS-5-CONFIG_I: Configured from console by consoleR2#show runR2#show running-configBuilding configuration...Current configuration : 901 bytes!version 12.2no service timestamps log datetime msecno service timestamps debug datetime msecno service password-encryption!hostname R2!...!interface FastEthernet0/0ip address 192.168.2.2 255.255.255.0duplex autospeed auto!interface FastEthernet1/0no ip addressduplex autospeed autoshutdown!interface Serial2/0ip address 192.168.3.1 255.255.255.0ip access-group 100 outclock rate 64000!interface Serial3/0no ip addressshutdown!interface FastEthernet4/0no ip addressshutdown!interface FastEthernet5/0no ip addressshutdown!ip classlessip route 192.168.1.0 255.255.255.0 192.168.2.1ip route 192.168.4.0 255.255.255.0 192.168.3.2!!access-list 100 permit tcp host 192.168.1.2 host 192.168.4.2 eq www access-list 100 deny icmp host 192.168.1.2 host 192.168.4.2 echo!...!line con 0line vty 0 4login!!!endR2#R3:Router>enRouter#conf tEnter configuration commands, one per line. End with CNTL/Z.Router(config)#hostname R3R3(config)#int fa0/0R3(config-if)#ip add 192.168.4.1 255.255.255.0R3(config-if)#no shut%LINK-5-CHANGED: Interface FastEthernet0/0, changed state to up%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to upR3(config-if)#exitR3(config)#int s2/0R3(config-if)#ip add 192.168.3.2 255.255.255.0R3(config-if)#no shut%LINK-5-CHANGED: Interface Serial2/0, changed state to upR3(config-if)#R3(config-if)#%LINEPROTO-5-UPDOWN: Line protocol on Interface Serial2/0, changed state to upR3(config-if)#exitR3(config)#ip route 0.0.0.0 0.0.0.0 192.168.3.1R3(config)#endR3#%SYS-5-CONFIG_I: Configured from console by consoleR3#show ip routeCodes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area* - candidate default, U - per-user static route, o - ODRP - periodic downloaded static routeGateway of last resort is 192.168.3.1 to network 0.0.0.0C 192.168.3.0/24 is directly connected, Serial2/0C 192.168.4.0/24 is directly connected, FastEthernet0/0S* 0.0.0.0/0 [1/0] via 192.168.3.1R3#R3#R3#show runBuilding configuration...Current configuration : 667 bytes!version 12.2no service timestamps log datetime msecno service timestamps debug datetime msecno service password-encryption!hostname R3!...!interface FastEthernet0/0ip address 192.168.4.1 255.255.255.0duplex autospeed auto!interface FastEthernet1/0no ip addressduplex autospeed autoshutdown!interface Serial2/0ip address 192.168.3.2 255.255.255.0!interface Serial3/0no ip addressshutdown!interface FastEthernet4/0no ip addressshutdown!interface FastEthernet5/0no ip addressshutdown!ip classlessip route 0.0.0.0 0.0.0.0 192.168.3.1!...!line con 0line vty 0 4login!!!endR3#PC1:Packet Tracer PC Command Line 1.0PC>ipconfigIP Address......................: 192.168.1.2 Subnet Mask.....................: 255.255.255.0 Default Gateway.................: 192.168.1.1PC>ping 192.168.4.2Pinging 192.168.4.2 with 32 bytes of data:Request timed out.Request timed out.Reply from 192.168.4.2: bytes=32 time=18ms TTL=125 //ACL前Reply from 192.168.4.2: bytes=32 time=12ms TTL=125Ping statistics for 192.168.4.2:Packets: Sent = 4, Received = 2, Lost = 2 (50% loss), Approximate round trip times in milli-seconds:Minimum = 12ms, Maximum = 18ms, Average = 15msPC>ping 192.168.4.2Pinging 192.168.4.2 with 32 bytes of data:Reply from 192.168.2.2: Destination host unreachable. //ACL后Reply from 192.168.2.2: Destination host unreachable.Reply from 192.168.2.2: Destination host unreachable.Reply from 192.168.2.2: Destination host unreachable.Ping statistics for 192.168.4.2:Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),PC>PC1-WEB测试：ACL前后都可以访问web服务。

实验扩展IP访问控制列表一、实验目的和要求•理解什么是访问控制列表•了解扩展访问控制列表的功能•掌握扩展访问工作原理及规那么•掌握如何配置扩展访问控制列表二、实验设备模拟软件：Cisco PacketTracer53_setup_no_tutorials设备：三层交换机1台，二层交换机2台，PC机假设干，效劳器一台，穿插线假设干三、实验内容1．在三层交换机上进展根本的配置2．在三层交换机上面配置dhcp协议，并且在pc机上面通过dhcp获取ip地址3．在效劳器上面配置效劳、FTP效劳、DNS效劳4．测试配置的正确性5．配置扩展访问控制列表并且进展测试6．将两次测试的结果进展比拟四、实验拓扑图图1 扩展访问控制列表拓扑图五、背景描述你是学校的网络管理员，在3560-24交换机上连着学校用于提供、FTP以及DNS的效劳器，另外还连接着学生区和教工区，学校规定学生区内的主机只能对效劳器进展FTP访问和DNS访问，不能进展访问，对教工区内的主机没有任何限制。

六、相关知识IP ACL〔IP访问控制列表或IP访问列表〕是实现对流经路由器或交换机的数据包根据一定的规那么进展过滤，从而提高网络可管理性和平安性。

IP ACL分为两种：标准IP访问列表和扩展IP访问列表。

标准IP访问列表可以根据数据包的源IP地址定义规那么，进展数据包的过滤。

扩展IP访问列表可以根据数据包的源IP、目的IP、源端口、目的端口、协议来定义规那么，进展数据包的过滤。

IP ACL基于接口进展规那么的应用，分为：入栈应用和出栈应用。

入栈应用是指由外部经该接口进展路由器的数据包进展过滤。

出栈应用是指路由器从该接口向外转发数据时进展数据包的过滤。

IP ACL的配置有两种方式：按照编号的访问列表，按照命名的访问列表。

标准IP访问列表编号范围是1~99、1300~1999，扩展IP访问列表编号范围是100~199、2000~2699。

七、实验步骤步骤1．画出实验拓扑构造图。

访问控制列表实验访问控制列表有两种：一种是标准的访问控制列表，另一种是扩展的访问控制列表。

访问控制列表(ACL)是应用在路由器接口的指令列表。

这些指令列表用来告诉路由器哪能些数据包可以收、哪能数据包需要拒绝。

至于数据包是被接收还是拒绝，可以由类似于源地址、目的地址、端口号等的特定指示条件来决定。

扩展访问控制列表其中重要的一种是IP访问控制列表。

为什么要使用访问列表？1、管理网络中逐步增长的IP 数据2、当数据通过路由器时进行过滤访问控制列表的应用：1、允许、拒绝数据包通过路由器2、允许、拒绝Telnet会话的建立3、没有设置访问列表时，所有的数据包都会在网络上传输4、基于数据包检测的特殊数据通讯应用标准访问控制列表应注意以下几点：1、检查源地址2、通常允许、拒绝的是完整的协议扩展访问控制列表应注意以下几点：1、检查源地址和目的地址2、通常允许、拒绝的是某个特定的协议扩展IP访问控制列表比标准IP访问控制列表具有更多的匹配项，包括协议类型、源地址、目的地址、源端口、目的端口、建立连接的和IP优先级等。

编号范围是从10 0到199的访问控制列表是扩展IP访问控制列表。

标准访问列表和扩展访问列表相比，标准的比扩展的简单。

下面我们来做一个关于标准访问控制列表的实验。

经过在路由上配置访问控制命令后，阻止PC机3 ping PC 机2和PC机1，但是PC机3能ping通PC机1和2的网关192.168.1.1.实验的拓扑连接图如下：Router1 E0/0 <----> VPCS V0/1Router1 E0/1 <----> VPCS V0/2Router1 E0/2 <----> VPCS V0/3标准访问控制列表配置时候很简单，要用的设备也很简单，一台路由器，三个PC机就行，下面我们开始来做实验，首先这是在路由器中的配置enconf thost r1int e0/0ip addr 192.168.1.2 255.255.255.0no shutexitint e0/1ip addr 192.168.2.1 255.255.255.0no shutexitint e0/2ip addr 192.168.3.1 255.255.255.0no shutexitaccess-list 1 deny 192.168.3.0 0.0.0.255----------访问控制列表号+许可的IP网段access-list 1 permit anyint e0/0ip access-group 1 out------------在接口上应用配置exitint e0/1ip access-group 1 outexit配置完成后如下图所示，端口全部打开了接下来配置PC机，配置pc机很简单，只需配置ip和网关就可以配置如下：PC1的IP是192.168.1.1 网关为192.168.1.2PC2的IP是192.168.2.2 网关为192.168.2.1PC3的IP是192.168.3.2 网关为192.168.3.1Ok配置完成后我们在pc机上测试一下，最后结果是pc3ping不通pc1和pc2，但是能ping通它们的网关如下所示，配置标准访问控制列表成功达到了目的。

扩展的访问控制列表一、不同类型的访问控制列表的列表号见表12-1二、扩展的访问控制列表我们已经在前面讲过。

比标准的ACL要灵活的多，下面具体介绍一下其配置方法：建立：：全局下：access-list 列表号{permit|deny} 协议源地址反码［匹配条件值］［源端口］目标地址反码［匹配条件值］［目标端口］其中［］中内容为可选内容，匹配条件值如为eq则是等于的意思。

如eq ftp是指访问的目的地是一台提供ftp的服务器。

如图12-11的例子三、建立完成后要在相应接口模式下应用接口下：ip access-group 列表号{in|out}具体演示看图12-12四、实现单向访问在扩展的访问控制列表后有这样一个参数，比较特殊。

即established ，如果在ACL中键入此选项即可在拒绝数据包通过的方向上，让已经建立起会话连接的TCP数据流通过(如TCP中的ACK确认包)，从而达到单向访问的目的。

看图12-13，也就是说在企业的应用中，可以在边界路由器上设置S0入口的拒绝条目，在其中加入此参数，意思是说只允许内部主机主动连接外部资源，这样的话，返回的数据包允许通过，但是外部资源无法主动连接内部主机。

五、不同种类的访问控制列表在网络中的应用位置对于过滤同一个源到同一个目的地的数据流量，在网络中应用标准的访问列表和扩展的列表的位置是不同的。

见图12-14在这个图当中，我们想阻止主机C访问主机A，有两种方法，第一种是标准ACLaccess-list 1 deny host 183.16.1.1access-list 1 permit any或者扩展的ACLaccess-list 101 deny ip host 182.16.1.1 host 11.1.0.1access-list 101 permit ip any any在上图中我们可以看到，如果把标准ACL放在路由器C的的SO接口，明显是错误的，因为主机C将无法访问别的资源如主机B。

实训二、网络控制列表一、实训说明：ACL(Access Control List，访问控制列表)，简单说就是包过滤，在路由器上读取第三层及第四层包头中的信息如源地址、目的地址、源端口、目的端口等，根据预先定义好的规则对包进行过滤，从而达到访问控制的目的。

ACL的主要功能就是一方面保护资源节点，阻止非法用户对资源节点的访问，另一方面限制特定的用户节点所能具备的访问权限。

ACL并不复杂，但在实际应用中的，要想恰当地应用ACL，必需要制定合理的策略。

配置ACL的基本原则：在实施ACL的过程中，应当遵循如下两个基本原则：最小特权原则：只给受控对象完成任务所必须的最小的权限。

最靠近受控对象原则：所有的网络层访问权限控制。

具体规则如下：1、入站访问控制列表：将到来的分组路由到出站接口之前对其进行处理。

因为如果根据过滤条件分组被丢弃，则无需查找路由选择表；如果分组被允许通过，则对其做路由选择方面的处理。

2、出站访问列表：到来的分组首先被路由到出站接口，并在将其传输出去之前根据出站访问列表对其进行处理。

3、访问控制列表的顺序决定被检验的顺序，最特殊的的规则应该被刚到访问控制列表的前面。

4、任何访问列表都必须至少包含一条permit语句，否则将禁止任何数据流通过。

5、同一个访问列表被用于多个接口，然而，在每个接口的每个方向上，针对每种协议的访问列表只能有一个。

6、在每个接口的每个方向上，针对每种协议的访问列表只能有一个。

同一个接口上可以有多个访问列表，但必须是针对不同协议的。

7、将具体的条件放在一般性条件的前面；将常发生的条件放在不常发生的条件前面。

8、新添的语句总是被放在访问列表的末尾，但位于隐式deny语句的前面。

9、使用编号的访问列表时，不能有选择性的删除其中的语句；但使用名称访问列表时可以。

10、除非显式地在访问列表末尾添加一条permit any语句，否则默认情况下，访问列表将禁止所有不与任何访问列表条件匹配的数据流。

“网络工程师培训”基础教程：标准访问控制列表和扩展访问控制列表标准访问控制列表概况标准列表的规则序列号的范围为：1∼99。

标准列表只使用 1 个条件判别数据包：数据包的源地址。

标准访问列表可以指定一个源地址段，这是由 IP 地址和地址通配符组合定义的一个地址段。

标准访问控制列表的命令配置此格式表示：允许或拒绝来自指定网络的数据包，该网络由IP地址（ip-address）和地址通配掩码位（wildcard-mask）指定。

其中：normal 和 special 表示该规则是在普通时间段中有效还是在特殊时间段中有效。

listnumber 为规则序号，标准访问列表的规则序号范围为 1-99。

permit 和 deny 表示允许或禁止满足该规则的数据包通过。

ip-address 和 wildcard-mask 分别为 IP 地址和通配比较位，用来指定某个网络。

如果 IP 地址指定为 any ，则表示所有 IP 地址，而且不需配置指定相应的通配位（通配位缺省为 0.0.0.0 ）。

扩展访问控制列表概况扩展列表使用数据包的源地址的同时，还使用目的地址，和协议号（TCP、UDP 等）。

对于TCP、UDP 协议可以同时使用目的端口号。

例如，利用扩展列表可以描述“从 202.110.10.0/24 的网段到110.10.10.0/24 的网段的所有IP数据包是被拒绝的”，或者“从202.110.10.0/24 网段到110.10.10.0/24 网段的所有 Telnet（使用 TCP 协议的 23 端口）访问是被拒绝的”。

它们到底如何表示？我们将从具体配置命令来入手来介绍。

扩展访问控制列表的配置命令Normal 和 special 表示该规则是在普通时间段生效还是在特殊时间段有效，缺省的情况是在普通时间段。

Listnumber 为规则序号，扩展访问列表的规则序号范围为 100-199。

Permit 和 deny 表示允许或禁止满足该规则的数据包通过。