实验十二 访问控制列表实验报告

合集下载
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

实验十二访问控制列表

一、试验目的

1. 熟悉路由器的标准访问控制列表配置方法

2. 了解路由器的扩展访问控制列表配置方法

二、相关知识

访问控制列表(Access Control List ,简称ACL)既是控制网络通信流量的手段,也是网络安全策略的一个组成部分。每一个ACL列表可以由一条或若干条指令组成,对于任一个被检查的数据包,依次用每一指令进行匹配,一旦获得匹配,则后续的指令将被忽略。

路由器为不同的网络协议定义不同的ACL列表。为了标识与不同的网络协议对应的ACL,可以采用数字标识的方式。在使用ACL数字标识时,必须为每一协议的访问控制列表分配唯一的数字,并保证该数字值在所规定的范围内。标准IP协议的ACL取值范围:1-99;扩展IP协议的ACL取值范围:100-199。

1标准ACL的相关知识

标准ACL是指基于数据包中的源IP地址进行简单的包过滤的访问控制列表,其通过检查数据包的源地址,来确定是允许还是拒绝基于网络、子网络或主机IP地址的某一协议簇通过路由器的接口。

(1)标准ACL列表的定义

Router(config)# access-list access-list-number {deny | permit} source [source-wildcard ][log]

Access-list-num:ACL号(1-99)

Deny:若测试条件成立,则拒绝相应的数据包

Permit:若测试条件成立,则接受相应的数据包

Source:源IP地址(网络或主机均可)

Source-wildcard:与源IP地址配合使用的通配掩码

Log:是否就ACL事件生成日志

(2)标准ACL列表的接口配置

Router(config-if)#ip access-group access-list-number {in | out}

此命令用于将已经定义的标准ACL列表应用于相应的路由器端口。

in:指定相应的ACL被用于对从该接口进入的数据包进行处理。

out:指定相应的ACL被用于对从该接口流出的数据包进行处理。

注:在路由器的每一个端口,对每个协议、在每个方向上只能指定一个ACL列表

2扩展ACL的相关知识

扩展ACL是对标准ACL功能上的扩展,其不仅可以基于源和目标IP地址数据包的测试,还可基于协议类型和TCP端口号进行数据包的测试,从而较标准的ACL提供了更强大的包过滤功能和设置上的灵活性

扩展ACL通常用于下列情况

指定源和目标地址的包过滤

指定协议类型的包过滤

指定传输层端口号的包过滤

(1)扩展ACL列表的定义

Router(config)#access-list access-list-number {permit | deny} protocol source [source-mask destination destination-mask][ operator operand] [established] [precedence priority] [tos type of service]

参数含义:

access-list-number:ACL表号(100-199)

protocol:指定协议,如IP、TCP、UDP等

source /destination:源/目的IP地址(网络或主机也可以)

source /destination-mask:与上述IP地址配合使用的通配掩码

operator:表示关系如lt小于、gt大于、eq相等、neq不相等

operand:端口号,如80、21等

established:若数据包使用一个已建立连接,则允许TCP通信通过

Priority:设置数据包的优先级0-7

type of service:设定服务类型0-15

(2)扩展ACL列表的接口配置

Router(config-if)#ip access-group access-list-number {in | out}

参数含义同标准ACL定义

三、实验内容

1、实验拓扑

2、地址规划如下:

◆Router_A: f0/0为10.1.1.1/24 f0/1为20.1.1.1/24

◆Router_B: f0/0为10.1.1.2/24 f0/1为30.1.1.1/24

设备端口IP地址子网掩码网关

PC0 F 10.1.1.2 255.255.255.0 10.1.1.1

PC1 F 10.1.1.3 255.255.255.0 10.1.1.1

PC2 F 10.1.2.2 255.255.255.0 10.1.2.1

PC3 F 10.1.2.3 255.255.255.0 10.1.2.1 3、RouteA的配置:

4、RouteB的配置:

5、在路由器A上配置标准ACL:拒绝PC3来的数据包到达左边的网络,验证:

6、在路由器A上配置标准ACL:拒绝PC1与外网的通信,而PC2可以验证如:

四、实验中遇到的问题及方案:

在这个试验中,一开始的时候并不理解访问控制列表的具体实现过程,而在做这个实验的时候,通过阅读实验的相关原理,并按照指导书一步步的推进,进行试验并进行验证,最终完成了实验的要求,通过这个实验更深入地了解了1标准ACL、扩展ACL。

相关文档
最新文档