ACL访问控制列表配置

实验导入

一个路由器可以有多个访问控制列表

ACL的配置过程:1.创建ACL语句组 2.在接口配置模式中启用ACL

注意：1.每个ACL列表至少包含一条permit（允许），路由器自己不能过滤自己生成的流量

2.范围小的，严格的条件往上面放。

3.当没有匹配项的时候，则丢弃（即隐含拒绝）

假如说给出： 192.168.1.1 0.0.0.255（这几项一一对应，前三项严格匹配，最后一项不需要，0.0.0.255为通配符）

即192.168.1.0/24的IP都可以进入接口

而0.0.0.0为完全匹配，即只有一台主机可以匹配，而255.255.255.255任何机子都可以匹配即permit any

实验目的

通过设置访问控制列表ACL，学习ACL原理。

实验任务

1、按照给出的参考拓扑图构建逻辑拓扑图。（需要添加模块）

2、练习VLSM的划分。

3、练习访问控制列表ACL的配置。

要求：

PC0不能访问PC4，可以访问PC3

PC4不能访问PC3，可以访问PC1和PC2

4、测试

实验背景

访问控制是网络安全防范和保护的主要策略，它的主要任务是保证网络资源不被非法使用和访问。它是保证网络安全最重要的核心策略之一。

访问控制列表（Access Control Lists,ACL）是应用在路由器接口的指令列表。这些指令列表用来告诉路由器哪些数据包可以收、哪些数据包需要拒绝。至于数据包是被接收还是拒绝，可以由类似于源地址、目的地址、端口号等的特定指示条件来决定。

访问控制列表不但可以起到控制网络流量、流向的作用，而且在很大程度上起到保护网络设备、服务器的关键作用。作为外网进入企业内网的第一道关卡，路由器上的访问控制列表成为保护内网安全的有效手段。

实验拓扑与配置参数

实验的参考拓扑图和参考配置参数如图所示。

IP规划：

该公司申请到的网络地址为：196.20.58.64/26，期中部门1包含机器28台，部门2包含2台，部门三包含2台。

要求：

PC0不能访问PC4，可以访问PC3

PC4不能访问PC3，可以访问PC1和PC2

实验步骤

首先进行简单实现

代码实现：

如果我需要不允许1.2-----2.2 通信，可以有两种方法：一、接口0/0不允许进二、接口0/1不允许出，但是第二种有问题，1.3---2.2也不可以进行通信了。1步、access-list 1 deny 192.168.1.2 0.0.0.0或deny 192.168.1.2 或者 deny host 192.168.1.2 2步、access-list 1 permit any（不然1.3会被丢弃掉） 3步、进入接口>>inter fa 0/1 >> ip access-group 1 out 即可，此时1.2----2.2目的不可达 2.2-----1.2是time out ，1.3-----2.2可以正常通信

正式实验

步骤1 规划IP地址，并填写表5.1、表5.2，按照图5.1参考拓扑图将设备连接起来，并按照表中参数配置各个设备。

步骤2 测试连通性

步骤3 配置ACL

ACL配置的格式：access-list 列表号 permit/any 匹配内容

列表号使用的范围：1~99 1300~1900 （标准，只匹配源IP地址）

100~199 2000~2699（扩展，可匹配源IP，目的IP，协议类型，端口号）

而我们使用的是标准的。

步骤3.1 创建ACL

Router(config)#access-list1 deny 192.168.1.1

Router(config)#access-list1 permit any

Router(config)#access-list2 deny 192.168.3.2

Router(config)#access-list2 permit any

步骤3.2 启动ACL

Router(config)#int fa 1/0

Router(config-if)#ip access-group 1 out

Router(config)#int fa 0/1

Router(config-if)#ip access-group 2 out

要求搭建的拓扑结构为：

进行ping命令的测试：

用PC0 ping PC4结果为：

结果是目的不可达

用PC0 ping PC3结果为：

结果是连通成功

ACL访问控制列表配置

实验步骤

正式实验

你可能感兴趣的:(ACL访问控制列表配置)