实验导入
一个路由器可以有多个访问控制列表
ACL的配置过程:1.创建ACL语句组 2.在接口配置模式中启用ACL
注意:1.每个ACL列表至少包含一条permit(允许),路由器自己不能过滤自己生成的流量
2.范围小的,严格的条件往上面放。
3.当没有匹配项的时候,则丢弃(即隐含拒绝)
假如说给出: 192.168.1.1 0.0.0.255(这几项一一对应,前三项严格匹配,最后一项不需要,0.0.0.255为通配符)
即192.168.1.0/24的IP都可以进入接口
而0.0.0.0为完全匹配,即只有一台主机可以匹配,而255.255.255.255任何机子都可以匹配即permit any
实验目的
通过设置访问控制列表ACL,学习ACL原理。
实验任务
1、按照给出的参考拓扑图构建逻辑拓扑图。(需要添加模块)
2、练习VLSM的划分。
3、练习访问控制列表ACL的配置。
要求:
PC0不能访问PC4,可以访问PC3
PC4不能访问PC3,可以访问PC1和PC2
4、测试
实验背景
访问控制是网络安全防范和保护的主要策略,它的主要任务是保证网络资源不被非法使用和访问。它是保证网络安全最重要的核心策略之一。
访问控制列表(Access Control Lists,ACL)是应用在路由器接口的指令列表。这些指令列表用来告诉路由器哪些数据包可以收、哪些数据包需要拒绝。至于数据包是被接收还是拒绝,可以由类似于源地址、目的地址、端口号等的特定指示条件来决定。
访问控制列表不但可以起到控制网络流量、流向的作用,而且在很大程度上起到保护网络设备、服务器的关键作用。作为外网进入企业内网的第一道关卡,路由器上的访问控制列表成为保护内网安全的有效手段。
实验拓扑与配置参数
实验的参考拓扑图和参考配置参数如图所示。
IP规划:
该公司申请到的网络地址为:196.20.58.64/26,期中部门1包含机器28台,部门2包含2台,部门三包含2台。
要求:
PC0不能访问PC4,可以访问PC3
PC4不能访问PC3,可以访问PC1和PC2
实验步骤
首先进行简单实现
代码实现:
如果我需要不允许1.2-----2.2 通信,可以有两种方法:一、接口0/0不允许进 二、接口0/1不允许出,但是第二种有问题,1.3---2.2也不可以进行通信了。1步、access-list 1 deny 192.168.1.2 0.0.0.0或deny 192.168.1.2 或者 deny host 192.168.1.2 2步、access-list 1 permit any(不然1.3会被丢弃掉) 3步、进入接口>>inter fa 0/1 >> ip access-group 1 out 即可,此时1.2----2.2目的不可达 2.2-----1.2是time out ,1.3-----2.2可以正常通信
正式实验
步骤1 规划IP地址,并填写表5.1、表5.2,按照图5.1参考拓扑图将设备连接起来,并按照表中参数配置各个设备。
步骤2 测试连通性
步骤3 配置ACL
ACL配置的格式:access-list 列表号 permit/any 匹配内容
列表号使用的范围:1~99 1300~1900 (标准,只匹配源IP地址)
100~199 2000~2699(扩展,可匹配源IP,目的IP,协议类型,端口号)
而我们使用的是标准的。
步骤3.1 创建ACL
Router(config)#access-list1 deny 192.168.1.1
Router(config)#access-list1 permit any
Router(config)#access-list2 deny 192.168.3.2
Router(config)#access-list2 permit any
步骤3.2 启动ACL
Router(config)#int fa 1/0
Router(config-if)#ip access-group 1 out
Router(config)#int fa 0/1
Router(config-if)#ip access-group 2 out
要求搭建的拓扑结构为:
进行ping命令的测试:
用PC0 ping PC4结果为:
用PC0 ping PC3结果为:
