第五章 访问控制列表ACL——标准ACL实验

一、理论

1.简述ACL的作用。
ACL可以提供网络访问的基本手段。可用于Qos,控制数据流量。控制通信量。

2.简述标准ACL和扩展ACL的不同点。
标准ACL是检查源地址,而扩展ACL不仅仅检查源地址,还检查目的地址。

标准ACL允许或拒绝整个协议簇,而扩展ACL允许或拒绝特定协议或应用程序。扩展ACL比标准ACL更精细一些。

标准ACL的编号为1-99,而扩展ACL的编号是100-199。

将ACL置于网络中时,标准ACL过于靠近被过滤源的接口上应用ACL,以尽早阻止不必要的流量进入网络,应在不影响其他合法访问的前提下,尽可能使ACL靠近被过滤的源; 【图片以华三为例,基本ACL相当于思科Cisco的标准ACL,高级ACL相当于思科Cisco的扩展ACL】
第五章 访问控制列表ACL——标准ACL实验_第1张图片

扩展ACL应该靠近被过滤源的接口上应用ACL,以尽早阻止不必要的流量进入网络。
第五章 访问控制列表ACL——标准ACL实验_第2张图片
3. ACL访问控制列表入与出匹配顺序。
ACL访问控制列表在入接口时,先检查策略,后检查路由表。在出接口时,先检查路由表后检查策略。

数据到达入接口时,先检查接口是否引入acl,若引入,则先进行acl逐条匹配,有acl匹配成功后检查动作是允许还是拒绝,acl允许后再与路由表中路由条目进行匹配,存在目标网段时,路由器则进行转发,反之丢弃!

数据到达出接口时,现在路由表中找到想对应的路由条目,存在目的网段时,与acl逐条匹配,匹配成功后检查动作,允许后路由器进行转发,反之丢弃!

4. 为什么会出现NAT?
因为合法的IP地址日益短缺,一个局域网内部有很多台主机,但不是每台主机都会有合法的IP地址,为了使所有的主机都可以连接因特网,需要使用地址转换。地址转换技术可以有效的隐藏局域网中的主机,具有一定的网络安全保护作用。

5. NAT分为哪几类?并简单介绍。
在书本上一般将NAT分为静态NAT、动态NAT和过载NAT。
在实际生活中一般将NAT分为源NAT,目的NAT和双向NAT。
静态NAT是一对一的映射,动态NAT是多对多的映射,过载NAT是多对一的映射。

6. ACL插入策略方法。
1)插入策略中间
扩展ACL,也是高级ACL插入策略中间 :目前有10和20。想插入15。
① 在全局配置模式下: ip access-list extended 101 【extended 扩展】
②15 permit icmp host 192.168.10.100 host 76.12.32.1

2)插入策略最后 :正常配策略就OK。

二、实验

实验:标准ACL

实验目的:做标准ACL允许192.168.10.100访问WEB服务器,拒绝192.168.10.1访问WEB服务器。
实验环境:packet tracert
第五章 访问控制列表ACL——标准ACL实验_第3张图片
实验思路:
第五章 访问控制列表ACL——标准ACL实验_第4张图片
1.配置主机PC1的地址为192.168.10.1,掩码为24位,网关为192.168.10.254。
第五章 访问控制列表ACL——标准ACL实验_第5张图片
2. 配置主机PC2地址为192.168.10.100,掩码为24位,网关为192.168.10.254。
第五章 访问控制列表ACL——标准ACL实验_第6张图片
3. 配置服务器server0的地址为76.12.20.1,掩码为24位,网关为76.12.20.254。
第五章 访问控制列表ACL——标准ACL实验_第7张图片
4. 配置路由器R1的地址。
第五章 访问控制列表ACL——标准ACL实验_第8张图片
5. 配置路由器R2的地址。
第五章 访问控制列表ACL——标准ACL实验_第9张图片
6. 配置静态路由。
(1)配置R1的静态。
在这里插入图片描述
(2)配置R2的静态。
在这里插入图片描述
7. 第一步检测:配置完静态后是全网互通的。
(1)PC1的检测。
第五章 访问控制列表ACL——标准ACL实验_第10张图片
(2)PC2的检测。第一个是检测网关的连通性。第二个是检测到服务器的连通性。
第五章 访问控制列表ACL——标准ACL实验_第11张图片
8.因为做的是标准ACL,所以在配置的时候最好在R2上【在知识点部分有解释】。

在R2的全局模式下,配置ACL策略,禁止主机PC2访问服务器76.12.20.1。
在这里插入图片描述
配置ACL策略,允许主机PC1访问服务器76.12.20.1.
在这里插入图片描述
应用ACL策略到R2的出接口g0/0
在这里插入图片描述
查看已经配置的ACL策略。因为不是在特权模式下查看,所以需要加一个do。
在这里插入图片描述
8. 最后一步检测。
(1)PC1能够成功访问服务器。
第五章 访问控制列表ACL——标准ACL实验_第12张图片
(2)PC2不能访问服务器。第一个ping是在第一次测试中成功进行访问。第二个是最后测试,找不到目的主机,说明ACL的策略已经配置生效了。
第五章 访问控制列表ACL——标准ACL实验_第13张图片

你可能感兴趣的:(思科Cisco网络)