小五思科技术学习笔记之标准访问控制列表
由于暑假的工作一直是与网站相关,也没时间接触网络设备这方面的东西。所以,小五思科技术学习笔记这个系列的文章暂停了很长时间。现在一切都恢复正常了,继续和大家分享一些思科技术学习笔记。
今天和大家分享一下标准访问控制列表,这个实验也是比较简单的。当然,有标准就得有扩展,扩展访问列表我将在后面做到。
这个实验并非用的DynamipsGUI,而是用的思科官方出品的Packet Tracer 5.0正式版,这个软件比较不错,这里推荐一下,主要是它的很多人性化设计很有意思,比如,如需要给设备添加模块需要先关闭电源,和真实情况模拟的一样。当然,这款模拟器只适合初学者,可以完成CCNA所有实验,并不适合高级者,如NP的一些实验。相信在以后的版本中会改进,但是就目前来看,对于初学者已经足够了。
以下是我们的拓扑图,图画的有点复杂,仔细看也很清晰。这个实验配置思路很简单,首先要配置静态路由,让三台pc能相互ping通,因为,如果网络都不通就不用谈访问控制了,只有在互通的前提下才能涉及到访问控制。
下面我说一下IP规划
PC0 192.168.1.1
PC1 192.168.4.2
PC2 192.168.5.2
PC1 192.168.4.2
PC2 192.168.5.2
Server-PT 192.168.5.3
Router1-F0/0 192.168.1.2
Router1-S0/0 192.168.2.1
Router1-S0/1 192.168.3.1
Router1-S0/0 192.168.2.1
Router1-S0/1 192.168.3.1
Router2-S0/0 192.168.2.2
Router2-F0/0 192.168.4.1
Router2-F0/0 192.168.4.1
Router3-S0/0 192.168.3.2
Router3-F0/0 192.168.5.1
Router3-F0/0 192.168.5.1
我们先来看一下Router1配置好的访问控制列表,在特权模式下使用show access-lists命令
Router#show access-lists
Standard IP access list 1
permit host 192.168.1.1 (49 match(es))
Standard IP access list 2
deny host 192.168.4.2 (2 match(es))
permit any (5 match(es))
Router#
这里面有两个关键词,permit和deny,permit就是允许的意思,deny就是反之禁止的意思。
Standard IP access list 1
permit host 192.168.1.1 (49 match(es))
permit host 192.168.1.1 (49 match(es))
list后面的1表示是1号规则,标准控制列表一共可以设置1-99条规则,permit host 192.168.1.1 这句话就是允许192.168.1.1通过,这里要注意,这个规则只有1条,就是允许192.168.1.1通过,那个,加入在1网段还有其他主机,比如1.2,那么它能通过么?答案是否定的,因为,一旦启用了访问控制列表,那么默认有一条规则就是禁止所有。
我们看2号规则,一共有两条
Standard IP access list 2
deny host 192.168.4.2 (2 match(es))
permit any (5 match(es))
最后一条,permit any,这个意思就是允许所有通过,有人觉得奇怪了,第一条是拒绝192.168.4.2通过,第二条又是允许所有通过,不矛盾吗?答案是不矛盾,因为访问控制列表执行的是从上到下规则,比如,192.168.4.2过来通信,那么,2号规则的第一条就判断出来是192.168.4.2,那么直接拒绝,这没有什么好怀疑的。但是,如果是192.168.4.3发过来的数据,访问控制列表会从第一条开始对比,发现,没有满足,也就是没有发现来自192.168.4.2的数据,那么会进行第二条规则匹配。第二条是允许所有通过,那么,192.168.4.3发过来的数据就可以通过了。这点大家要清楚。
Standard IP access list 2
deny host 192.168.4.2 (2 match(es))
permit any (5 match(es))
最后一条,permit any,这个意思就是允许所有通过,有人觉得奇怪了,第一条是拒绝192.168.4.2通过,第二条又是允许所有通过,不矛盾吗?答案是不矛盾,因为访问控制列表执行的是从上到下规则,比如,192.168.4.2过来通信,那么,2号规则的第一条就判断出来是192.168.4.2,那么直接拒绝,这没有什么好怀疑的。但是,如果是192.168.4.3发过来的数据,访问控制列表会从第一条开始对比,发现,没有满足,也就是没有发现来自192.168.4.2的数据,那么会进行第二条规则匹配。第二条是允许所有通过,那么,192.168.4.3发过来的数据就可以通过了。这点大家要清楚。
这个实验非常简单,我只配置了router1的访问控制列表。
我想让192.168.1.1可以通过router1,拒绝192.168.4.2的通信。
具体操作如下
创建2个访问规则,一条是允许192.168.1.1
Router(config)#access-list 1 permit 192.168.1.1
一条是拒绝192.168.4.2
Router(config)#access-list 2 deny 192.168.4.2
Router(config)#access-list 2 permit any
然后,我们将规则应用到端口上,上面仅仅是创建规则,应用到端口上用到,要应用在哪个端口上就要进入到哪个端口的配置模式下
Router(config)#int f0/0
Router(config-if)#ip access-group 1 in
这句话的解释就是,把1号标准访问控制列表的规则应用在f0/0上,在数据进入的时候。大家注意后面的in,是表示数据从外进入,如果是out,则是,经过路由器要出去的数据。使用的时候可以灵活利用。
经过简单的配置,就实现了我们的要求,非常简单。
我已经把Packet Tracer所保存的文档放在附件中,大家可以直接用软件打开查看详细的配置。