Step 3:
配置
ACL
(1)
配置
R1
的
e0/0
接口
IN
方向的
ACL
r1#conf t
Enter configuration commands, one per line. End with CNTL/Z.
r1(config)#ip access-list extended benet
//
扩展访问控制列表命名为
benet
r1(config-ext-nacl)#deny icmp host 20.0.0 .2 host 10.0.0.1 echo
//
拒绝从
20.0.0
.2
主机到
10.0.0.1
主机的
icmp
协议数据包消息
r1(config-ext-nacl)#per
r1(config-ext-nacl)#permit ip any any
//
允许其余所有
ip
地址数据包转发
r1(config-ext-nacl)#exit
r1(config)#int e0/0
r1(config-if)#ip access-group benet in
//
将命名为
benet
的扩展访问控制列表应用到接口
e0/ 0 in
方向
r1(config-if)#end
r1#show access-list
//
显示访问列表
Extended IP access list benet
10 deny icmp host 20.0.0 .2 host 10.0.0.1 echo
20 permit ip any any
(2)
检查网络连通性
r1#ping 20.0.0 .2
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 20.0.0 .2, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 88/154/264 ms
//r1
仍然正常
ping
通
r3
r3#ping 10.0.0 .1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.0.0 .1, timeout is 2 seconds:
U.U.U
//r3
无法正常
ping
通
r1
,显示
U
即为
ACL
生效
Success rate is 0 percent (0/5)
r1#
r1#conf t
r1(config)#access-list 102 deny tcp host 20.0.0 .2 host 10.0.0.1 eq 23
//
拒绝从
20.0.0
.2
主机到
10.0.0.1
主机的
telent
登陆上
r1(config)#access-list 102 permit ip any any
//
允许其余所有
ip
地址数据包转发
r1(config)#int e0/0
r1(config-if)#ip access-group 102 in
r1(config-if)#end
r1#
//
显示访问列表
*Mar 1 01:07:30.683: %SYS-5-CONFIG_I: Configured from console by console
r1#show access-list
Extended IP access list 102
10 deny tcp host 20.0.0 .2 host 10.0.0.1 eq telnet (78 matches)
20 permit ip any any
Extended IP access list benet
10 deny icmp host 20.0.0 .2 host 10.0.0.1 echo (11 matches)
20 permit ip any any (69 matches)
3.
检查
telnet
r1#telnet 20.0.0 .2
Trying 20.0.0 .2 ... Open
User Access Verification
password:
r3>enable
Password:
r3#
r3#
r3#
[Connection to 20.0.0 .2 closed by foreign host]
r3#show users
Line User Host(s) Idle Location
* 0 con 0 idle 00:00:00
130 vty 0 idle 00:00:32 10.0.0 .1
Interface User Mode Idle Peer Address
//r1
仍然正常
telent
上
r3
r3#tel 10.0.0 .1
Trying 10.0.0 .1 ...
% Destination unreachable; gateway or host down
r3#tel 10.0.0 .1
Trying 10.0.0 .1 ...
% Destination unreachable; gateway or host down
//r3
无法正常
telent
上
r1
,显示
% Destination unreachable; gateway or host down
即为
ACL
生效
r1#
r1#show users
Line User Host(s) Idle Location
* 0 con 0 idle 00:00:00
Interface User Mode Idle Peer Address
3
.实验总结
访问控制列表(
Access Control List, ACL
)基本原理是:使用包过滤技术,在路由器上读取
OSI 7
层模型的第
3
层及第
4
层包头中的信息,根据预先定义好的规则,对包进行过滤,从而达到访问控制的目的。其基本知识点有:
ACL
两种基本类型:标准访问控制列表(
Standard
)和扩展访问列表(
Extended
)
AC ACL
的主要用途归纳为:提供网络访问的基本安全手段;可用于
QoS
(
Quality of Server
,服务质量)对数据流量进行控制;提供对通信流量的控制手段。
ACL
是一组判断语句的集合,对入站接口进入和出站接口离开路由器的数据包进行检测并控制
标准访问控制列表根据数据包的源
IP
地址来允许或拒绝数据包,列表号范围
1~99
。
扩展访问控制列表通过启用基于源和目的地址、传输层协议和应用端口号的过滤来提供更高程度的控制。利用这些特性,可基于网络的应用类型来限制数据流。列表号范围
101~199
。