資源描述:
《訪問控制:標準acl及擴展acl》由會員上傳分享����,免費在線閱讀��,更多相關內容在行業(yè)資料-天天文庫�����。
1��、實驗訪問控制:標準ACL及應用一�����、實驗目的1、了解標準ACL的概念和原理2��、掌握ACL配置方法����。3��、了解ACL的應用二��、原理概述在網(wǎng)絡管理中���,需要允許/禁止訪問一些站點����,也要控制某些外部節(jié)點的連接,或者要限制特定的網(wǎng)絡流量���,這些可以通過設置路由器/防火墻/三層交換機的訪問控制列表(ACL)來實現(xiàn)。ACL用于控制端口上進出的數(shù)據(jù)包�,適用于所有被路由的協(xié)議。ACL的定義是基于協(xié)議的���,每種協(xié)議需要定義一種ACL。端口在每收到一個數(shù)據(jù)包以后�,根據(jù)端口的ACL表逐條檢查。對于允許發(fā)送ACL��,如果在表中有一條
2�����、規(guī)則匹配的話就立即發(fā)送���,而不用檢查其他規(guī)則��。如果所有的規(guī)則都不匹配�,則丟棄該數(shù)據(jù)包。路由器內部產生的數(shù)據(jù)包不受ACL影響��。ACL分兩種����,標準ACL和擴展ACL��。標準ACL只檢查數(shù)據(jù)包的源地址�����,而擴展的ACL更靈活���,可以檢查數(shù)據(jù)包的源����、目的地址以及協(xié)議�、端口等�。在配置中��,標準ACL和擴展ACL是通過ACL編號區(qū)分的����,1-99表示標準ACL,而100-199為擴展ACL。標準ACL格式如下:#access-listaccess-list-number[permit
3�����、deny]source[source
4��、-mask]擴展ACL的完全命令格式如下:#access-listaccess-list-number[permit
5��、deny][protocol
6、protocol-number]sourcesource-wildcard[source-port]destinationdestination-wildcard[destination-port][established]ACL配置分兩步,首先在全局模式下利用access-list命令創(chuàng)建ACL,然后在接口配置模式下利用access-group命令應
7�����、用ACL到接口上�。一�����、實驗目的1���、配置標準ACL,使特定子網(wǎng)中的某一機器才能訪問其他網(wǎng)絡。2����、測試ACL規(guī)則。3���、配置擴展ACL,拒絕一個子網(wǎng)內所有機器ping另一子網(wǎng)內機器���。4�、實際應用測試。二、實驗環(huán)境cisco路由器一臺���,交換機兩臺,主機四臺�����,控制臺線纜及雙絞線若干���。網(wǎng)絡拓撲結構:R1fa0/0:192.168.1.1/24fa0/1:192.168.2.1/24s1s2192.168.1.2/24192.168.1.3/24192.168.2.2/24192.168.2.2/24三、實驗步
8��、驟1����、連接網(wǎng)絡1、主機及路由器地址配置2�����、配置標準ACL,使子網(wǎng)1(192.168.1.0)中只有主機H1才可以訪問子網(wǎng)2(192.168.2.0)configureterminalaccess-list1permithost192.168.1.2interfacefa0/0ipaccess-group1out測試:H1pingH3�����、H4����,H2pingH3����、H4查看標準ACL的統(tǒng)計信息:showaccess-list1取消:noipaccess-group1out案例應用某一個企業(yè)有三個部門如圖.
9、要求實現(xiàn)經(jīng)理部可以訪問財務部,其他部門不能訪問財務部.Router>ENRouter#CONFTEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Router(config)#hostr0r0(config)#intfa0/0r0(config-if)#ipadd192.168.0.1255.255.255.0r0(config-if)#noshutr0(config-if)#exitr0(config)#intfa1/0r0(config-i
10�����、f)#ipadd192.168.1.1255.255.255.0r0(config-if)#noshutr0(config-if)#exitr0(config)#ints2/0r0(config-if)#ipadd192.168.2.1255.255.255.0r0(config-if)#clockrate56000r0(config-if)#noshutr0(config-if)#r0(config-if)#r0(config-if)#exitr0(config)#iproute192.168.
11、3.0255.255.255.0192.168.2.2r0(config)#ipaccr0(config)#ipaccess-lists按TAB鍵r0(config)#ipaccess-liststandardxieher0(config-std-nacl)#permit192.168.0.00.0.0.255r0(config-std-nacl)#exitr0(config)#ints2/0r0(config-if)#ipaccess-groupxieheoutr0(config
