实验十二标准IP访问控制列表的配置和应用..docVIP

实验十二 标准IP访问控制列表的配置和应用 12.1 实验概述 1．实验目的 掌握访问控制列表的功能及应用特点，在此基础上学习在路由器等三层设备上标准 IP 访问控制列表的配置方法，为本章后续知识的学习奠定理论和实践基础。 2．实验原理 访问控制列表（ACL）实际上是一系列允许（Permit）和拒绝（Deny）匹配准则的集合。图12-1 显示了路由器对数据包的处理情况。 图12-1路由器使用访问控制列表处理数据包的过程 IP访问控制列表可以分为两大类： · 标准 IP 访问控制列表：只对数据包的源 IP 地址进行检查。其列表号为 1~99 或1300~1999。 · 扩展 IP 访问控制列表：对数据包的源和目标 IP 地址、源和目标端口号等进行检查，因此扩展 IP访问控制列表可以允许或拒绝部分协议，例如 FTP、Telnet、SNMP等。其列表号为 100~199或 2000~2699。 标准 IP 访问控制列表只检查数据包的源 IP 地址，从而允许或拒绝某个 IP 网络、子网或主机的所有通信流量通过路由器的接口。定义标准 IP访问控制列表需要使用 access-list 命令来完成。在定义标准 IP 访问控制列表时应给其加上相应的编号（1~99）或 2000~2699，命令格式如下： access-list access-list-number {deny|permit} source-address [source-wildcard] 其中，表 12-1是对 acess-list 命令相关参数的说明。 表 12-1 对 access-list 命令相关参数的说明 命令参数 说明 access-list-number 访问控制列表的号码，标准IP访问控制列表的编号为1~99 或2000~2699 deny|permit 对符合匹配语句的数据包所采取的动作，其中 permit 代表允许数据包通过， deny 代表拒绝数据包通过 source-address 数据包的源地址，它可以是某个网络、某个子网或者某台主机 source-wildcard 数据包源地址的通配符掩码 3．实验内容和要求 （1） 了解访问控制列表在网络安全中的功能和应用 （2） 了解访问控制列表的分类和特点 （3） 掌握标准 IP访问控制列表的功能 （4） 掌握标准 IP访问控制列表的配置方法 4.2.2 实验规划 1．实验设备 （1） 路由器或三层交换机 （2 台） （2） 测试和配置用 PC（3 台） （3） Console 配置电缆（1 根） （4） PC 与路由器之间的连接线 （3 根） 2．实验拓扑 为了让本实验尽可能地贴近实际应用，现假设某单位的办公室、人事处和财务处分别属于不同的网段，分别为 /24、/24 和 /24，如图 12-2 所示。其中，这三个部门之间通过路由实现数据的交换，但出于安全考虑，单位要求办公室的网络可以访问财务处的网络，而人事处无法访问财务处的网络，其他网络之间都可以实现互访。在路由器Router-A与 Router-B 之间配置静态路由协议。 图12-2 标准IP 访问控制列表的规则拓扑 4.2.3 实验步骤 （1）路由器Router-A的基本配置。 Router #configure terminal (进入“全局配置”模式) Router（config）# (已进入“全局配置”模式) Router（config）# hostname Router-A (使用 hostname 命令将路由器的名称更改为“Router-A”) Router-A（config）#interface fastethernet 0/1 （进入路由器 fastethernet0/1 端口的配置模式） Router-A(config-if)#ip address 52 （将路由器 fastethernet 0/0 端口的地址配置为 ，子网掩码为 52，本网段只有两个合法的 IP地址） Router-A(config-if)#no shutdown （开启路由器的 fastethernet 0/0 端口） Router-A(config-if)#exit （返回全局配置模式） Router-A（config）# interface fastethernet 0/0（进入路由器 fastethernet0/0 端口的配置模式） Router-A(config-if)#ip address （将路由器 fastethernet0/1 端口的地址配置为 ，子网掩码为 ） Router-A(config