网络故障诊断与排除数字化资源-魏建英访问控制列表在网络中的应用课件.doc

项目十二 访问控制列表acl的故障排除 任务1 网络中访问控制列表的配置环境 李工所在公司由于工作需要需要在现有网络上增加访问控制列表，要求在实现子公司A可以和公司总部电脑通信，但不能访问总部网页服务器，子公司B只可以访问总部网页服务器，主要目标如下： 查看现有网络配置配置，落实已有的IP地址信息； 对总部路由器进行配置，通过acl访问控制实现既定要求； 进行配置结果测试； 任务2 ACL的故障现象 李工所在公司网络拓扑图如下： 连通网络，做好配置，进行测设，发现如表12-1所示错误 12-1 主机互通测试表 路由器R1 路由器r2 路由器R3 测试方法 预期测试结果 实际测试结果 是否发生故障 网页服务器 pc2 　 web 失败 失败 否 网页服务器 pc2 　 ping 成功 失败 是 网页服务器 　 pc3 ping 失败 成功 是 网页服务器 　 pc3 web 成功 成功 否 pc1 pc2 　 ping 成功 失败 是 pc1 　 pc3 ping 失败 成功 是 完成如表6项测试，共4项测试失败，因测试失败可确定本次操作没有成功完成项目目标。是什么原因造成故障现象呢？是规划设计的问题，是操作的问题，还是acl概念没有理解清楚的问题？据此，我们要深入的进行故障分析来确定问题所在。 任务3 ACL的技术详解 1,什么是acl访问控制列表 访问控制列表是应用在路由器接口的指令列表，这些指令列表用来告诉路由器哪些数据包可以接收、哪些数据包需要拒绝。 2，访问控制列表的分类 2.1.标准IP访问控制列表 　　一个标准IP访问控制列表匹配IP包中的源地址或源地址中的一部分，可对匹配的包采取拒绝或允许两个操作。编号范围是从1到99的访问控制列表是标准IP访问控制列表。 举例来说明： 配置任务：禁止3这个计算机对/24网段的访问，而/24中的其他计算机可以正常访问。 　　路由器配置命令： 　　access-list 1 deny host 3 设置ACL，禁止3的数据包通过 　　access-list 1 permit any 设置ACL，容许其他地址的计算机进行通讯 　　int e 1 进入E1端口 　　ip access-group 1 in 将ACL1宣告，同理可以进入E0端口后使用ip access-group 1 out来完成宣告。 　　配置完毕后除了3其他IP地址都可以通过路由器正常通讯，传输数据包。 　　总结：标准ACL占用路由器资源很少，是一种最基本最简单的访问控制列表格式。应用比较广泛，经常在要求控制级别较低的情况下使用。如果要更加复杂的控制数据包的传输就需要使用扩展访问控制列表了，他可以满足我们到端口级的要求。 2.2扩展IP访问控制列表 　　扩展IP访问控制列表比标准IP访问控制列表具有更多的匹配项，包括协议类型、源地址、目的地址、源端口、目的端口、建立连接的和IP优先级等。编号范围是从100到199的访问控制列表是扩展IP访问控制列表。 扩展访问控制列表是一种高级的ACL，配置命令的具体格式如下： 　　access-list ACL号 [permit|deny] [协议] [定义过滤源主机范围] [定义过滤源端口] [定义过滤目的主机访问] [定义过滤目的端口] 　　例如：access-list 101 deny tcp any host eq www这句命令是将所有主机访问这个地址网页服务(WWW)TCP连接的数据包丢弃。 　　小提示：同样在扩展访问控制列表中也可以定义过滤某个网段，当然和标准访问控制列表一样需要我们使用反向掩码定义IP地址后的子网掩码。 　　扩展访问控制列表实例 　　我们采用如图所示的网络结构。路由器连接了二个网段，分别为/24,/24。在/24网段中有一台服务器提供WWW服务，IP地址为3。 　　配置任务：禁止的计算机访问的计算机，包括那台服务器，不过惟独可以访问3上的WWW服务，而其他服务不能访问。 　　路由器配置命令： 　　access-list 101 permit tcp any 3 eq www 设置ACL101，容许源地址为任意IP，目的地址为3主机的80端口即WWW服务。由于CISCO默认添加DENY ANY的命令，所以ACL只写此一句即可。 　　int e 1 进入E1端口 　　ip access-group 101 out 将ACL101宣告出去 　　设置完毕后的计算机就无法访问的计算机了，就算是服务器3开启了FTP服务也无法访问，惟独可以访问的就是3的WWW服务了。而的计算机访问的计算机没有任何问题。 　　扩展