实验12访问控制列表实验报告.docVIP

实验十二 访问控制列表 一、试验目的 1. 熟悉路由器的标准访问控制列表配置方法 2. 了解路由器的扩展访问控制列表配置方法 二、相关知识 访问控制列表（Access Control List ，简称ACL）既是控制网络通信流量的手段，也是网络安全策略的一个组成部分。每一个ACL列表可以由一条或若干条指令组成，对于任一个被检查的数据包，依次用每一指令进行匹配， 一旦获得匹配，则后续的指令将被忽略。 路由器为不同的网络协议定义不同的ACL列表。为了标识与不同的网络协议对应的ACL，可以采用数字标识的方式。在使用ACL数字标识时，必须为每一协议的访问控制列表分配唯一的数字，并保证该数字值在所规定的范围内。 标准IP协议的ACL取值范围：1-99；　　扩展IP协议的ACL取值范围：100-199。 1标准ACL的相关知识 标准ACL是指基于数据包中的源IP地址进行简单的包过滤的访问控制列表，其通过检查数据包的源地址，来确定是允许还是拒绝基于网络、子网络或主机IP地址的某一协议簇通过路由器的接口。 （1）标准ACL列表的定义 Router(config)# access-list access-list-number {deny | permit} source [source-wildcard ][log] Access-list-num:ACL号（1-99） Deny:若测试条件成立，则拒绝相应的数据包 Permit:若测试条件成立，则接受相应的数据包 Source:源IP地址（网络或主机均可） Source-wildcard:与源IP地址配合使用的通配掩码 Log:是否就ACL事件生成日志 （2）标准ACL列表的接口配置 Router(config-if)#ip access-group access-list-number {in | out} 此命令用于将已经定义的标准ACL列表应用于相应的路由器端口。 in:指定相应的ACL被用于对从该接口进入的数据包进行处理。 out:指定相应的ACL被用于对从该接口流出的数据包进行处理。 注：在路由器的每一个端口，对每个协议、在每个方向上只能指定一个ACL列表 2扩展ACL的相关知识 扩展ACL是对标准ACL功能上的扩展，其不仅可以基于源和目标IP地址数据包的测试，还可基于协议类型和TCP端口号进行数据包的测试，从而较标准的ACL提供了更强大的包过滤功能和设置上的灵活性 扩展ACL通常用于下列情况 ? 指定源和目标地址的包过滤 ? 指定协议类型的包过滤 ? 指定传输层端口号的包过滤 （1）扩展ACL列表的定义 Router(config)#access-list access-list-number {permit | deny} protocol source [source-mask destination destination-mask][ operator operand] [established] [precedence priority] [tos type of service] 参数含义： access-list-number：ACL表号（100-199） protocol：指定协议，如IP、TCP、UDP等 source /destination：源/目的IP地址（网络或主机也可以） source /destination-mask:与上述IP地址配合使用的通配掩码 operator：表示关系如lt小于、gt大于、eq相等、neq不相等 operand：端口号，如80、21等 established：若数据包使用一个已建立连接，则允许TCP通信通过 Priority：设置数据包的优先级0-7 type of service：设定服务类型0-15 （2）扩展ACL列表的接口配置 Router(config-if)#ip access-group access-list-number {in | out} 参数含义同标准ACL定义 三、实验内容 1、实验拓扑 2、地址规划如下： Router_A: f0/0为10.1.1.1/24 f0/1为20.1.1.1/24 Router_B: f0/0为10.1.1.2/24 f0/1为30.1.1.1/24 设备端口IP地址子网掩码网关PC0F10.1.1.2255.255.255.010.1.1.1PC1F10.1.1.3255.255.255.010.1.1.1PC2F10.1.2.2255.255.255.010.1.2.1PC3F10.1.2.3255.255.255.010.1.2.13、RouteA的配置： 4、Rout