实训三访问控制列表.doc

实训二、网络控制列表 实训说明： ACL(Access Control List，访问控制列表)，简单说就是包过滤，在路由器上读取第三层及第四层包头中的信息如源地址、目的地址、源端口、目的端口等，根据预先定义好的规则对包进行过滤，从而达到访问控制的目的。ACL的主要功能就是一方面保护资源节点，阻止非法用户对资源节点的访问，另一方面限制特定的用户节点所能具备的访问权限。ACL并不复杂，但在实际应用中的，要想恰当地应用ACL，必需要制定合理的策略。配置ACL的基本原则在实施ACL的过程中，应当遵循如下两个基本原则：最小特权原则：只给受控对象完成任务所必须的最小的权限最靠近受控对象原则：所有的网络层访问权限控制1、入站访问控制列表：将到来的分组路由到出站接口之前对其进行处理。因为如果根据过滤条件分组被丢弃，则无需查找路由选择表；如果分组被允许通过，则对其做路由选择方面的处理。 2、出站访问列表：到来的分组首先被路由到出站接口，并在将其传输出去之前根据出站访问列表对其进行处理。访问控制列表的顺序决定被检验的顺序最特殊的的规则应该被刚到访问控制列表的前面、任何访问列表都必须至少包含一条permit语句，否则将禁止任何数据流通过。 、同一个访问列表被用于多个接口，然而，在每个接口的每个方向上，针对每种协议的访问列表只能有一个。 、在每个接口的每个方向上，针对每种协议的访问列表只能有一个。同一个接口上可以有多个访问列表，但必须是针对不同协议的。 、将具体的条件放在一般性条件的前面；将常发生的条件放在不常发生的条件前面。 、新添的语句总是被放在访问列表的末尾，但位于隐式deny语句的前面。 、使用编号的访问列表时，不能有选择性的删除其中的语句；但使用名称访问列表时可以。 、除非显式地在访问列表末尾添加一条permit any语句，否则默认情况下，访问列表将禁止所有不与任何访问列表条件匹配的数据流。 11、访问控制列表应绑定到端口上创建访问列表后再将其应用于接口，如果应用于接口的访问列表未定义或不存在，该接口将允许所有数据流通过。 12、访问列表只过滤经由当前路由器的数据流，而不能过滤当前路由器发送的数据流。 13、应将扩展访问列表放在离禁止通过的数据流源尽可能近的地方。 14、标准访问列表不能指定目标地址，应将其放在离目的地尽可能近的地方局限性：由于ACL是使用包过滤技术来实现的，过滤的依据又仅仅只是第三层和第四层包头中的部分信息，这种技术具有一些固有的局限性，如无法识别到具体的人，无法识别到应用内部的权限级别等。因此，要达到end to end的权限控制目的，需要和系统级及应用级的访问权限控制结合使用。 图二、2620XM增加串口 3、路由器配置 图三、R1的IP地址和时钟配置 图四、R1的动态路由配置（RIP）-通过命令行 图五、R0配置 图六、R0的动态路由配置（RIP）-通过图形界面 4、PC配置以及测试连通性 图七、PC配置 图八、网络连通性配置 此时，网络中所有设备能够实现通信。 5、路由器1上设置访问控制列表并进行网络连通性测试 图九、设置访问控制列表 图十、网络连通性测试 总结：本来能够实现通信的双方，此时PING的结果是100%lost。表示访问控制列表设置成功。 （2）、ACL配置测试 1、网络拓扑结构 图十一、网络拓扑结构 说明： 路由器“陈”： S0/0的IP地址： 10.68.1.1 255.255.255.0 S0/1的IP地址: 10.67.1.2 255.255.255.0 路由器“晓”： fa0/0的IP地址： 10.65.1.2 255.255.255.0 fa0/1的IP地址： 10.66.1.2 255.255.255.0 S0/1的IP地址: 10.68.1.2 255.255.255.0 路由器“丹”： fa0/0的IP地址： 10.69.1.2 255.255.255.0 fa0/1的IP地址： 10.70.1.2 255.255.255.0 S0/0的IP地址: 10.67.1.1 255.255.255.0 终端A的IP地址：10.65.1.1 255.255.255.0 网关10.65.1.2 终端B的IP地址：10.66.1.1 255.255.255.0 网关10.66.1.2 终端C的IP地址：10.69.1.1 255.255.255.0 网关10.69.1.2 终端D的IP地址：10.70.1.1 255.255.255.0 网关10.70.1.2 终端E的IP地址：10.65.1.3 255.255.255.0 网关10.65.1.2 2、测试终端A能否PING通终端D。 3、在路由器“陈”上做如下配置： RouterC