配套课件 计算机组网实验教程--王宣政.ppt

8.2.2 通配符掩码及使用 　　在设置deny或permit的测试条件时，通配符掩码(Wildcard Mask)的设置是非常重要的。通配符掩码是一个32比特位的数字字符串，它被用点号分成4个8位组，每个8位组包含8比特。通配符与相应的IP地址位一一对应。在通配符掩码位中，0表示“检查相应的位”，1表示“不检查相应的位”，即路由器将检查与通配符中的“0”对应的地址位，对于通配符中“1”位置对应的地址位将忽略不检查。通配符掩码与IP地址是成对出现的，通配符掩码与子网掩码的工作原理是不同的。 　　在IP子网掩码中，数字1和0用来决定是网络、子网，还是相应的主机的IP地址，如表示这个网段时，使用的通配符掩码应为55。 　　在通配符掩码中，可以用55表示所有IP地址，因为全为1说明所有32位都不检查相应的位，这时可以用any来取代，就相当于输入网络地址和通配符55。而的通配符掩码表示所有32位都要进行匹配，这样只表示一个IP地址，通配符可以用host表示，就相当于输入一个特定的主机号和。因此，在访问控制列表中，可以选择其中一种表示方法来说明网络、子网或主机。 　　例如，假定希望允许从源地址来的报文，则使用标准的访问控制列表语句如下: 　　access-list 1 permit 　　如果采用关键字host，则该语句也可以用下面的语句来代替： 　　access-list 1 permit　host 　　也就是说，host是通配符屏蔽码的简写。 　　假定要拒绝从源地址来的报文，并且要允许从其他源地址来的报文，标准的IP访问控制列表可以使用下面的语句达到这个目的: 　　access-list 1 deny host 　　access-list 1 permit 55 　　该语句也可以用下面的语句来代替： 　　access-list 1 deny host 　　access-list 1 permit any 8.2.3 实验 标准ACL的设置及使用 1．实验要求 (1) 熟悉路由器ACL的配置命令，建立标准的IP访问列表。 (2) 设置ACL实现不同过滤策略。 2．实验设备 (1) 计算机4台。 (2) 交换机2台。 (3) 路由器1台。 (4) 双绞线若干。 　　3．实验过程和主要步骤 　　(1) 按照图8.2所示连接网络。按照表8-1的内容，填写PC机的网络连接参数。 图8.2 ACL实验连接图 表8-1 主机配置信息 　　(2) 对路由器、主机进行基本的配置，保证各主机之间能够连通。命令如下： Router (config)#router rip Router (config-router)#network Router (config-router)#network Router (config-router)#exit Router (config)#interface f0/0 Router (config-if)#ip address 6 Router (config-if)#exit Router (config)#interface f0/1 Router (config-if)#ip address 6 Router (config-if)#exit 　　(3) 设计并配置一个ACL，在路由器的f0/1过滤掉来自主机的通信流量，而允许所有的其他流量通过。命令如下： Router (config)#access-list 1 deny Router (config)#access-list 1 permit 55 Router (config)#interface f0/1 Router (config-if)#ip access-group 1 Router (config-if)#exit 　　(4) 用ping命令检测主机/与主机/之间的连通性。 　　(5) 设计并配置一个ACL，在路由器的f0/1过滤掉来自子网的通信流量，而允许所有的其他流量通过。命令如下： Router (config)#access-list 1 deny 55 Router (config)#access-list 1 permit any Router (config)#interface f0/1 Router (config-if)#ip access-group 1 　　(6) 检测主机之间的连通性。 8.2.4 实验 扩展ACL的设置及使用 1．实验要求 (1) 熟悉路由器ACL的配置命令，建立扩展的IP访问列表。 (2) 设置ACL实现不同过滤策略。 2．实验设备 (1) 计算机4台。 (2) 交换机2台。 (3) 路由器1台。 (4) 双绞线若干