访问控制标准acl及扩展acl.pdfVIP

实验 访问控制：标准ACL及应用 一、实验目的 1、 了解标准ACL 的概念和原理 2、 掌握ACL配置方法。 3、 了解ACL 的应用 二、原理概述 在网络管理中，需要允许/禁止访问一些站点，也要控制某 些外部节点的连接，或者要限制特定的网络流量，这些可以通 过设置路由器/防火墙/三层交换机的访问控制列表（ACL）来实 现。 ACL用于控制端口上进出的数据包，适用于所有被路由的 协议。ACL 的定义是基于协议的，每种协议需要定义一种ACL。 端口在每收到一个数据包以后，根据端口的ACL 表逐条检查。 对于允许发送 ACL，如果在表中有一条规则匹配的话就立即发 送，而不用检查其他规则。如果所有的规则都不匹配，则丢弃该 数据包。路由器内部产生的数据包不受ACL影响。 ACL分两种，标准ACL和扩展ACL。标准ACL只检查数 据包的源地址，而扩展的ACL 更灵活，可以检查数据包的源、 目的地址以及协议、端口等。在配置中，标准ACL和扩展ACL 是通过ACL编号区分的，1-99表示标准ACL,而100-199为扩展 ACL。 标准ACL格式如下： #access-list access-list-number[permit|deny]source[source-mask] 扩展ACL 的完全命令格式如下： #access-list access-list-number [permit|deny] [protocol|protocol-number] source source-wildcard [source-port] destination destination-wildcard [destination-port] [established] ACL 配置分两步，首先在全局模式下利用 access-list 命令创建 ACL,然后在接口配置模式下利用access-group 命令应用ACL 到 接口上。 三、实验目的 1、 配置标准 ACL,使特定子网中的某一机器才能访问其他网 络。 2、 测试ACL 规则。 3、 配置扩展ACL,拒绝一个子网内所有机器ping 另一子网内机 器。 4、 实际应用测试。 四、实验环境 cisco 路由器一台，交换机两台，主机四台，控制台线缆及 双绞线若干。网络拓扑结构：R1 fa0/0:192.168.1.1/24 fa0/1:192.168.2.1/24 s1 s2 192.168.1.2/24 192.168.1.3/24 192.168.2.2/24 192.168.2.2/24 五、实验步骤 1、 连接网络 2、 主机及路由器地址配置 3、 配置标准ACL,使子网1 （192.168.1.0）中只有主机H1 才可 以访问子网2 （192.168.2.0） configure terminal access-list 1 permit host 192.168.1.2 interface fa0/0 ip access-group 1 out 测试：H1pingH3 、H4 ，H2pingH3 、H4 查看标准ACL 的统计信息：show access-list 1 取消:no ip access-group 1 out 案例应用 某一个企业有三个部门如图 .要求实现经理部可以访问财务 部,其他部门不能访问财务部. RouterEN Router#CONF T Enter