访问控制列表
一、实验目的
(1)复习IP访问控制列表(ACL)的的特点和性能。
(2)掌握如何创建访问控制列表来允许或者拒绝指定的流量。
(3)掌握如何将一个IP访问控制列表应用到某一接口上。
(4)掌握如何测试IP访问控制列表来检测所要达到的预期结果。
(5)掌握如何从某一个接口上删除IP访问控制列表。
(6)掌握如何从路由器上删除访问控制列表。
(7)掌握访问控制列表的正确放置。
二、实验内容
(1)阻塞从205.7.5.0这一特定网段上传出的数据包到达路由器Lab_C、Lab_D
(2)阻塞210.93.105.0这一特定网段对Lab_A的Telnet访问
三、基础知识
(1)标准访问列表和扩展访问列表比较
(2)访问控制列表的配置
在Router(config)#模式下定义访问控制列表的语句。语句是可添加的,也就是说每一个语句只可能添加到访问控制列表中,如果在访问控制列表(典型的)中有多余的一条语句,而你想将其删除,你必须删除访问控制列表然后重新开始。
1)标准访问控制列表的配置方法:
Router(config)#access-list access-list-number {permit/deny}
source ip address [wildcard mask]
2)扩展访问控制列表的配置方法:
Router(config)#access-list access-list-number { permit | deny } protocol
source ip source-wildcard destination ip destination-wildcard [operator port ]
说明:缺省的通配符掩码 = 0.0.0.0
隐含条件为拒绝所有(deny any)
(3)在端口上应用访问控制列表
Router(config-if)# ip access-group access-list-number { in | out }
说明:缺省 = 出方向
(4)删除访问列表
Router(config)#no access-list access-list-number
(5)在端口上删除访问列表
Router(config-if)#no ip access-group access-list-number
(6)访问控制列表的放置
将标准访问列表置于离目的设备较近的位置
将扩展访问列表置于离源设备较近的位置
(7)访问控制列表的查看和检测
1) 检查语句并核实是否所有内容都被正确键入
Router#show access-list access-list-number
2) 确认访问控制列表正确应用到期望的接口上
Router#show running-config 或者
Router#show ip int type solt
3) 确认访问控制列表是否正确运行
试图从已经被禁止或者被允许的源网络传送出数据包。运行一些Ping、telnet等命令来测试这些访问控制列表。
四、实验环境
硬件环境:
(1)4~5台Cisco路由器,每台各有2个快速以太网接口和两个串行接口。
(2)4~10台台式电脑。
(3)V.35背对背电缆3对。(用于连接高速串行口)
(4)5类非屏蔽双绞线若干。
(5)Cisco设备Console线若干
五、实验准备
(1)熟悉Cisco路由器的基本配置命令,以及本实验中要使用的命令。
(2)熟悉实验中所用到的Cisco路由器及其接口,连接所用线缆。
(3)实验环境介绍。
(4)基本知识点的简要回顾。
六、实验步骤
(1)任务一:保证网络的连通性(详见连通性实验)
(2)任务二:选用访问控制列表类型
根据实验内容访问控制列表的的要求,选择:
1)阻塞从205.7.5.0这一特定网段上传出的数据包到达路由器Lab_C、Lab_D,我们选用一个标准的IP访问控制列表,只在源地址上进行过滤即可。
2)阻塞210.93.105.0这一特定网段对Lab_A的Telnet访问,我们选用一个扩展的IP访问控制列表,对源地址、目的地址和端口进行过滤。
(3)任务三:选择访问控制列表所要放置的路由器
1)因为标准访问列表应置于离目的设备较近的位置,所以对阻塞从205.7.5.0这一特定网段上传出的数据包到达路由器Lab_C、Lab_D,选用的标准的IP访问控制列表,我们选择放置在路由器______ 上。
2)因为扩展访问列表应置于离源设备较近的位置,所以对阻塞210.93.105.0这一特定网段对Lab_A的Telnet访问,我们选用的扩展的IP访问控制列表我们应该放置在路由器______ 上。
(4)任务四:构建访问控制列表
1) 标准访问控制列表:
______(config)#access-list ____ deny _____________ _____________
______(config)#access-list ____ ____ _____________ _____________
2)扩展访问控制列表:
______(config)#access list ____ deny tcp __________ ____________
____________ ___________ eq ____
______(config)#access list ____ ______ _______ ________
(5)任务五:确认访问控制列表中的语句
______#show access-list ____
______#show access-list ____
(6)任务六:在端口上应用访问控制列表
1) 标准访问控制列表:
______(config)#int s1
______(config-if)#ip access-group ____ ____
2) 扩展访问控制列表:
______(config)#int s0
______(config-if)#ip access-group ____ ____
(7)任务七:确认访问控制列表正确的应用到期望的接口上
1)标准访问控制列表:
______#show running-config 或
______#show int s1
2) 扩展访问控制列表:
______#show running-config 或
______#show int s0
注意查看所显示的信息中哪些表明访问控制列表被正确的应用!
(8)任务八:确认访问控制列表是否正确运行
用ping、telnet命令确认确认访问控制列表是否正确运行。
七、实验问题:
1、根据实验结果填写下表:
从哪里(某设备或者某设备的某端口) | 到哪里(某设备或者某设备的某端口) | Ping的
结果 |
Telnet
的结果 |
结果符合
您的预测吗 |
2、在访问控制列表(典型的)中有多余的一条语句,你想把这条语句删除,你将如何做,命令是什么?试想用什么办法只删除多余或者错误的语句?
3、通配符掩码中的0有什么作用?255又有什么用途?
4、通配符any和host各有什么用途?