第25章 访问控制列表配置实训

第25章访问控制列表配置实训实训目的与实训环境实训目的掌握标准IP访问控制列表的格式掌握扩展IP访问控制列表的格式熟悉常用的IP访问控制列表配置命令实训环境运行Windows操作系统计算机一台CiscoPacketTracer模拟软件或Cisco1841或2811路由器两台普通交换机两台运行Windows操作系统计算机四台、HTTP服务器一台路由器串口线一根、RJ-45转DB-9反接线一根、RJ-45双绞线若干超级终端应用程序路由器的访问控制列表访问列表提供了一种机制，它可以控制和过滤通过路由器的不同接口去往不同方向的信息流。允许用户使用访问表来管理信息流，以制定公司内部网络的相关策略。例如，某个组织可能希望允许（或拒绝）Internet对内部Web服务器的访问，或者允许内部局域网上一个或多个工作站能够将数据流发到广域网上。访问控制列表类型目前的路由器一般都支持两种类型的访问表：基本访问控制列表和扩展访问控制列表。基本访问表控制基于网络地址的信息流，且只允许过滤源地址。扩展访问表通过网络地址和传输中的数据类型进行信息流控制，允许过滤源地址、目的地址和上层应用数据。标准IP访问控制列表的基本格式access-listlistnumberpermit|deny[host]sourceaddress|any[wildcardmask][log]listnumber---表号范围，标准IP访问表的表号从1到99。permit/deny----允许或拒绝，permit表示允许匹配报文通过接口，而deny表示匹配报文要被丢弃掉。sourceaddress----源地址，如:198.78.46.8。wildcardmask------通配符屏蔽码，与子网屏蔽码的方式是刚好相反的，二进制的0表示一个“匹配”条件，二进制的1表示一个“不关心”条件host/any----指定单个主机和所有主机log----日志记录扩展IP访问控制列表的基本格式access-listlistnumberpermit|denyprotocol[host]sourceaddress|any[wildcardmask][sourceport][host]destinationaddress|any[wildcardmask][destinationport][log][option]listnumber---表号范围，扩展IP访问表的表号从100到199。protocol-需要被过滤的协议，如IP、TCP、UDP、ICMPsourceport和destinationport-源端口和目的端口，用eq|lt|gtportnumber指定，表示等于、小于或大于某个端口option-扩展选项，如established表示过滤ACK或RST位已设置的tcp报文在一个路由器接口上配置一对一的访问控制列表的三步骤1.在全局配置模式下定义访问表：access-list…2.指定访问表所应用的接口，进入接口子配置模式：interfaceethernet|fastethernet|serialslot_#/port_#3.定义访问表作用于接口上的方向：ipaccess-grouplistnumberin|out其它命令删除访问控制列表：noaccess-listlistnumber查看访问控制列表：showaccess-list[listnumber]实训步骤1.网络配置使用网络仿真软件CiscoPacketTracer模拟图25.1网络（或者，用双绞线和串行线连接2台路由器、2台交换机、4台主机和1台HTTP服务器），设置路由器、主机A-D和HTTP服务器的IP地址（子网掩码255.255.255.0）。2.配置默认路由在路由器Router0和Router1上各配置一条默认路由：默认情况下数据包从Serial2/0端口转发出去。使用ping命令，测试主机A、B、C、D和HTTP服务器之间的连通性，确保两两互通。，3.配置标准访问控制列表在路由器Router1上配置一个标准IP访问控制列表1，只禁止主机C对192.168.2.0/24网络的访问，并在Serial2/0端口的in方向引用访问控制列表1。配置方法如下：Router#configureterminalRouter(config)#access-list1denyhost192.168.1.4Router(config)#access-list1permitanyRouter(config)#interfaceSerial2/0Router(config-if)#ipaccess-group1inRouter(config-if)#end查看访问控制列表1：Router#showaccess-list1在主机A、B、C上分别pingHTTP服务器和主机D，观察能否ping通，填写表25.1。如果不能ping通，请解释理由。4.配置基于源/目的IP的扩展访问控制列表在路由器Router1上配置一个基于源/目的IP的扩展访问控制列表100，只禁止192.168.1.0/24对192.168.2.128/25网络的访问，并在Serial2/0端口的in方向引用访问控制列表100。配置方法如下：Router#configureterminalRouter(config)#access-list100denyipany192.168.2.1280.0.0.127Router(config)#access-list100permitipanyanyRouter(config)#interfaceSerial2/0Router(config-if)#ipaccess-group100inRouter(config-if)#end查看访问控制列表100：Router#showaccess-list100在主机A、B、C上分别pingHTTP服务器和主机D，观察能否ping通，填写表25.2。如果不能ping通，请解释理由。5.配置基于应用业务的扩展访问控制列表在路由器Router1上配置一个基于应用业务的扩展访问控制列表101，只允许对HTTP服务器的80端口的访问，并在Serial2/0端口的in方向引用访问控制列表101。配置方法如下：Router#configureterminalRouter(config)#access-list101permittcpanyhost192.168.2.2eq80Router(config)#access-list101denyipanyanyRouter(config)#interfaceSerial2/0Router(config-if)#ipaccess-group101inRouter(config-if)#end查看访问控制列表1：Router#showaccess-list101在主机A、B、C上分别使用web浏览器访问，观察能否能看到packettracer欢迎页面？如果能看到，请解释理由。在主机A、B、C上分别pingHTTP服务器和主机D，观察能否ping通，填写表25.3。如果不能ping通，请解释理由。思考与讨论简述访问控制列表的作用。访问控制列表中，为什么总是要放一条“permitipanyany”或“denyipanyany”规则在其它规则后面？放在前面会怎样？