部署ACL限制网络访问范围

部署ACL限制网络访问范围项11目目录CONTENTS11.1用户需求11.2知识梳理11.3方案设计11.4项目实施311.1用户需求某学校网络拓扑图如图11-1所示，计算机PC1位于办公网络，计算机PC2位于食堂网络，计算机PC3位于学生网络。怎样实现学生网络中的计算机无法访问办公网络？目录CONTENTS11.1用户需求11.2知识梳理11.3方案设计11.4项目实施511.2.1ACL的概念ACL（AccessControlList，访问控制列表）是一种路由器配置脚本，它根据从报头中发现的条件来控制路由器允许还是拒绝报文通过，在控制进出网络的流量方面非常有用。6流量过滤流量分类允许或拒绝对特定网络服务的访问11.2.1ACL的概念711.2.3ACL的工作原理入站ACL的工作原理出站ACL的工作原理8标准ACL根据源IP地址过滤数据包。数据包中包含的目的地址和端口号无关紧要。扩展ACL根据多种属性（如协议类型、源IP地址、目的IP地址、源TCP或UDP端口号及目的TCP或UDP端口号）过滤数据包，并可依据协议类型信息进行更为精确的控制。11.2.4ACL的类型911.2.5通配符掩码通配符掩码是32位二进制数字。通配符掩码使用二进制1和0过滤单个IP地址或一组IP地址，用于确定应该为地址匹配多少位IP源或目的地址，通配符掩码位0表示精确匹配地址中对应位的值；通配符掩码位1表示忽略地址中对应位的值。1011.2.6通配符掩码关键字11要控制接口上的流量，必须为接口上启用的每种协议定义相应的ACL。一个ACL只能控制接口上一个方向的流量，要同时控制入站流量和出站流量，必须两个方向分别定义ACL。一个ACL只能控制一个接口上的流量。11.2.7ACL创建原则1211.2.8标准ACL的放置位置ACL的放置位置决定了是否能有效减少不必要的流量，在适当的位置放置ACL，可以过滤掉不必要的流量，使网络更加高效。因为标准ACL不会指定目的地址，所以其放置位置应该尽可能靠近目的地。13Router(config)#access-listaccess-list-number{deny|permit|remark}source[source-wildcard][log]Router(config)#ipaccess-liststandardnameRouter(config-std-nacl)#{deny|permit|remark}source[source-wildcard][log]Router(config)#interfacetypenumberRouter(config-if)#ipaccess-group{access-list-number|name}{in|out}11.2.9配置命令1411.2.9配置命令Router#showaccess-listsRouter#showipinterfaceRouter#clearaccess-listcounters[access-list-number|name]1511.2.10ACL的编辑使用文本编辑器使用序号目录CONTENTS11.1用户需求11.2知识梳理11.3方案设计11.4项目实施1711.3方案设计在如图11-1所示的网络拓扑图中，要实现学生网络中的计算机无法访问办公网络，可以采用标准ACL拒绝来自学生网络中的数据。标准ACL依据数据包的源地址进行控制，配置ACL语句时源地址要用学生网络的网络地址和通配符掩码。标准ACL的放置位置需要尽量靠近目的地，所以，ACL要在路由器R1上创建，在路由器R1的f0/0接口上应用。目录CONTENTS11.1用户需求11.2知识梳理11.3方案设计11.4项目实施1911.4.1标准编号ACL的配置步骤1：在路由器R1的全局配置模式下输入以下代码，配置RIPv2。R1(config)#routerripR1(config-router)#version2R1(config-router)#network192.168.0.0R1(config-router)#network192.168.3.0R1(config-router)#noauto-summary2011.4.1标准编号ACL的配置步骤2：在路由器R2的全局配置模式下输入以下代码，配置RIPv2。R2(config)#routerripR2(config-router)#version2R2(config-router)#network192.168.1.0R2(config-router)#network192.168.2.0R2(config-router)#network192.168.3.0R2(config-router)#noauto-summary2111.4.1标准编号ACL的配置步骤3：在路由器R1的特权执行模式下，输入showiproute命令查看路由表，如图11-2所示。步骤4：在路由器R2的特权执行模式下，输入showiproute命令查看路由表，如图11-3所示。2211.4.1标准编号ACL的配置步骤5：在计算机PC3的命令行界面输入ping192.168.0.1命令检验连通性，如图11-4所示。步骤6：在计算机PC3的命令行界面输入ping192.168.1.1命令检验连通性，如图11-5所示。2311.4.1标准编号ACL的配置步骤7：在路由器R1的全局配置模式下输入以下代码，配置ACL。R1(config)#access-list1deny192.168.2.00.0.0.255R1(config)#access-list1permitany步骤8：在路由器R1的全局配置模式下输入以下代码，在接口上应用ACL。R1(config)#interfacef0/0R1(config-if)#ipaccess-group1out2411.4.1标准编号ACL的配置步骤9：在计算机PC3的命令行界面输入ping192.168.0.1命令检验连通性，如图11-6所示。步骤10：在计算机PC3的命令行界面输入ping192.168.1.1命令检验连通性，如图11-7所示。2511.4.2标准命名ACL的配置网络拓扑图如图11-8所示，计算机PC1位于办公网络，计算机PC2位于食堂网络，计算机PC3和PC4位于学生网络，路由器的接口和计算机的IP地址已经配置完成，并实现了全网互通。要求完成标准命名ACL的配置，实现学生网络中除计算机PC4外其他设备无法访问办公网络。2611.4.2标准命名ACL的配置步骤1：在路由器R1的全局配置模式下输入以下代码，配置ACL。R1(config)#ipaccess-liststandarddenypc3R1(config-std-nacl)#permit192.168.2.20.0.0.0R1(config-std-nacl)#deny192.168.2.00.0.0.255R1(config-std-nacl)#permitany当ACL语句中的条件是某一个地址时，可以用host关键字，第2条语句也可以写成如下格式。R1(config-std-nacl)#permithost192.168.2.2步骤2：在路由器R1的全局配置模式下输入以下代码，在接口上应用ACL。R1(config)#interfacef0/0R1(config-if)#ipaccess-groupdenypc3out2711.4.2标准命名ACL的配置步骤3：在计算机PC3的命令行界面输入ping192.168.0.1命令检验连通性，如图11-9所示。步骤4：在计算机PC4的命令行界面输入ping192.168.0.1命令检验连通性，如图11-10所示。2811.4.2标准命名ACL的配置R1(config)#ipaccess-liststandarddenypc3R1(config-std-nacl)#deny192.168.2.00.0.0.255R1(config-std-nacl)#permit192.168.2.20.0.0.0R1(config-std-nacl)#permitany步骤5：修改步骤1的配置命令，第2条和第3条语句互换顺序，如下。2911.4.2标准命名ACL的配置步骤6：在计算机PC3的命令行界面输入ping192.168.0.1命令检验连通性，如图11-11所示。步骤7：在计算机PC4的命令行界面输入ping192.168.0.1命令检验连通性，如图11-12所示。