标准访问控制列表的配置
一、 实验目的
1. 掌握访问列表实验安全性的配置 2. 理解标准访问控制列表的作用
二、 应用环境
1. 某些安全性要求比较高的主机或网络需要进行访问控制 2. 其他的很多应用都可以使用访问控制列表提供操作条件
三、 实验设备
1. 2. 3. 4. 5.
DCR-1702 PC机 CR-V35MT CR-V35FC 网线
两台 两台 一条 一条 两条
四、 实验拓扑
五、 实验要求
ROUTER-A S1/1 (DCE) 192.168.1.1/24 F0/0 192.168.0.1/24
PC-A
IP 192.168.0.2/24 网关 192.168.0.1
ROUTER-B
S1/0 (DTE) 192.168.1.2/24 F0/0 192.168.2.1/24 PC-B 192.168.2.2/24 192.168.2.1
实验目标:禁止192.168.0.0/24对PC-B的访问
六、 实验步骤
第一步:参照实验三和上表,配置所有接口的地址,并测试连通性 Router-A#ping 192.168.1.2
PING 192.168.1.2 (192.168.1.2): 56 data bytes !!!!!
--- 192.168.1.2 ping statistics ---
5 packets transmitted, 5 packets received, 0% packet loss round-trip min/avg/max = 20/28/30 ms
第二步:参照实验七,配置静态路由 Router-A#sh ip route
Codes: C - connected, S - static, R - RIP, B - BGP, BC - BGP connected
D - DEIGRP, DEX - external DEIGRP, O - OSPF, OIA - OSPF inter area ON1 - OSPF NSSA external type 1, ON2 - OSPF NSSA external type 2 OE1 - OSPF external type 1, OE2 - OSPF external type 2 DHCP - DHCP type
VRF ID: 0
C 192.168.0.0/24 is directly connected, FastEthernet0/0 C 192.168.1.0/24 is directly connected, Serial1/1 S 192.168.2.0/24 [1,0] via 192.168.1.2
Router-B#sh ip route
Codes: C - connected, S - static, R - RIP, B - BGP, BC - BGP connected
D - DEIGRP, DEX - external DEIGRP, O - OSPF, OIA - OSPF inter area ON1 - OSPF NSSA external type 1, ON2 - OSPF NSSA external type 2 OE1 - OSPF external type 1, OE2 - OSPF external type 2 DHCP - DHCP type
VRF ID: 0
S 192.168.0.0/24 [1,0] via 192.168.1.1
C 192.168.1.0/24 is directly connected, Serial1/0
C 192.168.2.0/24 is directly connected, FastEthernet0/0
第三步:PC-A能与PC-B通讯
第四步:配置访问控制列表禁止PC-A所在的网段对PC-B的访问
Router-B#conf
Router-B_config#ip access-list standard 1 !定义标准的访问控制列表 Router-B_config_std_nacl#deny 192.168.0.0 255.255.255.0 !基于源地址 Router-B_config_std_nacl#permit any !因为有隐含的DENY ANY
第五步:将访问控制列表(ACL)绑定在相应的接口 Router-B_config#int f0/0 !进入到离目标最近的接口 Router-B_config_f0/0#ip access-group 1 out !绑定ACL 1 在出的方向
第六步:验证
Router-B#sh ip access-list Standard IP access list 1
deny 192.168.0.0 255.255.255.0 permit any
第七步:测试
七、 注意事项和排错
1. 2. 3. 4.
标准访问控制列表是基于源地址的 每条访问控制列表都有隐含的拒绝
标准访问控制列表一般绑定在离目标最近的接口
注意方向,以该接口为参考点,IN 是流进的方向; OUT是流出的方向
八、 配置序列
Router-B#sh run 正在收集配置...
当前配置: !
!version 1.3.2E
service timestamps log date service timestamps debug date no service password-encryption !
hostname Router-B ! !
!
interface FastEthernet0/0
ip address 192.168.2.1 255.255.255.0 no ip directed-broadcast ip access-group 1 out !
interface Serial1/0
ip address 192.168.1.2 255.255.255.0 no ip directed-broadcast !
interface Async0/0 no ip address
no ip directed-broadcast ! ! ! !
ip route 192.168.0.0 255.255.255.0 192.168.1.1 ! !
ip access-list standard 1
deny 192.168.0.0 255.255.255.0 permit any ! !
!
九、 共同思考
1. 为什么访问控制列表最后要加一条允许?
2. 除了绑定在F0/0以外,在现在的环境中还能绑定在哪个接口上?什么方向?
十、 课后练习
请配置禁止对PC-A的访问
十一、 相关命令详解
1. deny
在IP访问列表配置模式中可使用此命令配置禁止规则,要从IP访问列表中删除deny规则,在命令前加no前缀。
deny source [source-mask] [log] no deny source [source-mask] [log]
deny protocol source source-mask destination destination-mask [precedence precedence] [tos tos] [log]
no deny protocol source source-mask destination destination-mask [precedence precedence] [tos tos] [log]
对于互联网控制报文协议(ICMP),也可以使用以下句法:
deny icmp source source-mask destination destination-mask [icmp-type] [precedence precedence] [tos tos] [log]
对于Internet 组管理协议(IGMP),可以使用以下句法:
deny igmp source source-mask destination destination-mask [igmp-type] [precedence precedence] [tos tos] [log]
对于TCP,可以使用以下句法:
deny tcp source source-mask [operator port] destination destination-mask [operator port ] [established] [precedence precedence] [tos tos] [log]
对于数据报协议(UDP),可以使用以下句法:
deny udp source source-mask [operator port] destination destination-mask [operator port] [precedence precedence] [tos tos] [log]
参数: protocol
协议名字或IP协议号。它可以是关键字icmp、igmp、igrp、ip、ospf、tcp或udp,也可以是表IP协议号的0到255的一个整数。为了匹配任何Internet协议(包括ICMP、TCP和UDP)使用关键字ip。某些协议允许进一步限定,如下描述。
source
源网络或主机号。有两种方法指定源:32位二进制数,用四个点隔开的十进制数表示。使用关键字any作为0.0.0.0 0.0.0.0的源和源掩码缩写。
source-mask destination
源地址网络掩码。使用关键字any作为0.0.0.0 0.0.0.0的源和源掩码缩写。
目标网络或主机号。有两种方法指定:
使用四个点隔开的十进制数表示的32位二进制数。 使用关键字any作为0.0.0.0 0.0.0.0的目标和目标掩码的缩写。
destination-mask 目标地址网络掩码。使用关键字any作为0.0.0.0 0.0.0.0
的目标地址和目标地址掩码缩写。
precedence precedence tos tos icmp-type igmp-type
(可选) 数据包可以使用服务层过滤。使用数字0-15指定。 (可选)ICMP包可由ICMP报文类型过滤。类型是数字0到255。
(可选)IGMP包可由IGMP报文类型或报文名过滤。 类型是0到15的数字。
(可选)包可以由优先级过滤,用0到7的数字指定。