PCB ip:10.66.1.1gateway:10.66.1.2 PCC ip:10.69.1.1gateway:10.69.1.2 PCD ip:10.70.1.1gateway:10.70.1.2 PCE ip:10.65.1.3gateway:10.65.1.2 PCF ip:10.65.2.1gateway:10.65.1.2 PCG ip:12.1.1.1gateway:12.1.1.2 SWA ip:10.65.1.8gateway:10.65.1.2
RouterA f0/0: 10.65.1.2实际还应该设置另一个IP:RouterA f0/1: 10.66.1.2 RouterA s0/1: 10.68.1.2
RouterC s0/0: 10.68.1.1 RouterC s0/1: 10.78.1.2
RouterB s0/0: 10.78.1.1 RouterB f0/0: 10.69.1.2 RouterB f0/1: 10.70.1.2
2.基本的访问控制列表: 先从PCA ping PCD:
[root@PCA @root]#ping 10.70.1.1 (通)
在ROC的s0/0写一个输入的访问控制列表:
12.1.1.2 RouterC(config)#access-list 1 permit 10.65.1.1 0.0.0.0 RouterC(config)#access-list 1 deny any RouterC(config)#int s0/0
RouterC(config-if)#ip access-group 1 in RouterC(config-if)#end RouterC#sh access-list 1
配置命令access-list用来配置访问列表
访问表是管理者加入的一系列控制数据包在路由器中输入、输出的规则。它不是由路由器自己产生的。访问表能够允许或禁止数据包进入或输出到目的地。 一个IP标准访问表的创建可以由如下命令来完成:
access-list access list number {permit | deny} source [source-mask] 在这条命令中:
◎access list number:确定这个入口属于哪个访问表。它是从1到99的数字。 ◎permit | deny:表明这个入口是允许还是阻塞从特定地址来的信息流量。 ◎source:确定源IP地址。 ◎source-mask:确定地址中的哪些比特是用来进行匹配的。如果某个比特是\,表明地址中该位比特不用管,如果是\的话,表明地址中该位比特将被用来进行匹配。可以使用通配符。
关于访问列表参考该文件:控制列表(见最末页) [root@PCA @root]#ping 10.70.1.1(通)(只允许PCA)
[root@PCE @root]#ping 10.70.1.1(不通)(被access-list 1禁止) [root@PCE @root]#ping 10.66.1.1(通)(不经过access-list 1) [root@PCB @root]#ping 10.70.1.1(不通)(被access-list 1禁止) [root@PCD @root]#ping 10.65.1.3(不通)(echo-reply包不能返回)
第一个ping命令,PCA的IP地址是10.65.1.1在访问控制列表access-list 1中是允许的,所以能通。
第二个ping命令,PCE虽然是65网段,但是access-list 只允许10.65.1.1通过,所以10.65.1.3的数据包不能通过。
第三个ping命令,PCE到PCB不通过RouterC的s0/0,所以能通。
第四个ping命令,PCB的IP地址是10.66.1.1,它是被禁止的,所以不通。 第五个ping命令,从10.65.1.3返回包echo-reply不能通过access-list 1,PCD收不到返回包,所以不通。有些系统的ping 命令,echo不能通过时表示为unreachable,若echo-reply不能返回时,表示为timeout,等待时间超时。
下面再写一个访问控制列表,先删除原访问控制列表: RouterC(config)#no access-list 1
RouterC(config-if)#no ip access-group 1 in
二者都可以实现去掉访问列表的目的。前者是从列表号角度删除,后者是从端口 和输入或输出的角度删除。
可以通过show access-list 命令查看删除情况,下面再写一个访问控制列表: RouterC(config)#access-list 2 deny 10.65.1.1 0.0.0.255 RouterC(config)#access-list 2 permit any RouterC(config)#int s0/1
RouterC(config-if)#ip access-group 2 out RouterC(config-if)#end RouterC#sh access-list
ip access-group将规则加到端口In、out对路由器和源主机来讲。A--à 1ROUTE2--àB源A,R1为IN,R2为OUT,源B,R1为OUT,R2为IN。
这个访问控制列表比上一个访问控制列表有以下几点不同: (1)先deny后permit,
(2)禁止的是一个10.65.1.0网络 (3)是输出的访问控制列表
[root@PCA @root]#ping 10.69.1.1(不通) [root@PCE @root]#ping 10.69.1.1(不通)
[root@PCF @root]#ping 10.69.1.1(通) (10.65.2.1不在禁止范围) [root@PCB @root]#ping 10.69.1.1(通) (10.66.1.1不在禁止范围)
因为PCA和PCE的IP地址10.65.1.1、10.65.1.3,在deny范围内所以不通。 而PCF的IP是10.65.2.1不在10.65.1.0 0.0.0.255范围内,所以能通。
3.梯形基本访问控制列表
访问控制列表一般是顺序匹配的,梯形结构,参考如下: RouterC(config)#access-list 4 permit 10.65.1.1
RouterC(config)#access-list 4 deny 10.65.1.0 0.0.0.255 RouterC(config)#access-list 4 permit 10.65.0.0 0.0.255.255 RouterC(config)#access-list 4 deny 10.0.0.0 0.255.255.255 RouterC(config)#access-list 4 permit any RouterC(config)#int s0/1
RouterC(config-if)#ip access-group 4 out RouterC(config-if)#end
[root@PCA @root]#ping 10.69.1.1(通)
[root@PCE @root]#ping 10.69.1.1(不通) (10.65.1.3禁止) [root@PCF @root]#ping 10.69.1.1(通)(10.65.2.1不在禁止范围)
[root@PCB @root]#ping 10.69.1.1(不通) (10.66.1.1禁止)
4. 扩展访问控制列表
基本访问表控制基于网络地址的信息流,且只允许过滤源地址。
扩展访问表通过网络地址和传输中的数据类型进行信息流控制,允许过滤源地址、目的地址和上层应用数据。
扩展的访问控制列表,有源和目的两个ip,并且要指明应用的协议。实际中可控制的协议有很多,本软件实际只支持icmp的echo(响应)操作,用以说明问题。
1)阻止PCA访问PCD:
RouterC(config)#access-list 101 deny icmp 10.65.1.1 0.0.0.0 10.70.1.1 0.0.0.0 echo
RouterC(config)#access-list 101 permit ip any any RouterC(config)#int s0/0
RouterC(config-if)#ip access-group 101 in RouterC#sh access-list 101
[root@PCA root]#ping 10.70.1.1 (不通)(请求echo包被禁止) [root@PCE root]#ping 10.70.1.1(通) [root@PCF root]#ping 10.70.1.1(通) [root@PCD root]#ping 10.65.1.1(通)
RouterC(config)#no access-list 101 RouterC#sh access-list
[root@PCA root]#ping 10.70.1.1 (去掉访问控制列表,就通了)
2)阻止10.65.1.0/24网络访问 10.70.1.1(PCD)。
RouterC(config)#access-list 102 deny icmp 10.65.1.1 0.0.0.255 10.70.1.1 0.0.0.0 echo
RouterC(config)#access-list 102 permit ip any any RouterC(config)#interface s0/1
RouterC(config-if)#ip access-group 102 (默认为out)
[root@PCA root]#ping 10.70.1.1 (不通)(PCE:10.65.1.1禁止) [root@PCE root]#ping 10.70.1.1 (不通)(PCE:10.65.1.3禁止) [root@PCF root]#ping 10.70.1.1(通) (PCE:10.65.2.1允许)
3)如果将扩展访问控制列表的目的IP的匹配码改成0.0.0.255,又会怎样呢? 请自己分析或做实训。
四、完成实训报告
针对以上实训要求(目的,步骤等),在报告中明确描述各部分要求的完成情况,同时需姜实训中的各种现象,问题及结论等在报告中清晰反映;并最终做出实训总结.
五、实训思考
访问列表的方向如何区分?