IP訪問控制列表ACL實驗
一:實驗拓撲
二:實驗說明
該實驗用的虛擬機做的實驗,就是在真實的PC機上裝上虛擬機的軟件之後,然後在到虛擬機上裝系統軟件。
三:實驗相關說明
1. 從技術上面說訪問控制列表可以分爲兩種類型
A,標準的訪問列表:這種訪問列表是在過濾網絡是基於IP數據包的源地址的,所以這種訪問列表基本上允許或拒絕這個協議組。可以使用訪問列表號1~99,正是由於標準的訪問列表是基於源地址的,因此將這種類型的訪問列表儘可能地放在靠近目的地址的地方。
B,擴展的訪問列表:這種類型的訪問列表是可以測試源地址和目的地址,網絡報頭
中的協議字段,以及端口號 ,可以使用訪問列表號100~199。
2,在全局模式下配置好了訪問控制列表了之後,就要把訪問控制列表運用於路由器的某一個接口的某一個方向上面,每個接口的每個方向只能夠分配一個控制列表。
3,做訪問控制列表一個總體的原則:從上到下,匹配優先,默認禁止。
4 ,每一個就口可以分爲輸入型和輸出型的訪問列表,輸入型就是對所有流進這個接口的流量進行過濾,輸出型就是對所有這個就口的流量進行過濾。
5,做訪問控制列表路由器的IOS 要衛12.3以上的版本方可。
四,實驗過程:
1, 標準的訪問列表:
基本的語法是:access-list 列表號 <deny | permit> <主機地址|網絡地址|所有地址>
R2514(config)#access-list 10 deny host 192.168.8.50 (拒絕IP地址爲192.168.8.50的主機訪問)
R2514(config)#access-list 10 permit any (允許除主機IP爲192.168.8.50外的所有的)地址訪問
R2514(config)#int e0
R2514(config-if)#ip access-group 10 out (將訪問控制列表應用於e0的出口流量上面)
2, 擴展的訪問列表
基本的語法是:access-list 列表號 <deny | permit> <協議> <源主機地址|源網絡地址|所有地址> <目的主機地址|目的網絡地址|所有地址>
例1:拒絕主192.168.8.50對172.16.8.0網絡的任何訪問)
R2501(config)#access-list 100 deny ip 192.168.8.50 172.16.8.0 0.0.0.255
R2501(config)#access-list 100 permit ip any 172.16.8.0 0.0.0.255
R2501(config)#int e0
R2501(config-if)#ip access-group 100 in
例2:不允許192.168.8.0網段的用戶訪問除web服務以外的所有服務
R2501(config)#access -list 120 permit tcp 192.168.8.0 0.0.0.255 any eq 80
R2501(config)#int e0
R2501(config-if)#ip access-group 120 in
例3:只允許192.168.8.0網段內的用戶訪問web服務和ftp服務
R2501(config)#access -list 130 permit tcp 192.168.8.0 0.0.0.255 any eq 80
R2501(config)#access -list 130 permit tcp 192.168.8.0 0.0.0.255 any eq 21
R2501(config)#int e0
R2501(config-if)#ip access-group 130 in