ACCESS访问控制列表

验报告

指导老师：姚育生   实验者：樊申申   时间：2010-1-24

实验项目：ACCESS访问控制列表

实验目的：掌握ACCESS标准和扩展列表的使用

设备需求、组网拓扑、IP数据：

实验项目：

1、拒绝R1的1网段访问R3的5网段，其它均能正常访问

2、拒绝R1的1网段访问R3的5网段的HTTP服务器

一：下面来介绍一下ACCESS访问控制列表

标准ACL：

• 如果想允许或者禁止来自于某各个网络的所有数据流，可以使用标准ACL。标准ACL检查数据报的源地址。即根据地址中的网络，子网和主机位，来允许或者拒绝来自于整套协议的数据报。

• 例如，来自于E0端口的数据报，将检查它的源地址和协议，如果被允许，将输出到S0端口。如果被禁止，数据报将被丢弃。

• 

标准ACL的配置

• 使用标准版本的access-list全局配置命令来定义一个带有数字的标准ACL。这个命令用在全局配置模式下。

    Router(config)# access-list access_list_number {deny|permit} source [source-wildcard ] [log] 

• 使用这个命令的no形式，可以删除一个标准ACL。语法是：

Router(config)# no access-list access_list_number 

扩展ACL ：

• 扩展ACL提供了比标准ACL更大范围的控制，因而运用更广。例如，可以使用扩展ACL来实现允许Web数据流，而禁止FTP或Telnet。

• 扩展ACL可以检查源地址和目标地址，特定的协议，端口号，以及其它的参数。一个数据报，可以根据它的源或者目标地址，而被允许或者禁止。例如，扩展ACL可以允许来自于E0而到S0的e-mail数据，而禁止远程登录或者文件传输。

• 假设端口E0与一个扩展ACL相关联。可以使用精确的逻辑指令，来创建ACL。在一个数据报进入这个端口前，相应的ACL将对其进行检查。

• 基于扩展ACL检查，数据报将被允许或禁止。对于进入端口的数据，允许的数据报将被继续处理。对于发出端口的数据，允许的数据报将被转发到端口。拒绝的数据报将被丢弃，某些协议还会向发端发送数据报，说明目标不可到达。

• 一个ACL中可以包含任意多条指令。每一条指令，应该具有相同的标识名或者数字。ACL中的指令越多，就越难理解和管理。所以，为ACL做好文档可以防止混淆。

扩展ACL配置：

• 完全形式的access-list命令为：

Router(config)# access-list access_list_number {permit|deny}

                          protocol source [source_mask destination 

                          destination_mask operator operand [established] 

• 命令"ip access-group"将一个存在的扩展ACL和一个端口关联。记住：一个端口的一个方向的某套协议，只允许存在一个ACL。

Router(config-if)# {protocol} access-group access_list_number {in|out} 

实站标准和扩展ACL配置：

实站1，标准ACL配置，目的拒绝R1的1网段访问R3的5网段，其它均能正常访问

配置各个路由接口IP：

R1：F0/0

R1：S0/0/0

R2：F0/0

R2：S0/0/0

R2：S0/0/1

R3：F0/0

R3：S0/0/0

好接口IP配置完成以后，为了跨网段通信下面我们来配置RIP

R1

R2

R3

好RIP配置完成，下面我们来查看一下路由表

R1

R2

R3

下面进行测试一下用PC机

PC1

PC2

又完成了一项，下面我们来配置ACL的标准控制列表。

在这里ACL标准控制列表的配置为什么要在R3上配置呢？

因为标准ACL尽可能靠近目标，记住这一句话。

R3(CONFIG)#Access-list 10 deny 192.168.1.0 0.0.0.255 

这里的10表示的是一个序号，标准ACL的序号在1-99之间，DENY是关闭，关闭什么呢？，关闭源网络号为192.168.1.0的网段来访问我们的5.0网段（下面把这张ACL表应用在在.0也就是F0/0接口上），0.0.0.255是192.168.1.0网段的通配符。

R3(CONFIG)#ACCESS-LIST 10 PERMIT ANY

序列同上一条一样，PERMIT是允许的意思，允许什么呢？ANY表示所有的意思。

R3(CONFIG)#INTERFACE F0/0 ,为什么是F0/0？引用上一句话标准ACL尽可能靠近目标。

好下面一句

R3(CONFIG-if)#IP ACCESS-GROUP 10 OUT

序号同上，OUT出，表示当1.0网段数据到达4.0段的时候，路由器会把这个数据包送出到5.0段，送出就是OUT。

配置完成以后我们来查看一下ACL列表

查看接口信信息

第九行表示的是

出站的ACL控制列表为10。

第十行为IN没有对进入数据包进行控制。

下面我们来用PC机进行测试

PC1

PC1是PING 不通的，下面看一下PC2

已经达到我们的第一个要求了。

下面我们来删除ACL控制列表

删除接口应用的列表和删除整个配置ACL表.

好标准的已配置完成，下面来进行我们的第二步，扩展ACL列表

二、

拒绝R1的1网段访问R3的5网段的HTTP服务器

具体配置如下

在这里为什么要在R1路由上配置呢，同样记住一句话

扩展ACL尽可能靠近源

既然是拒绝1.0网段的HTTP协议，那当然就是在F0/0口设置了。

这里的122是序号，扩展的序号范围是从100-199,HTTP是基于TCP协议的，所以所关闭的是TCP协议中的HTTP，下面是源网络号，目标网络号，EQ是标识，标识协议所用到的端口。

下面来查看一下ACL列表

好用PC机来测试一下

之前未配置扩展ACL列表之前的状态

之后的状态

PC2

到此完成

注意：在配置的时候一定不要把进站IN和出站OUT弄混了，否则所配置的列表不起认何作用。