1、實訓8.1 標準ACL的配置 理論根底 第一部分ACL概念訪問控制列表Access Control List ，簡稱ACL既是控制網絡通信流量的手段，也是網絡平安策略的一個組成部分 ACL的兩種執行方式 一種方式是承受在ACL列表中指定的主機和網絡的訪問，其它主機和網絡都被回絕另一種方式是回絕在ACL列表中指定的主機和網絡的訪問，其它主機和網絡都被回絕。 ACL概念oACL的工作原理 n每一個ACL列表可以由一條或假設干條指令組成，對于任一個被檢查的數據包，依次用每一指令進展匹配，一旦獲得匹配，那么后續的指令將被忽略 ACL概念oACL的標識n路由器為不同的網絡協議定義不同的ACL列表。為了標

2、識與不同的網絡協議對應的ACL，可以采用數字標識的方式。在使用ACL數字標識時，必須為每一協議的訪問控制列表分配唯一的數字，并保證該數字值在所規定的范圍內 ACL概念o通配掩碼 n為了更好地描繪和界定數據包過濾條件，ACL使用了通配掩碼Wildcard Maskn通配掩碼在形式上與子網掩碼類似，也是由四個“八位組組成的32位二進制數，并且也與IP地址配套使用。n但是通配掩碼與子網掩碼的作用完全不同，在通配掩碼中，二進制的“0表示要檢查IP地址中的相應比特位并要求其與模板地址中的相應位匹配；而二進制的“1那么表示不考慮IP地址中的相應比特位 標準ACL o標準ACL 的概念與作用 n標準ACL是

3、指基于數據包中的源IP地址進展簡單的包過濾的訪問控制列表，其通過檢查數據包的源地址，來確定是允許還是回絕基于網絡、子網絡或主機IP地址的某一協議簇通過路由器的接口 標準ACL列表的定義 o命令格式如下 nRouterconfig# access-list access-list-numberndeny | permitsource source-wildcard log 標準ACL列表的接口配置 oRouterconfig-if#ip access-group access-list-number in | out 實訓環境實訓環境 o每一實驗小組采用如圖8.3的網絡環境o需兩臺路由器、兩臺臺

4、帶windows 2000/xp/2003操作系統，超級終端仿真軟件的PC機o路由器之間以串行鏈路連接,其中Router_A充當DCE，Router_B充當DTEo充當超級終端的計算機以反接線rollover cable連接路由器的控制端口 配置第二部分準備按以下要求配置IP地址：o路由器接口IP地址：oRouter_A: F0/0為192.8.15.1 F0/1為198.15.6.1oRouter_B: F0/0為200.7.20.1另外，配置主機：o在網絡200.7.20.0中配置一臺IP地址為200.7.20.2的主機配置路由協議允許或回絕來自某一特定主機的訪問 o實例：回絕從主機192

5、.8.15.2來的數據包到達網絡202.7.20.0 n選擇路由器BnRouter_Bconfig# access-list 55 deny host 192.8.15.2nRouter_B config# access-list permit anynRouter_B config# interface f0/0nRouter_B config-if# ip access-group 55 out n利用PING命令或其他你認為可行的方法測試所設置的ACL是否與需求一致允許或回絕來自某一特定主機的訪問o實例：除來自主機192.8.15.2的數據包外，回絕所有的其他數據包到達網絡202.7.2

6、0.0n選擇路由器BnRouter_B config# access-list 56 permit host 192.8.15.2nRouter_B config# access-list 56 deny any nRouter_B config# interface f0/0 nRouter_B config-if# ip access-group 56 out n利用PING命令或其他你認為可行的方法測試所設置的ACL是否與需求一致允許或回絕來自某一網絡或子網絡的訪問 o實例：回絕所有從網絡198.15.6.0來的數據包到達網絡202.7.20.0 n選擇路由器B配置nRouter_B c

7、onfig# access-list 57 deny 198.15.6.0 0.0.0.255nRouter_B config# access-list permit any請考慮為何加上此命令?nRouter_B config# interface f0/0 nRouter_B config-if# ip access-group 57 out n利用PING命令或其他你認為可行的方法測試所設置的ACL是否與需求一致 利用命名ACL o實例：回絕從主機192.8.15.2來的數據包到達網絡202.7.20.0n選擇路由器B：nRouter_B config# ip access-list standard zxynRouter_B config-std-nacl# deny host192.8.15.2nRouter_B