實驗導入

? ? ?一個路由器可以有多個訪問控制列表

? ? ? ACL的配置過程:1.創(chuàng)建ACL語句組 ? ?2.在接口配置模式中啟用ACL

? ? 注意：1.每個ACL列表至少包含一條permit（允許）耗绿，路由器自己不能過濾自己生成的流量

? ? ? ? ? ? ? ? 2.范圍小的乙帮，嚴格的條件往上面放。?

? ? ? ? ? ? ? ? 3.當沒有匹配項的時候拍埠，則丟棄（即隱含拒絕）

假如說給出： 192.168.1.1 ? 0.0.0.255（這幾項一一對應，前三項嚴格匹配幽邓，最后一項不需要颓芭，0.0.0.255為通配符）

? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 即192.168.1.0/24的IP都可以進入接口

? ? ? ? ? ? ? ? ? ? ? ? ?而0.0.0.0為完全匹配殖熟，即只有一臺主機可以匹配，而255.255.255.255任何機子都可以匹配即permit ?any

實驗目的

? ? ?通過設置訪問控制列表ACL叫胁，學習ACL原理凰慈。

實驗任務

? ? ?1、按照給出的參考拓撲圖構(gòu)建邏輯拓撲圖驼鹅。（需要添加模塊）

? ? ?2溉瓶、練習VLSM的劃分。

? ? ?3谤民、練習訪問控制列表ACL的配置堰酿。

? ? ? 要求：

? ? ? ?PC0不能訪問PC4，可以訪問PC3

? ? ? PC4不能訪問PC3张足，可以訪問PC1和PC2

4触创、測試

實驗背景

訪問控制是網(wǎng)絡安全防范和保護的主要策略，它的主要任務是保證網(wǎng)絡資源不被非法使用和訪問为牍。它是保證網(wǎng)絡安全最重要的核心策略之一哼绑。

訪問控制列表（Access Control Lists,ACL）是應用在路由器接口的指令列表。這些指令列表用來告訴路由器哪些數(shù)據(jù)包可以收碉咆、哪些數(shù)據(jù)包需要拒絕抖韩。至于數(shù)據(jù)包是被接收還是拒絕，可以由類似于源地址疫铜、目的地址茂浮、端口號等的特定指示條件來決定。

訪問控制列表不但可以起到控制網(wǎng)絡流量、流向的作用席揽，而且在很大程度上起到保護網(wǎng)絡設備顽馋、服務器的關鍵作用。作為外網(wǎng)進入企業(yè)內(nèi)網(wǎng)的第一道關卡幌羞，路由器上的訪問控制列表成為保護內(nèi)網(wǎng)安全的有效手段寸谜。

實驗拓撲與配置參數(shù)

實驗的參考拓撲圖和參考配置參數(shù)如圖所示。

IP規(guī)劃：

該公司申請到的網(wǎng)絡地址為：196.20.58.64/26属桦，期中部門1包含機器28臺熊痴，部門2包含2臺，部門三包含2臺聂宾。

要求：

? ? ? PC0不能訪問PC4果善，可以訪問PC3

? ? ? PC4不能訪問PC3，可以訪問PC1和PC2

實驗步驟

首先進行簡單實現(xiàn)

代碼實現(xiàn)：

如果我需要不允許1.2-----2.2 通信亏吝，可以有兩種方法：一、接口0/0不允許進 ? 二盏混、接口0/1不允許出蔚鸥，但是第二種有問題，1.3---2.2也不可以進行通信了许赃。1步止喷、access-list ?1 deny 192.168.1.2 ? 0.0.0.0或deny ?192.168.1.2 ?或者 deny ?host ?192.168.1.2 ? ? ? ? ?2步、access-list ?1 ?permit any（不然1.3會被丟棄掉） ? 3步混聊、進入接口>>inter ? fa ?0/1 ? >> ?ip access-group 1 out 即可弹谁，此時1.2----2.2目的不可達 ? 2.2-----1.2是time ? out ?，1.3-----2.2可以正常通信

正式實驗

步驟1 ? ?規(guī)劃IP地址句喜，并填寫表5.1预愤、表5.2，按照圖5.1參考拓撲圖將設備連接起來咳胃，并按照表中參數(shù)配置各個設備植康。

步驟2 ? ?測試連通性

步驟3 ? ?配置ACL

ACL配置的格式：access-list ?列表號 ?permit/any ?匹配內(nèi)容

? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?列表號使用的范圍：1~99 ?1300~1900 ?（標準，只匹配源IP地址）

? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 100~199 ? 2000~2699（擴展展懈，可匹配源IP销睁，目的IP，協(xié)議類型存崖，端口號）

? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 而我們使用的是標準的冻记。

? ? ?步驟3.1 ? ?創(chuàng)建ACL

? ? ?Router(config)#access-list1 deny 192.168.1.1

? ? ?Router(config)#access-list1 permit any

? ? ?Router(config)#access-list2 deny 192.168.3.2

? ? ?Router(config)#access-list2 permit any

? ? 步驟3.2 ? ?啟動ACL

? ? ? ?Router(config)#int fa 1/0

? ? ? Router(config-if)#ip access-group 1 out

? ? ? Router(config)#int fa 0/1

? ? ? Router(config-if)#ip access-group 2 out

要求搭建的拓撲結(jié)構(gòu)為：

進行ping命令的測試：

用PC0 ping PC4結(jié)果為：

結(jié)果是目的不可達

用PC0 ping PC3結(jié)果為：

結(jié)果是連通成功