实训五、路由器访问控制列表的配置

1、重点内容理解访问控制列表的概念及作用；基于IP协议的访问控制列表的配置方法； 一、访问控制列表的概念一、访问控制列表的概念 访问控制列表（Access Control List，ACL）是应用在路由器接口的指令列表，这些指令列表用来告诉路由器哪些数据包可以接收、哪些数据包需要拒绝，对于数据包是被接收还是拒绝，可以由类似于源地址、目的地址、端口号等的特定指示条件来决定。通过灵活地增加访问控制列表，ACL可以当作一种网络控制的有力工具，用来过滤流入和流出路由器接口的数据包。 访问控制列表的作用：访问控制列表的作用：1、可以限制网络流量、提高网络性能，如可以根据数据包的协议指定数据包的优先级。2、可

2、以对通信流量的进行控制，如可以限定或简化路由更新信息的长度，从而限制通过路由器某一网段的通信流量。3、提供网络安全访问的基本手段，如可以允许或拒绝某台主机访问某个网络。4、可以在路由器接口处决定哪种类型的通信流量被转发或被阻塞，如用户可以允许转发E-mail通信流量，而拒绝所有的Telnet通信流量。 访问控制列表的分类：访问控制列表的分类：1、标准IP访问控制列表 标准IP访问控制列表是基于源IP地址进行判定是否拒绝或允许数据包通过。其访问列表编号范围从1到99。2、扩展IP访问控制列表 扩展IP访问控制列表比标准IP访问控制列表具有更多的匹配项，它能够基于协议类型、源地址、目的地址、源端口

3、、目的端口等来控制数据包是否流入还是流出。其访问列表编号范围从100到199。3、标准IPX访问控制列表 标准IPX访问控制列表检查IPX源网络号和目的网络号，同样可以检查源地址和目的地址的节点号部分。访问列表编号范围是从800-899。4、扩展IPX访问控制列表 扩展IPX访问控制列表在标准IPX访问控制列表的基础上，增加了对IPX报头中以下几个宇段的检查，它们是协议类型、源Socket、目标Socket。访问列表编号范围是从900-999。5、命名访问控制列表 所谓命名访问控制列表是用列表名称代替列表编号来定义访问控制列表，同样包括标准和扩展两种列表，定义过滤的语句与编号方式的访问列表相同

4、。 二、配置命令格式介绍二、配置命令格式介绍 1、标准访问控制列表、标准访问控制列表1）、命令格式）、命令格式Router(config)#access-list list-number permit|deny host/any source-address wildcard-mask2）、参数说明）、参数说明 表示可选项，表示必选项； access-list-访问控制列表命令 list-number-列表号范围从1到99,可随意取 permit/deny-允许或拒绝数据包通过接口 host/any-host表示特定的某台主机，而any表示指任何地址 source-address-源IP地址

5、wildcard-mask-通配符掩码或称反掩码 wildcard-mask省略时，表示取默认值；通配符掩码的作用与子网掩码刚好相反，在通配符掩码位中，0表示“匹配”即要检查相应的位，1表示“不关心”即不检查相应的位。通配符掩码与IP地址是成对出现的，如表示这个网段，使用通配符掩码应为55。 关键字host和any，在通配符掩码中，用55表示所有IP地址，因为全1说明所有32位都不进行匹配，所以可以用关键字any来代替。而的通配符掩码则表示所有32位都要进行匹配，这样只有一个IP地址，所以可以用关键字h

6、ost代替。3）、配置举例）、配置举例Router(config)#Access-list 1 permit /表示允许IP地址为的数据包通过，相当于Access-list 1 permit ，还等同于Access-list 1 permit host 。Router(config)#Access-list 2 permit 55 /表示允许这个网络中的所有主机数据包通过。Router(config)#Access-list 3 deny 2

7、0 /表示禁止IP地址为的数据包通过。Router(config)#Access-list 5 deny Router(config)#Access-list 5 permit any/这两条命令表示禁止IP地址为的数据包通过，但允许其他任何IP地址数据包通过。需要注意的是这两条语句的顺序，访问列表语句的处理顺序是从上到下，如果我们将两个语句顺序颠倒，将permit语句放在deny语句的前面，则我们将不能过滤来自主机地址的数据包，因为permit语句将允许所有的报文通过 2、扩展访问控制列表、扩展访问控制列表

8、 1）、命令格式）、命令格式Router(config)#access-list list-number permit|deny protocol host/anysource-address wildcard-mask operator port host/anydestination-address wildcard-maskoperator portestablishedlog2）、主要参数说明）、主要参数说明表示可选项，表示必选项；list-number-列表号范围从100到199,可随意取；protocol-表示使用的协议，如IP、ICMP、TCP、UDP等；host/any -这两

9、个关键词同样适用于扩展访问控制列表；operator-为操作符，常用的有小于、大于、等于和不等于分别用关键字lt、gt、eq和neq表示；Port为端口号或应用名，如端口号23表示telnet，端口号80表示www。所以端口号与应用名可相互代替使用(如eq www等同于eq 80、eq telnet等同于 eq 23)； 3）、配置举例）、配置举例Router(config)#Access-list 101 deny ip any 55 Router(config)#Access-list 101 permit ip any any /这两条命令表示禁止

10、任何IP地址访问/8这个目的网络，但允许访问其他任何网络。Router(config)#Access-list 110 permit tcp any host eq www /表示允许任何主机以www方式访问这个特定主机，操作符eq www也可以使用eq 80代替。Router(config)#Access-list 103 permit tcp 55 host eq ftp /表示允许这个网络中的所有主机以ftp方式访问这台服务器

11、。 3、命名访问控制列表、命名访问控制列表1）、命令格式）、命令格式Standard型：Router(config)#ip access-list standard acl_name Extended型：Router(config)#ip access-list extended acl_name 2）、参数说明）、参数说明 acl_name为定义访问控制列表名称，standard为标准关键词，extended为扩展关键词；其余所有的参数设置与编号访问控制列表相似。命名ACL的优点：用名字代替数字，可直观反应特定的ACL；不必受标准99和扩展100的限制；管理员可以不用删除ACL而方便地对AC

12、L进行修改。 3）、配置举例）、配置举例 (1)、Standard型型R2(config)#ip access-list standard test1 /配置名称为“test1”访问控制列表R2(config-std-nacl)#deny 55 /拒绝网段的数据包通过R2(config-std-nacl)#permit any /允许其它网络的数据包通过R2(config-std-nacl)#exitR2(config)#int s1/0 /进入S1/0端口R2(config-if)#ip access-group test1 in /将列表规则

13、test1应用到S1/0接口上R2(config-if)#exit(2)、Extended型型Router(config)#ip access-list extended test2Router(config-ext-nacl)#permit tcp any any eq 80Router(config-ext-nacl)#permit tcp any any eq 21Router(config-ext-nacl)#permit tcp any any eq 23Router(config-ext-nacl)#permit ip any any Router(config-ext-nacl)

14、#exitRouter(config)#int s2/0Router(config-if)#ip access-group test2 outRouter(config-if)#Z4、在接口上应用访问控制列表、在接口上应用访问控制列表 提示：使用ip access-group命令将相应的列表规则应用于接口上，并指定接口数据流方向。In为入栈应用，指经某接口进入设备内部的数据包进行安全规则过滤；而out为出栈应用，指设备从某接口向外发送数据包时进行安全规则过滤。5、访问控制列表应用步骤、访问控制列表应用步骤1）在全局配置模式下，创建访问控制列表；2）在接口配置模式下，将所创建的ACL规则应用到路

15、由器接口上，并指明数据流方向。6、删除访问控制列表命令、删除访问控制列表命令1）进入全局配置模式，在定义ACL命令前加no就可以删除本条访问控制列表。2）进入相应的接口模式下，输入no access-group 列表号 in|out。 7、访问控制列表设置原则、访问控制列表设置原则 1）具体精确的条件放在一般性条件的前面；常发生的条件放在不常发生的条件前面。2）从头到尾，至顶向下匹配，一当匹配成功就不会再访问下一条。3）一切未被允许的就是禁止，如果到末尾还未找到匹配项，则默认执行丢弃（DENY），所以在写ACL时，一定要注意先后顺序。4）标准访问控制列表不能指定目标地址，所以应将其放在离目的地

16、尽可能近的地方。5）应尽量将扩展访问控制列表放置在靠近被拒绝的数据源的地方。6）访问列表只过滤经由当前路由器的数据流，而不能过滤当前路由器发送的数据流。8、查看访问控制列表的配置情况、查看访问控制列表的配置情况1）、Router#show interface /显示在某个接口上绑定了那些ACL2）、Router#show running-config /显示ACL详细信息和绑定位置3）、Router#show access-lists /显示所有的ACL列表内容三、访问控制列表配置案例三、访问控制列表配置案例1、实训拓扑图、实训拓扑图图18-2F1/1F1/2F1/1S0S0pc1:172.1

17、6.1.0/24pc2:/24Pc3:/24R1R2/24FTP服务器2、设备、设备IP地址分配地址分配 PC1：IP地址:、子网掩码：、网关：；PC2：IP地址:、子网掩码：、网关：；PC3：IP地址:、子网掩码：、网关：；R1：F1/1：；；F1/2：；255.255.2

18、55.0； S0：、；R2：F1/1：、；S0：、； 3、配置要求、配置要求1)使PC1所在的子网（/24）都可以访问PC3所在的子网(/24)，而PC2所在的子网（/24）不可以访问PC3所在的子网；2)假设PC3为FTP服务器，拒绝/24网络中的主机以ftp方式登陆该服务器，但允许与/24网络进行数据通信。且允许其他网络的主机登陆。4、配置命令清单、配置命

19、令清单1）、R1路由器基本配置：R1#config terminalR1(config)#interface fastethernet 1/1R1(config-if)#ip address R1(config-if)#no shutdownR1(config-if)#exitR1(config)# interface fastethernet 1/2R1(config-if)# ip address R1(config-if)# no shutdownR1(config)#exitR1(conf

20、ig)#int serial 1/1R1(config-if)#ip address R1(config-if)#no shutdownR1(config-if)#end2）、）、R2路由器基本配置路由器基本配置R2#config terminalR2(config)#interface fastethernet 1/1R2(config-if)#ip address R2(config-if)#no shutdownR2(config-if)#exitR2(config)#int serial

21、1/1R2(config-if)#ip address R2(config-if)#no shutdownR2(config-if)#clock rate 64000R2(config-if)#end3）、配置静态路由协议）、配置静态路由协议（也可以使用动态路由协议，如RIP协议）R1(config)#ip route R2(config)# ip route R2(config)# ip route 4)、应用、应用ACL到接口上到接口上 要求1：对于标准IP ACL，由于它只能对报文的源IP地址进行检查，所以为了不影响源端的其他通信，所以将标准访问列表放在离目的地尽可能近的地方，所以在本例中将R2路由器的F1/1接口的OUT方向作为标准ACL规则应用位置。配置命令如下所示：R2(config)# access-list 1 deny 55 R2(config)# access-list 1 p