实验十一 ACL访问控制列表的配置与应用

1、实验一 ACL访问控制列表的配置与应用一、实验目的：了解ACL作用并熟练配置ACL二、准备知识：ACL是路由器和交换机接口的指令列表，用来控制端口进出的数据 包并且可以保护网络，ACL适用于所有的被路由协议，如IP、IPX、 AppleTalk等。ACL种类:标准ACL、扩展ACL、命名式ACL、基于 时间ACL、自反 ACL、动态 ACL。标准的ACL使用199以及13001999之间的数字作为表号， 扩展的ACL使用100199以及20002699之间的数字作为表号。 标准ACL可以阻止来自某一网络的所有通信流量，或者允许来自某 一特定网络的所有通信流量，或者拒绝某一协议簇（比如 IP）的

2、所 有通信流量。 扩展ACL比标准ACL提供了更广泛的控制范围可 以在路由器端口处决定哪种类型的通信流量被转发或被阻塞。命名式ACL可以用来删除某一条特定的控制条目，这样可以让 我们在使用过程中方便地进行修改。在使用命名访问控制列表时，要求路由器的iOS在11.2以上的版本，并且不能以同一名字命名多 个ACL，不同类型的ACL也不能使用相同的名字。基于时间ACL就是在原来的标准访问列表和扩展访问列表中 加入有效的时间范围来更合理有效地控制网络。首先定义一个时间 范围，然后在原来的各种访问列表的基础上应用它。基于时间的ACL最多应用在定时断网，例如学校。动态ACL是Cisco IOS的一种安全特

3、性，它使用户能在防火墙 中临时打开一个缺口，而不会破坏其它已配置了的安全限制。是能够自 动创建动态访问表项的访问列表，动态访问表项是传统访问表项的 一部分。它可以根据用户认证过程来创建特定的、临时的访问表项， 一旦某个表项超时，就会自动从路由器中删除。在用户被认证之后， 路由器会自动关闭telnet会话，并将一个动态访问表项置于某个访问表 中，以允许源地址为认证用户工作站地址的报文通过。自反ACL允许从内部网络发起的会话的IP流量，同时拒绝 外部网络发起的IP流量.路由器检查出站流量，当发现新的连接 时，便会在临时ACL中添加条目以允许应答流量进入。自反 ACL 永远是permit的；自反AC

4、L允许高层Session信息的IP包过滤 利用自反ACL可以只允许出去的流量，但是阻止从外部网络产生 的向内部网络的流量，从而可以更好地保护内部网络；自反ACL是 在有流量产生时（如出方向的流量）临时自动产生的，并且当 Session结束条目就删除；自反 ACL不是直接被应用到某个接口下 的，而是嵌套在一个扩展命名访问列表下的。ACL原则：（1）ACL的列表号指出了是那种协议的ACL。（2）一个ACL的配置是每协议、每接口、每方向的。（3）ACL的语句顺序决定了对数据包的控制顺序。（4）最有限制性的语句应该放在 ACL语句的首行。（5）新的表项只能被添加到ACL的末尾，这意味着不可能改变已有访

5、问控制列表的功能。如果 必须改变，只有先删除已存在的ACL， 然后创建一个新ACL。 ACL语句不能被逐条的删除，只能一次性删除整个 ACL（7）标准的ACL应放在接近目标的位置，扩展的ACL应放在靠近 源的位置。（8）应用在进方向的ACL：先处理再路由。应用在出方向的 ACL 先路由再处理.（9）注意通配符掩码的使用。三、实验内容实验1、标准ACL与扩展ACL的应用：192.168, 0.1 网知92, 163. 0.254配置R1：RouterenRouter#conf tRouter(config)#host R1R1(config)#int fa0/1R1(config-if)#ip

6、add 54 R1(config-if)#no shR1(config-if)#exitR1(config)#int fa0/0R1(config-if)#ip add 54 R1(config-if)#no shR1(config-if)#exitR1(config)#int e1/0R1(config-if)#ip add 54 R1(config-if)#no shR1(config-if)#exitR1(config)#access-list 1 deny 55 /配置一条标准的ACL 1拒绝网络上的所有主机R1(config)#access-list 1 permit any /配置

7、标准 ACL 1 除拒绝的 网段外其他都允许R1(config)#access-list 2 permit host /配置标准 ACL 2只允许主机R1(config)#access-list 100 permit tcp 55 host 0 eq www /配置扩展的 ACL 100 只允许 网络的TCP WEB服务流量通往0主机R1(config)#int e1/0 进入 e1/0 接口R1(config-if)#ip access-group 1 out 把标准 ACL 1 应用在 e1/0的出方向R1(config-if)#exitR1(config)#int fa0/1 进入 fa

8、0/1 接口R1(config-if)#ip access-group 100 in 把扩展 ACL 应用在 fa0/1的入方向R1(config-if)#exitR1(config)#line vty 0 4 进入虚拟终端R1(config-line)#access-class 2 in /把标准 ACL 2 应用在虚拟终端的入方向，即是登录时R1(config-line)#password cisco /设置虚拟终端的登录密码R1(config-line)#login启用密码登录R1(config-line)#exit测试ACL效果：1、PC0 telnet 到 R1 (成功)2、PC0浏

9、览WWW服务器（失败）3、PC1浏览WWW服务器（成功）eb browserIURL |lUp；/19S. IBS.3.CdI 如 叩Cisco Packet TracerWtlcwsfacktt Tr=sctr Qpcmc 加帏 k单 bct 寸ppyrRuiat亳s, Mmd Wi4eQuh dr Lbsdcs；:勺了四，小作L网关曲1 .蜀勺实验2、标准命名式ACL和 扩展命名式ACL：mi68. 3.21 192.168.3L25d1他1偶.CH 网关1滴琦8.。.踣4配置R1：RouterenRouter#conf tRouter(config)#host R2R2(config)#

10、int e1/0R2(config-if)#ip add 54 R2(config-if)#no shR2(config-if)#exitR2(config)#int e1/1R2(config-if)#ip add 54 R2(config-if)#no shR2(config-if)#exitR2(config)#int e1/3R2(config-if)#ip add 54 R2(config-if)#no shR2(config-if)#exitR2(config)#ip access-list standard denyftp /创建一条 命名式标准ACL denyftpR2(con

11、fig-std-nacl)#deny 55/拒绝所有来自/24网络的流量R2(config-std-nacl)#permit any /允许其他所有网络R2(config-std-nacl)#exit/退出命名式 ACLR2(config)#ip access-list extended allowftp /创建一条 命名式扩展ACL allowftpR2(config-ext-nacl)#permit tcp 55 host 1 eq ftp /允许网络 /24 向主机 1发出的ftp流量R2(config-ext-nacl)#deny ip any any /拒绝其他所有的流 量R2(co

12、nfig-ext-nacl)#exit /退出命名式 ACLR2(config)#int e1/1/进入接口 e1/1R2(config-if)#ip access-group allowftp in /把命名式 allowftp ACL应用到e1/1的入方向R2(config-if)#exit /退出接口模式R2(config)#int e1/3 /进入 e1/3 接口R2(config-if)#ip access-group denyftp out /把命名式denyftp ACL应用到e1/3的出方向R2（config-if）#exit /退出接口模式 测试ACL效果:1、PC0访问FT

13、P服务器（失败）2、PC1访问FTP服务器（成功）?主机：OS区师 EE 京面Command Pro皿ptPaclcet Ttsc&r PC Cwratnci Lin? 1 口FOtt-p isa. IQS .21 392, L6* 3 r 21!实验3、基于时间的ACL：配置R1：RouterenRouter#conf tRouter(config)#host R1R1(config)#int e0/0R1(config-if)#ip add R1(config-if)#no shR1(config-if)#exitR1(config)#line vty 0 4 /进入虚拟终端模式R1(co

14、nfig-line)#password cisco /设置虚拟终端登录密码R1(config-line)#login /启用密码登录R1(config-line)#exitR1(config)#time-range time_to_telnet/创建一个时间范围名为time_to_telnetR1(config-time-range)#periodic weekdays 12:00 to 14:00 /设置 工作日时间为每天12点到14点R1(config-time-range)#periodic weekdays 18:00 to 19:00 /设置 工作日时间为每天18点到19点R1(co

15、nfig-time-range)#periodic weekend 00:00 to 23:59 设置 周末时间为全天R1(config-time-range)#exit /退出时间设置模式R1(config)# access-list 100 permit tcp host host eq telnet time-range time_to_telnet /创建扩展 ACL100只允许主机在范围时间内telnet到路由R1(config-if)#ip access-group 100 in /把扩展 ACL 应用到 e0/0 的入接口方向R1(config-if)#exit /退出接口配置PCRouterenRouter#conf tRouter(config)#host PCPC(config)#no ip routing /关闭路由功能，配置成PCPC(config)#ip default-gateway /设置网关为 R1PC(config)#int e0/0 /进入接口 e0/0PC(config-if)#ip add /配置 IPPC(config-if)# no sh /开启端口PC(config-i