第13章 项目6标准访问控制列表(1)

6.1实训目标

能够根据实际需要配置网络标准访问控制列表。

6.2知识回顾

访问控制列表（Access Control List，ACL）既是控制网络流量的手段，也是网络安全策略的一个组成部分。ACL有两种执行方式：一种方式是接受在ACL列表指定的主机和网络的访问，其他主机和网络都被拒绝；另一种方式是拒绝在ACL列表中指定的主机和网络的访问，其他主机和网络都被允许。

ACL的工作原理是：每一个ACL列表可以由一条或若干条指令组成，对于任一个被检查的数据包，依次用每一条指令进行匹配，则后续的指令将被忽略。

路由器为不同的网络协议定义不同的ACL列表，为了标识不同的网络协议对应不同的ACL，各家网络厂商采用了数字标识的方式。在使用ACL标识时，必须为每一协议的访问控制列表分配唯一的数字值，并保证该数字值在所规定的范围内。

为了更好地描述和界定数据包过滤条件，ACL使用了通配掩码（Wildcard Mask）。通配掩码在形式上与子网掩码类似，也是由四个“八位组”组成的32位二进制数，并且也与IP地址配套使用。但是通配掩码与子网掩码的作用完全不同，在通配掩码中，二进制的“0”表示要检查IP地址中的相应比特位，并要求其与ACL中的IP地址相应位匹配；而二进制的“1”则表示不考虑IP地址中的相应比特位。

标准ACL是指基于数据包中的源IP地址进行简单的包过滤的访问控制列表，其通过检查数据包的源地址，来确定是允许还是拒绝基于网络、子网络或主机IP地址的某一协议族通过路由器的接口。

6.3实训任务

模拟跨地域企业广域网互连，根据要求完成标准访问控制列表设计与配置任务并且验证效果。

任务1：在Router1上，只允许10.1.1.0/24这个网络访问外网，其他禁止。

任务2：在Router1上，禁止10.1.1.2/24和192.168.2.2/24两台计算机访问路由器，其他许可。

任务3：在Router2上，允许网段192.168.1.0/24和计算机192.168.2.2/24访问外网，其他禁止。

6.4实训步骤

6.4.1网络拓扑

路由器采用Cisco2621。

6.4.2地址分配

6.4.3任务1分析与配置

1.分析

要求的网络10.1.1.0/24对于Router1来说，是一个内部网络，要完成的目标任务是控制内网访问外网，所以要求设计的访问控制列表应该应用于Router1的S0/0端口，方向为出。访问控制列表应该有两条，一条为许可，另一条为禁止。

2.网络连通配置

首要任务是把整个网络配置连通，路由协议拟采用EIGRP，计算机配置按照网络拓扑图中给出的地址配置，切记要正确配置网关地址。路由器的主要配置步骤如下，不作详细讲解。

对于Router1，网络连通配置如下：

Router＞ena

Router#conf t

Enter configuration commands，one per line.End With CNTL/Z.

Router（config）#enable passWord cisco

Router（config）#hostname Router1

Router1（config）#int fa0/0

Router1（config-if）#ip add10.1.1.1255.255.255.0

Router1（config-if）#no sh

%LINK-5-CHANGED：Interface FastEthernet0/0，changed state to up

%LINEPROTO-5-UPDOWN：Line protocol on Interface FastEthernet0/0，changed state to up

Router1（config-if）#int fa0/1

Router1（config-if）#ip add10.2.2.1255.255.255.0

Router1（config-if）#no sh

%LINK-5-CHANGED：Interface FastEthernet0/1，changed state to up

%LINEPROTO-5-UPDOWN：Line protocol on Interface FastEthernet0/1，changed state to up

Router1（config-if）#int s0/0

Router1（config-if）#ip add202.66.200.33255.255.255.252

Router1（config-if）#clock rate ？

Speed（bits per second

1200

2400

4800

9600

19200

38400

56000

64000

72000

125000

128000

148000

250000

500000

800000

1000000

1300000

2000000

4000000

＜300-4000000＞Choose clockrate from list aboVe

Router1（config-if）#clock rate1000000

Router1（config-if）#no sh

%LINK-5-CHANGED：Interface Serial0/0，changed state to doWn

Router1（config-if）#exit

Router1（config）#router eigrp200

Router1（config-router）#netWork10.1.1.00.0.0.255

Router1（config-router）#netWork10.2.2.00.0.0.255

Router1（config-router）#netWork202.66.200.320.0.0.3

Router1（config-router）#＾ Z

%SYS-5-CONFIG_I：Configured from console by console

Router1#copy run start

Destination filename[startup-config]？

Building configuration...

［OK]

Router1#

对于Router2，网络连通配置如下：

Router＞ena

Router#conf t

Enter configuration commands，one per line.End With CNTL/Z.

Router（config）#hostname Router2

Router2（config）#ena pass cisco

Router2（config）#int fa0/0

Router2（config-if）#ip add192.168.1.1255.255.255.0

Router2（config-if）#no sh

%LINK-5-CHANGED：Interface FastEthernet0/0，changed state to up

%LINEPROTO-5-UPDOWN：Line protocol on Interface FastEthernet0/0，changed state to up

Router2（config-if）#int fa0/1

Router2（config-if）#ip add192.168.2.1255.255.255.0

Router2（config-if）#no sh

%LINK-5-CHANGED：Interface FastEthernet0/1，changed state to up

%LINEPROTO-5-UPDOWN：Line protocol on Interface FastEthernet0/1，changed state to up

Router2（config-if）#int s0/0

Router2（config-if）#ip add202.66.200.34255.255.255.252

Router2（config-if）#no sh

%LINK-5-CHANGED：Interface Serial0/0，changed state to up

Router2（config-if）#

%LINEPROTO-5-UPDOWN：Line protocol on Interface Serial0/0，changed state to up

Router2（config-if）#exit

Router2（config）#router eigrp200

Router2（config-router）#netWork192.168.1.00.0.0.255

Router2（config-router）#netWork192.168.2.00.0.0.255

Router2（config-router）#netWork202.66.200.320.0.0.3

Router2（config-router）#＾ Z

%SYS-5-CONFIG_I：Configured from console by console

Router2#

%DUAL-5-NBRCHANGE：IP-EIGRP200：Neighbor202.66.200.33（ Serial0/0）is up：neW adjacency

Router2#copy run start

Destination filename[startup-config]？

Building configuration...

［OK]

Router2#

3.测试

查看两个路由器的路由表，是否列出所有可路由的网络。

Router2#sh ip route

Codes：C-connected，S-static，I-IGRP，R-RIP，M-mobile，B-BGP

D-EIGRP，EX-EIGRP external，O-OSPF，IA-OSPF inter area

N1-OSPF NSSA external type1，N2-OSPF NSSA external type2

E1-OSPF external type1，E2-OSPF external type2，E-EGP

i-IS-IS，L1-IS-IS leVel-1，L2-IS-IS leVel-2，ia——IS-IS inter area

*-candidate default，U-per-user static route，o-ODR

P-periodic doWnloaded static route

GateWay of last resort is not set

D10.0.0.0/8[90/20514560] Via202.66.200.33，00：08：59，Serial0/0

C192.168.1.0/24is directly connected，FastEthernet0/0

C192.168.2.0/24is directly connected，FastEthernet0/1

202.66.200.0/24is Variably subnetted，2subnets，2masks

D202.66.200.0/24is a summary，00：09：04，Null0

C202.66.200.32/30is directly connected，Serial0/0

Router2#

Router2有4条路由，显示与设计一致，正确。

Router1#sh ip route

Codes：C-connected，S-static，I-IGRP，R-RIP，M-mobile，B-BGP

D-EIGRP，EX-EIGRP external，O-OSPF，IA-OSPF inter area

N1-OSPF NSSA external type1，N2-OSPF NSSA external type2

E1-OSPF external type1，E2-OSPF external type2，E-EGP

i-IS-IS，L1-IS-IS leVel-1，L2-IS-IS leVel-2，ia-IS-IS inter area

*-candidate default，U-per-user static route，o-ODR

P-periodic doWnloaded static route

GateWay of last resort is not set

10.0.0.0/8 is Variably subnetted，3subnets，2masks

D10.0.0.0/8 is a summary，00：15：15，Null0