实验六访问控制列表ACL配置.doc

实验六 访问控制列表ACL配置实验目的1、理解访问控制列表ACL的基本原理；2、掌握基本和高级访问控制列表的配置方法；实验要求1、掌握ACL的配置步骤，加深对访问控制列表的理解；2、掌握ACL配置后，对ACL配置进行检测的方法；实验内容1、基本ACL的配置，禁止相应IP地址的访问；2、高级ACL的配置，禁止相应协议的访问；3、观察基本ACL配置的前后变化；4、观察高级ACL配置的前后变化；实验实现一、ACL概述访问控制列表（Access Control List，ACL）是应用在路由器接口的指令列表，这些指令列表用来告诉路由器哪些数据包可以接收、哪些数据包需要拒绝至于数据包是被接收还是拒绝，可以由类似于源地址、目的地址、端口号等的特定指示条件来决定访问控制是网络安全防范和保护的主要策略，它的主要任务是保证网络资源不被非法使用和访问它是保证网络安全最重要的核心策略之一访问控制涉及的技术也比较广，包括入网访问控制、网络权限控制、目录级控制以及属性控制等多种手段访问控制列表不但可以起到控制网络流量、流向的作用，而且在很大程度上起到保护网络设备、服务器的关键作用作为外网进入企业内网的第一道关卡，路由器上的访问控制列表成为保护内网安全的有效手段。

按照访问控制列表的用途可以分为四类：Ø 基本的访问控制列表（basic acl）Ø 高级的访问控制列表（advanced acl）Ø 基于接口的访问控制列表（interface-based acl）Ø 基于MAC的访问控制列表（mac-based acl）利用数字范围标识访问控制列表的种类：列表的种类数字标识的范围基于接口的访问控制列表 1000～1999基本的访问控制列表 2000～2999高级的访问控制列表 3000～3999基于MAC地址访问控制列表 4000～4999二、基本ACL配置图6.1 基本ACL配置示意图1. 禁IP（基本ACL配置）配置：[RouterA]acl number 2100 // 创建编号为2100的IPv4基本ACL，并进入IPv4基本ACL视图[RouterA-acl-basic-2100]rule 10 permit source 202.38.1.254 0.0.0.255 // 创建规则，允许源地址为202.38.1.254/24的报文[RouterA-acl-basic-2100]rule 11 deny source 192.168.4.11 0.0.0.255 // 创建规则，拒绝源地址为192.168.4.11/24的报文[RouterA-acl-basic-2100]quit [RouterA]interface Ethernet 0/0 [RouterA-Ethernet0/0]firewall packet-filter 2100 outbound // 使用IPv4 ACL 2100对接口Ethernet0/0出方向上的报文进行过滤[RouterA-Ethernet0/0]firewall enable // 使能IPv4防火墙功能[RouterA] 注意：RouterA与RouterB之间必须有路由可达。

2. 查看禁IP（基本ACL配置）配置效果：配置前：在Pc1上运行：ping 202.38.1.254ping 192.168.4.11图6.2图6.3配置后：在Pc1上运行：ping 202.38.1.254ping 192.168.4.11图6.4图6.5三、高级ACL配置图6.6 高级ACL配置示意图1. 禁协议（高级ACL配置）配置：[RouterA]acl number 3100 // 创建编号为3100的IPv4高级ACL，并进入IPv4高级ACL视图[RouterA-acl-adv-3100]rule 10 permit icmp source any destination 192.168.4.11 0.0.0.255 // 创建规则，允许ping 192.168.4.11操作[RouterA-acl-adv-3100]rule 11 deny tcp source any destination 192.168.4.11 0.0.0.255 destination-port eq 3389 // 创建规则，拒绝telnet 192.168.4.11操作[RouterA-acl-adv-3100]quit [RouterA]interface Serial 0/0 [RouterA-Serial0/0]firewall packet-filter 3100 outbound // 使用IPv4 ACL 3100对接口Serial0/0出方向上的报文进行过滤[RouterA-Serial0/0]firewall enable // 使能IPv4防火墙功能[RouterA] 2. 查看禁协议（高级ACL配置）配置效果：配置前：在Pc1上运行：ping 192.168.4.11图6.7在Pc1上运行：telnet 192.168.4.11“开始”→“所有程序”→“附件”→“远程桌面连接”图6.8可以正确登陆到远程计算机上。

配置后：在Pc1上运行：ping 192.168.4.11图6.9在Pc1上运行：telnet 192.168.4.11“开始”→“所有程序”→“附件”→“远程桌面连接”图6.10注意： 在配置之前进行“远程桌面连接”时可能会出现“无法连接到远程计算机”的提示，这时，应进行如下设置：（1）对被连接的计算机（本例中的Pc3），更改其“用户帐号”，使得计算机按用户帐号和用户密码（密码不能为空）启动2）对被连接的计算机（本例中的Pc3），选上“允许用户远程连接到此计算机”我的电脑”→快捷菜单“属性”→“远程”图6.11进行上面两项设置后，就可以正确登陆到远程计算机上。