课程：网络互联技术,授课人：罗文剑 授课班级：09网络2班,第十一章：路由器的ACL实验配置,ACL (Access Control Lists)访问控制列表 是网络设备（包括交换机和路由器）上实现的一种数据包过滤机制，通过允许或拒绝特定的数据包进出网络，实现对网络访问进行控制，有效保证网络的安全运行。 ACL的两种动作：允许通过permit或拒绝通过deny。 ACL的两种方向：指定端口的入口（inside）或出口方向(ouside)ACL主要分为标准访问控制列表和扩展访问控制列表。标准 ACL 只能限制源 IP 地址，而扩展 ACL 的限制权限就很广泛，包括源 IP、目的 IP、服务类型等。 掌握标准ACL配置方法。 掌握扩展ACL配置方法。 配置NAT地址转换。,项目一：标准访问控制列表配置,创建标准ACL有两种方法，一种为数字编号，一种为字符命名。 数字编号法：ip access-list standard 举例：ip access-list standard 1 / 字符命名法：ip access-list standard 举例：ip access-list standard pc1-server两种方法各有好处，使用数字定义方便，容易使用，但如果定义的ACL有多条时，为了分清楚哪个ACL对应哪个应用，那么采用WORD字段是一个不错的选择。,第十一章：路由器的ACL实验配置,项目一：标准访问控制列表配置,配置ACL主要只有 permit和deny 两种规则，具体的语法如下：Permit/Deny 源地址 反掩码举例：deny 192.168.10.0 0.0.0.255ACL最终要应用到相应的端口上，由于标准ACL是基于源地址进行定义的，因此通常把标准ACL应用在靠近目的网络最近的接口上，而应用的方向有IN和OUT两种方向，所以在添加前应好好分析数据包的走向。具体的语法如下：ip access-group / IN / OUT 举例： ip access-group 1 out ip access-group pc1-server in,第十一章：路由器的ACL实验配置,一、 实验要求及准备,添加三台计算机分别命名为PC1、PC2、PC3，添加一台服务器命名为Server，添加两台路由器2621XM，分别更改标签名为RA、RB； 为RA、RB两台路由器添加W1C-1T模块，添加在S0/0口位置； 在两个路由器之间设置RA为DCE端，采用V35串口线进行广域网PPP封装，使得两台路由器能正常通信； 在两台路由器上添加RIP动态路由实现全网互通； 在RB上添加标准ACL，实现PC1所在的网络不能访问Server所在的网络。,第十一章：路由器的ACL实验配置,二、 实验步骤,为所有计算机配置相应的IP参数 RA的基本配置 RA(config)#interface fastEthernet 0/0 RA(config-if)#ip address 192.168.10.1 255.255.255.0 RA(config-if)#no shutdown RA(config-if)#exit RA(config)#interface fastEthernet 0/1 RA(config-if)#ip address 192.168.20.1 255.255.255.0 RA(config-if)#no shutdown RA(config-if)#exit RA(config)#interface serial 0/0 RA(config-if)#ip address 10.1.1.1 255.255.255.0 RA(config-if)#encapsulation ppp RA(config-if)#clock rate 250000 RA(config-if)#no shutdown,第十一章：路由器的ACL实验配置,二、 实验步骤,3. RB的基本配置 RB(config)#interface fastEthernet 0/0 RB(config-if)#ip address 192.168.30.1 255.255.255.0 RB(config-if)#no shutdown RB(config-if)#exit RB(config)#interface fastEthernet 0/1 RB(config-if)#ip address 192.168.40.1 255.255.255.0 RB(config-if)#no shutdown RB(config-if)#exit RB(config)#interface serial 0/0 RB(config-if)#ip address 10.1.1.2 255.255.255.0 RB(config-if)#encapsulation ppp RB(config-if)#no shutdown RB(config-if)#,第十一章：路由器的ACL实验配置,二、 实验步骤,3. RB的基本配置 RB(config)#interface fastEthernet 0/0 RB(config-if)#ip address 192.168.30.1 255.255.255.0 RB(config-if)#no shutdown RB(config-if)#exit RB(config)#interface fastEthernet 0/1 RB(config-if)#ip address 192.168.40.1 255.255.255.0 RB(config-if)#no shutdown RB(config-if)#exit RB(config)#interface serial 0/0 RB(config-if)#ip address 10.1.1.2 255.255.255.0 RB(config-if)#encapsulation ppp RB(config-if)#no shutdown,当完成以上步骤时，我们可以发现，所有的链路的绿灯都已经亮了。但这时还没有实现全网互通，还要添加下面的路由协议。,第十一章：路由器的ACL实验配置,二、 实验步骤,4. 添加RIP动态路由实现全网互通 RA上的路由配置 RA(config)#router rip RA(config-router)#version 2 RA(config-router)#network 192.168.10.0 RA(config-router)#network 192.168.20.0 RA(config-router)#network 10.1.1.0 RB上的路由配置 RB(config)#router rip RB(config-router)#version 2 RB(config-router)#network 192.168.30.0 RB(config-router)#network 192.168.40.0 RB(config-router)#network 10.1.1.0,这时我们使用Show ip route 命令查看一下，看路由器是否学到了对方的网络信息。,第十一章：路由器的ACL实验配置,二、 实验步骤,在RB上添加标准ACL实现PC1不能访问ServerRB(config)#ip access-list standard 1 ！创建编号为1的标准ACL RB(config-std-nacl)#deny 192.168.10.0 0.0.0.255！定义要禁止访问的源地址网络，掩码采用反掩码方式 RB(config-std-nacl)#permit any ！允许其他的网络通过 RB(config-std-nacl)#exit RB(config)#interface fastEthernet 0/1 ！进入要绑定的端口 RB(config-if)#ip access-group 1 out ！设置数据包发送的OUT的方向 RB(config-if)#exit,如果在两个路由器上均可以看到有R开头的路由信息，可以说明此时网络是全网互通的，包括PC1与Server之间，这时我们也可以通过PC1使用PING命令去测试Server的连通性。,第十一章：路由器的ACL实验配置,三、 验证实验,分几步去验证这个实验：1、PC1 ping Server是否通？2、Server ping PC1 是否通？3、PC1 ping PC2和PC3是否通？4、PC2、PC3 ping Server是否通？,第十一章：路由器的ACL实验配置,四、思考,1、 能否应用到RB其他的端口上？ 2、 能否改变数据包发送为in的方向？ 3、 能否在RA上做ACL实现相同效果？,第十一章：路由器的ACL实验配置,项目二：扩展访问控制列表配置,创建扩展ACL有两种方法，一种为数字编号，一种为字符命名。 数字编号法：ip access-list extended 举例：ip access-list extended 101 字符命名法：ip access-list extended 举例：ip access-list extended pc1-server两种方法各有好处，使用数字定义方便，容易使用，但如果定义的ACL有多条时，为了分清楚哪个ACL对应哪个应用，那么采用WORD字段是一个不错的选择。,第十一章：路由器的ACL实验配置,项目二： 扩展访问控制列表配置,配置扩展ACL主要只有 permit和deny 两种规则，具体的语法如下： Permit/Deny IP源地址 反掩码 目的地址 反掩码 Permit/Deny TCP 源地址 反掩码 目的地址 反掩码 大于/小于/等于 某服务端口举例：deny IP 192.168.10.0 0.0.0.255 192.168.40.0 0.0.0.255 deny tcp 192.168.10.0 0.0.0.255 192.168.40.2 0.0.0.255 eq wwwpermit ip any any ACL最终要应用到相应的端口上，而应用的方向有IN和OUT两种方向，所以在添加前应好好分析数据包的走向。具体的语法如下： ip access-group / IN / OUT 举例： ip access-group 101 out ip access-group pc1-server in,第十一章：路由器的ACL实验配置,一、 实验要求及准备,添加三台计算机分别命名为PC1、PC2、PC3，添加一台服务器命名为Server，添加两台路由器2621XM，分别更改标签名为RA、RB； 为RA、RB两台路由器添加W1C-1T模块，添加在S0/0口位置； 在两个路由器之间设置RA为DCE端，采用V35串口线进行广域网PPP封装， 在两台路由器上添加OSPF动态路由实现全网互通； 在RB上添加扩展ACL，实现PC1所在的网络不能访问Server上的网页，但能PING通Server的IP。,第十一章：路由器的ACL实验配置,二、实验步骤,1、 为所有计算机配置相应的IP参数 （本过程略） 2、为路由配置相应的IP参数及广域网PPP的封装（配置方法请查看本章项目一）RA的基本配置RB的基本配置 3、 添加OSPF路由实现全网互通RA上的路由配置 RA(config)#router ospf 1 RA(config-router)#network 192.168.10.0 255.255.255.0 area 0 RA(config-router)#network 192.168.20.0 255.255.255.0 area 0 RA(config-router)#network 10.1.1.0 255.255.255.0 area 0RB上的路由配置(略),