6.1实训目标
能够根据实际需要配置网络标准访问控制列表。
6.2知识回顾
访问控制列表(Access Control List,ACL)既是控制网络流量的手段,也是网络安全策略的一个组成部分。ACL有两种执行方式:一种方式是接受在ACL列表指定的主机和网络的访问,其他主机和网络都被拒绝;另一种方式是拒绝在ACL列表中指定的主机和网络的访问,其他主机和网络都被允许。
ACL的工作原理是:每一个ACL列表可以由一条或若干条指令组成,对于任一个被检查的数据包,依次用每一条指令进行匹配,则后续的指令将被忽略。
路由器为不同的网络协议定义不同的ACL列表,为了标识不同的网络协议对应不同的ACL,各家网络厂商采用了数字标识的方式。在使用ACL标识时,必须为每一协议的访问控制列表分配唯一的数字值,并保证该数字值在所规定的范围内。
为了更好地描述和界定数据包过滤条件,ACL使用了通配掩码(Wildcard Mask)。通配掩码在形式上与子网掩码类似,也是由四个“八位组”组成的32位二进制数,并且也与IP地址配套使用。但是通配掩码与子网掩码的作用完全不同,在通配掩码中,二进制的“0”表示要检查IP地址中的相应比特位,并要求其与ACL中的IP地址相应位匹配;而二进制的“1”则表示不考虑IP地址中的相应比特位。
标准ACL是指基于数据包中的源IP地址进行简单的包过滤的访问控制列表,其通过检查数据包的源地址,来确定是允许还是拒绝基于网络、子网络或主机IP地址的某一协议族通过路由器的接口。
6.3实训任务
模拟跨地域企业广域网互连,根据要求完成标准访问控制列表设计与配置任务并且验证效果。
任务1:在Router1上,只允许10.1.1.0/24这个网络访问外网,其他禁止。
任务2:在Router1上,禁止10.1.1.2/24和192.168.2.2/24两台计算机访问路由器,其他许可。
任务3:在Router2上,允许网段192.168.1.0/24和计算机192.168.2.2/24访问外网,其他禁止。
6.4实训步骤
6.4.1网络拓扑
路由器采用Cisco2621。
6.4.2地址分配
6.4.3任务1分析与配置
1.分析
要求的网络10.1.1.0/24对于Router1来说,是一个内部网络,要完成的目标任务是控制内网访问外网,所以要求设计的访问控制列表应该应用于Router1的S0/0端口,方向为出。访问控制列表应该有两条,一条为许可,另一条为禁止。
2.网络连通配置
首要任务是把整个网络配置连通,路由协议拟采用EIGRP,计算机配置按照网络拓扑图中给出的地址配置,切记要正确配置网关地址。路由器的主要配置步骤如下,不作详细讲解。
对于Router1,网络连通配置如下:
Router>ena
Router#conf t
Enter configuration commands,one per line.End With CNTL/Z.
Router(config)#enable passWord cisco
Router(config)#hostname Router1
Router1(config)#int fa0/0
Router1(config-if)#ip add10.1.1.1255.255.255.0
Router1(config-if)#no sh
%LINK-5-CHANGED:Interface FastEthernet0/0,changed state to up
%LINEPROTO-5-UPDOWN:Line protocol on Interface FastEthernet0/0,changed state to up
Router1(config-if)#int fa0/1
Router1(config-if)#ip add10.2.2.1255.255.255.0
Router1(config-if)#no sh
%LINK-5-CHANGED:Interface FastEthernet0/1,changed state to up
%LINEPROTO-5-UPDOWN:Line protocol on Interface FastEthernet0/1,changed state to up
Router1(config-if)#int s0/0
Router1(config-if)#ip add202.66.200.33255.255.255.252
Router1(config-if)#clock rate ?
Speed(bits per second
1200
2400
4800
9600
19200
38400
56000
64000
72000
125000
128000
148000
250000
500000
800000
1000000
1300000
2000000
4000000
<300-4000000>Choose clockrate from list aboVe
Router1(config-if)#clock rate1000000
Router1(config-if)#no sh
%LINK-5-CHANGED:Interface Serial0/0,changed state to doWn
Router1(config-if)#exit
Router1(config)#router eigrp200
Router1(config-router)#netWork10.1.1.00.0.0.255
Router1(config-router)#netWork10.2.2.00.0.0.255
Router1(config-router)#netWork202.66.200.320.0.0.3
Router1(config-router)#^ Z
%SYS-5-CONFIG_I:Configured from console by console
Router1#copy run start
Destination filename[startup-config]?
Building configuration...
[OK]
Router1#
对于Router2,网络连通配置如下:
Router>ena
Router#conf t
Enter configuration commands,one per line.End With CNTL/Z.
Router(config)#hostname Router2
Router2(config)#ena pass cisco
Router2(config)#int fa0/0
Router2(config-if)#ip add192.168.1.1255.255.255.0
Router2(config-if)#no sh
%LINK-5-CHANGED:Interface FastEthernet0/0,changed state to up
%LINEPROTO-5-UPDOWN:Line protocol on Interface FastEthernet0/0,changed state to up
Router2(config-if)#int fa0/1
Router2(config-if)#ip add192.168.2.1255.255.255.0
Router2(config-if)#no sh
%LINK-5-CHANGED:Interface FastEthernet0/1,changed state to up
%LINEPROTO-5-UPDOWN:Line protocol on Interface FastEthernet0/1,changed state to up
Router2(config-if)#int s0/0
Router2(config-if)#ip add202.66.200.34255.255.255.252
Router2(config-if)#no sh
%LINK-5-CHANGED:Interface Serial0/0,changed state to up
Router2(config-if)#
%LINEPROTO-5-UPDOWN:Line protocol on Interface Serial0/0,changed state to up
Router2(config-if)#exit
Router2(config)#router eigrp200
Router2(config-router)#netWork192.168.1.00.0.0.255
Router2(config-router)#netWork192.168.2.00.0.0.255
Router2(config-router)#netWork202.66.200.320.0.0.3
Router2(config-router)#^ Z
%SYS-5-CONFIG_I:Configured from console by console
Router2#
%DUAL-5-NBRCHANGE:IP-EIGRP200:Neighbor202.66.200.33( Serial0/0)is up:neW adjacency
Router2#copy run start
Destination filename[startup-config]?
Building configuration...
[OK]
Router2#
3.测试
查看两个路由器的路由表,是否列出所有可路由的网络。
Router2#sh ip route
Codes:C-connected,S-static,I-IGRP,R-RIP,M-mobile,B-BGP
D-EIGRP,EX-EIGRP external,O-OSPF,IA-OSPF inter area
N1-OSPF NSSA external type1,N2-OSPF NSSA external type2
E1-OSPF external type1,E2-OSPF external type2,E-EGP
i-IS-IS,L1-IS-IS leVel-1,L2-IS-IS leVel-2,ia——IS-IS inter area
*-candidate default,U-per-user static route,o-ODR
P-periodic doWnloaded static route
GateWay of last resort is not set
D10.0.0.0/8[90/20514560] Via202.66.200.33,00:08:59,Serial0/0
C192.168.1.0/24is directly connected,FastEthernet0/0
C192.168.2.0/24is directly connected,FastEthernet0/1
202.66.200.0/24is Variably subnetted,2subnets,2masks
D202.66.200.0/24is a summary,00:09:04,Null0
C202.66.200.32/30is directly connected,Serial0/0
Router2#
Router2有4条路由,显示与设计一致,正确。
Router1#sh ip route
Codes:C-connected,S-static,I-IGRP,R-RIP,M-mobile,B-BGP
D-EIGRP,EX-EIGRP external,O-OSPF,IA-OSPF inter area
N1-OSPF NSSA external type1,N2-OSPF NSSA external type2
E1-OSPF external type1,E2-OSPF external type2,E-EGP
i-IS-IS,L1-IS-IS leVel-1,L2-IS-IS leVel-2,ia-IS-IS inter area
*-candidate default,U-per-user static route,o-ODR
P-periodic doWnloaded static route
GateWay of last resort is not set
10.0.0.0/8 is Variably subnetted,3subnets,2masks
D10.0.0.0/8 is a summary,00:15:15,Null0