实验十一 ACL访问控制列表的配置与应用

实验十一 ACL访问控制列表的配置与应用

一、实验目的：了解ACL作用并熟练配置ACL

二、准备知识：

ACL是路由器和交换机接口的指令列表，用来控制端口进出的数据包并且可以保护网络，ACL适用于所有的被路由协议，如IP、IPX、AppleTalk等。ACL种类:标准ACL、扩展ACL、命名式ACL、基于时间ACL、自反ACL、动态ACL。

标准的ACL使用 1 ~ 99 以及1300~1999之间的数字作为表号，扩展的ACL使用 100 ~ 199以及2000~2699之间的数字作为表号。 标准ACL可以阻止来自某一网络的所有通信流量，或者允许来自某一特定网络的所有通信流量，或者拒绝某一协议簇（比如IP）的所有通信流量。 扩展ACL比标准ACL提供了更广泛的控制范围可以在路由器端口处决定哪种类型的通信流量被转发或被阻塞。

命名式ACL可以用来删除某一条特定的控制条目，这样可以让我们在使用过程中方便地进行修改。 在使用命名访问控制列表时，要求路由器的iOS在11.2以上的版本，并且不能以同一名字命名多个ACL，不同类型的ACL也不能使用相同的名字。

基于时间ACL就是在原来的标准访问列表和扩展访问列表中加入有效的时间范围来更合理有效地控制网络。首先定义一个时间

范围，然后在原来的各种访问列表的基础上应用它。基于时间的ACL最多应用在定时断网，例如学校。

动态ACL 是Cisco IOS 的一种安全特性，它使用户能在防火墙中临时打开一个缺口，而不会破坏其它已配置了的安全限制。是能够自动创建动态访问表项的访问列表，动态访问表项是传统访问表项的一部分。它可以根据用户认证过程来创建特定的、临时的访问表项，一旦某个表项超时，就会自动从路由器中删除。在用户被认证之后，路由器会自动关闭telnet会话，并将一个动态访问表项置于某个访问表中，以允许源地址为认证用户工作站地址的报文通过。

自反ACL 允许从内部网络发起的会话的 IP 流量，同时拒绝外部网络发起的 IP 流量. 路由器检查出站流量，当发现新的连接时，便会在临时 ACL 中添加条目以允许应答流量进入。自反ACL永远是 permit 的；自反 ACL允许高层 Session 信息的IP 包过滤利用自反 ACL 可以只允许出去的流量，但是阻止从外部网络产生的向内部网络的流量，从而可以更好地保护内部网络；自反 ACL 是在有流量产生时（如出方向的流量）临时自动产生的，并且当 Session结束条目就删除；自反 ACL不是直接被应用到某个接口下的， 而是嵌套在一个扩展命名访问列表下的。

ACL原则：

（1） ACL的列表号指出了是那种协议的ACL。

（2） 一个ACL的配置是每协议、每接口、每方向的。 （3） ACL的语句顺序决定了对数据包的控制顺序。 （4） 最有限制性的语句应该放在ACL语句的首行。

（5） 新的表项只能被添加到ACL的末尾，这意味着不可能改变已有访问控制列表的功能。如果 必须改变，只有先删除已存在的ACL，然后创建一个新ACL。

（6）ACL语句不能被逐条的删除，只能一次性删除整个ACL （7） 标准的ACL应放在接近目标的位置，扩展的ACL应放在靠近源的位置。

（8）应用在进方向的ACL：先处理再路由。应用在出方向的ACL先路由再处理.

（9）注意通配符掩码的使用。

三、实验内容

实验1、标准ACL与扩展ACL的应用：

配置R1：

Router>en Router#conf t

Router(config)#host R1 R1(config)#int fa0/1

R1(config-if)#ip add 192.168.1.254 255.255.255.0 R1(config-if)#no sh R1(config-if)#exit R1(config)#int fa0/0

R1(config-if)#ip add 192.168.0.254 255.255.255.0 R1(config-if)#no sh R1(config-if)#exit R1(config)#int e1/0

R1(config-if)#ip add 192.168.3.254 255.255.255.0 R1(config-if)#no sh R1(config-if)#exit

R1(config)#access-list 1 deny 192.168.0.0 0.0.0.255 //配置一条标准的ACL 1拒绝网络 192.168.0.0上的所有主机

R1(config)#access-list 1 permit any //配置标准ACL 1除拒绝的网段外其他都允许

R1(config)#access-list 2 permit host 192.168.0.1 //配置标准ACL 2只允许主机192.168.0.1

R1(config)#access-list 100 permit tcp 192.168.1.0 0.0.0.255 host 192.168.3.80 eq www //配置扩展的ACL 100 只允许192.168.1.0网络的TCP WEB服务流量通往192.168.3.80主机

R1(config)#int e1/0 //进入e1/0接口

R1(config-if)#ip access-group 1 out //把标准ACL 1应用在e1/0的出方向