配置访问控制列表详解.doc

配置访问控制列表 访问控制列表是CCNA考试所重点考察的对象之一，同时也是在实际的网络环境中经常要用到的安全控制技术。 本章从实验角度老研究访问控制列表，主要包括标准IP访问控制列表、扩展IP访问控制列表、命名的IP访问控制列表、标准IPX访问控制列表和扩展IPX访问控制列表。 访问控制列表概述 访问控制列表从概念上来讲并不复杂，负责的是对它的配置和使用，许多初学者往往在使用访问控制列表时出现错误。 标准IP访问控制列表 一个标准IP访问控制列表匹配IP包中的源地址或源地址中的一部分，可对匹配的包采取拒绝或允许两个操作。编号范围是从1到99的访问控制列表是标准IP访问控制列表。 扩展IP访问控制列表 扩展IP访问控制列表比标准IP访问控制列表具有更多的匹配项，包括协议类型、源地址、目的地址、源端口、目的端口、建立连接的和IP优先级等。编号范围是从100到199的访问控制列表是扩展IP访问控制列表。 命名的IP访问控制列表 所谓命名的IP访问控制列表是以列表名代替列表编号来定义IP访问控制列表，同样包括标准和扩展两种列表，定义过滤的语句与编号方式中相似。 标准IPX访问控制列表 标准IPX访问控制列表的编号范围撒 800～899，它检查IPX源网络号和目的网络号，同样可以检查源地址和目的地址的 节点号部分。 扩展IPX访问控制列表 扩展IPX访问控制列表在标准IPX访问控制列表的基础上，增加了对IPX报头中以下几噶字段对价差，它们是协议类型、源Socket、目标Socket。扩展IPX访问控制列表的编号范围900～999。 命名的IPX访问控制列表 与命名的IP访问控制列表一样，命名的IPX访问控制列表是使用列表名取代列表编号，从而方便定义和引用列表，同样有标准和扩展之分。 实验1：IP访问控制列表 本实验对IP访问控制列表进行配置和监测，包括标准、扩展和命名的IP访问控制列表。 实验目的 通过本实验，读者可以掌握以下技能： 配置标准IP访问控制列表； 配置扩展IP访问控制列表； 配置命名的标准IP访问控制列表； 配置命名的扩展IP访问控制列表； 在网络接口上引用IP访问控制列表； 在VTY上引用IP访问控制列表； 查看和监测IP访问控制列表。 设备需求 本实验需要以下设备： Cisco路由器3台，分别命名为R1、R2和R3.要求具有1个以太网接口，R2具有1个以太网接口和1个串行接口，R3具有1个串行接口； 1条交叉线序的双绞线，或2条正常线序双绞线和1个Hub； 1条DCE电缆和1条DTE电缆，或1条DCE转DTE电缆； 1台终端服务器，如Cisco2509路由器，及用于反向Telnet的相应电缆； 1台带有超级终端程序的PC机，以及Console电缆及转接器。 拓扑结构及配置说明 本实验拓扑结构如图10-1所示，R1的E0接口与R2的E0接口通过以太网连接起来，R2的S0接口与R3的S0接口通过串行电缆连接起来。 各路由器相关接口的IP地址分配如图10-1中的标注。 图10-1 实验1网络拓扑结构 实验配置及监测结果 首先配置各路由器，并且通过路由选择协议的配置实现了整个拓扑的IP连通性，在此基础上进行IP访问控制列表的配置和监测。 在R1上设置enable口令为cisco, VTY 口令为cisco1,用于Telnet测试。 以上配置在以前章节中已进行过 实验，在本实验中不再给出配置清单。 我们主要在R2路由器上配置访问控制列表，R1和R3用于测试目的。 第1部分：配置和引用标准IP访问控制列表 配置清单10-1列出了在R2路由器上配置和引用标准IP访问控制列表的操作。 配置清单10-1 配置和引用标准IP访问控制列表 R2#conf t Enter configuration commands, one per line. End with CNTL/Z. R2(config)#access-list 1 deny 30.1.1.0 0.0.0.255 R2(config)#access-list 1 permit any R2(config)#int s1/0 R2(config-if)#ip access-group 1 in R2(config-if)#^Z R2# 00:08:35: %SYS-5-CONFIG_I: Configured from console by console R2#sh ip access-list 1 Standard IP access list 1 deny 30.1.1.0, wildcard bits 0.0.0.255 check=2 permit any (2 matche