CCNA实验(标准教程)08_ACL.pdf

第 9 章 ACL 随着大规模开放式网络的开发，网络面临的威胁也就越来越多。网络安全问题成为网络 管理员最为头疼的问题。一方面，为了业务的发展，必须允许对网络资源的开发访问，另一 方面，又必须确保数据和资源的尽可能安全。网络安全采用的技术很多，而通过访问控制列 表（ACL）可以对数据流进行过滤，是实现基本的网络安全手段之一。本章只研究基于 IP 的 ACL。 9.1 ACL 概述 访问控制列表简称为 ACL，它使用包过滤技术，在路由器上读取第三层及第四层包头中 的信息如源地址、目的地址、源端口、目的端口等，根据预先定义好的规则对包进行过滤， 从而达到访问控制的目的。ACL 分很多种，不同场合应用不同种类的 ACL。 1. 标准 ACL 标准 ACL 最简单，是通过使用 IP 包中的源 IP 地址进行过滤，表号范围 1-99 或 1300-1999； 2. 扩展 ACL 扩展 ACL 比标准 ACL 具有更多的匹配项，功能更加强大和细化，可以针对包括协议类型、 源地址、目的地址、源端口、目的端口、TCP 连接建立等进行过滤，表号范围 100-199 或 2000-2699； 3. 命名 ACL 以列表名称代替列表编号来定义 ACL，同样包括标准和扩展两种列表。 在访问控制列表的学习中，要特别注意以下两个术语。 1. 通配符掩码：一个 32 比特位的数字字符串,它规定了当一个 IP 地址与其他的 IP 地 址进行比较时，该 IP 地址中哪些位应该被忽略。通配符掩码中的“1”表示忽略 IP 地址中 对应的位，而“0”则表示该位必须匹配。两种特殊的通配符掩码是“55”和 “”，前者等价于关键字“any”，而后者等价于关键字“host”； 2. Inbound 和 outbound：当在接口上应用访问控制列表时，用户要指明访问控制列表 是应用于流入数据还是流出数据。 总之，ACL 的应用非常广泛，它可以实现如下的功能： 1. 拒绝或允许流入（或流出）的数据流通过特定的接口； 2. 为 DDR 应用定义感兴趣的数据流； 3. 过滤路由更新的内容； 4. 控制对虚拟终端的访问； 5. 提供流量控制。 9.2 实验 1：标准 ACL 1.实验目的 通过本实验可以掌握： （1）ACL 设计原则和工作过程 （2）定义标准 ACL （3）应用 ACL （4）标准 ACL 调试 2.拓扑结构 实验拓扑如图 9-1 所示。 图 9-1 标准ACL 配置 本实验拒绝 PC2 所在网段访问路由器 R2,同时只允许主机 PC3 访问路由器 R2 的 TELNET 服务。整个网络配置 EIGRP 保证 IP 的连通性。 3.实验步骤 （1）步骤 1：配置路由器 R1 R1(config)#router eigrp 1 R1(config-router)#network 55 R1(config-router)#network 55 R1(config-router)#network R1(config-router)#no auto-summary （2）步骤 2：配置路由器 R2 R2(config)#router eigrp 1 R2(config-router)#network 55 R2(config-router)#network R2(config-router)#network R2(config-router)#no auto-summary R2(config)#access-list 1 deny 55