實驗6（ACL）訪問控制列表的配置1、實驗目的1．掌握訪問控制列表ACL的工作原理2．了解訪問控制列表的類型3．掌握在路由器上配置訪問控制列表2、實驗原理2．1概述訪問控制列表（AccessControlList）最直接的功能是包過濾。通過接入控制列表可以在路由器、三層交換機上進行網絡安全屬性配置，可以實現對進入路由器、三層交換機的輸入數據流進行過濾。2．2ACL的類型ACL的類型主要分為IP標準訪問控制列表（StandardIPACL）和IP擴展訪問控制列表（ExtendedIPACL）。（1）IP標準訪問控制列表是基于IP數據包中的IP地址進行控制。IP數據TCP/UDPIP數據TCP/UDP源地址源地址圖標準訪問控制列表命令格式：Access-listlistnumber{permit|deny}address[wildcard-mask]其中：listnumber是規則序號，標準訪問控制列表的規則序號范圍1～99。Permit和deny表示允許或者禁止滿足該規則的數據包通過：Address是源地址IP；wildcard-mask是源地址IP的通配比較位，也稱反掩碼。例如：（config）＃access-list1permit55(config）＃access-list1deny55至于反掩碼的計算，我們下面會做進一步解析。（2）IP擴展訪問控制列表（ExtendedIPACL）擴展訪問控制列表不僅可以對源IP加以控制，還可以對目的地址、協議以及端口號加以控制。源地址源地址TCP/UDPIPTCP/UDPIP端口號端口號協議協議源地址源地址目的地址目的地址擴展訪問控制列表命令格式： Access-listlistnumber{permit|deny}protocolsourcesource-wildcard-maskdestinationdestination-wild-mask[operatoroperand]其中：擴展訪問列表的規則序號listnumber范圍是100～199；protocol是指定的協議，如IP、TCP、UDP等；destination是目的地址；destination-wildcard-mask是目的地址反掩碼；operator和operand用于指定端口范圍，默認為全部端口號0～65535，只用TCP和UDP協議需要指定端口范圍。2．3ACL反掩碼的計算反掩碼等于子網掩碼中的各位取反，也就是掩碼中的0變成1，1變成0。32位的反掩碼中包含0和1。0表示檢查該位；1表示忽略該位。在大多數情況下，我們考慮的情況主要有以下四種匹配：匹配單個主機匹配整個子網匹配子網中的部分主機匹配所有的主機根據上面四種情況，方法如下：1）匹配單一主機：所有的反掩碼位數都為0例如，對于以下標準訪問控制列表：Access-list1permit！表示只允許IP地址為主機數據包通過對于擴展的訪問控制列表Access-list101permitipany！只允許IP地址為的主機的數據包通過2）匹配一個完全子網Wildcardmask=55–subnetmask也就是反掩碼＝55–子網掩碼例1：子網網絡號為，掩碼為,那么反掩碼為55Access-list1permit55例2：子網網絡號為12，掩碼為24,那么反掩碼為1，Access-list1permit1213）匹配子網某一個范圍的主機匹配的范圍–55反掩碼＝大IP－小IP例如：55-反掩碼0.0.15.access-list1permit554）匹配所有主機匹配所有主機，使用下面的ACL命令Access-list1permitany或者Access-list1permit553、實驗環境設備：R2624或cisco路由器1臺4、實驗內容要求，在路由器上配置ACL訪問控制列表，使得PC1可以訪問Server0，PC0不能訪問Server0。一、基本訪問控制列表配置步驟1：基本配置Router>Router>enableRouter#configureterminalRouter(config)#hostnameR1R1(config)#interfacefastEthernet0/0//進入Fa0接口R1(config-if)#ipadd54，//配置Fa0的IP地址R1(config-if)#noshutdownR1(config-if)#interfacefastEthernet0/1//進入Fa1接口R1(config-if)#ipadd54//配置Fa1的IP地址R1(config-if)#noshutdownR1(config-if)#end測試命令：#showipinterfacebrief//觀察接口狀態R1#showipinterbrief步驟2：配置標準的IP訪問控制列表R1(config)#access-list1deny//拒絕來自的流量通過R1(config)#access-list1permitany//允許其他流量通過測試驗證Showaccess-lists1R1#shaccess-lists1步驟3：把訪問控制列表在接口下應用R1（config）#interfacefastEthernet0/1R1(config-if)#ipaccess-group1out//在接口下訪問控制列表出棧流量調用測試驗證：Showipaccess-lists1Ping(的主機不能ping通網段的主機；網段的主機能ping通網段的主機)【注意事項】注意在訪問控制列表的網絡掩碼是反掩碼標準控制列表要應用在盡量靠近目的地址的接口注意標準訪問控制列表的編號是從1～99二、擴展訪問控制列表配置步驟1：配置iis服務器參見“iis配置.ppt”文檔測試驗證：pc0是否可以訪問Server0的web及ftp服務。步驟2：配置擴展的IP訪問控制列表R1(config)#access-list101denytcphosthosteqwwwR1(config)#access-list101permitipany