访问控制列表
访问控制列表的概念:IP访问控制列表(ACL)用于对经过路由器或者交换机的数据包根据一定的规则进行过滤,从而提高网络可管理性和安全性。主要分为标准IP访问控制列表,扩展访问控制列表和命名访问控制列表。
标准访问控制列表
实验目标:
熟悉什么是访问控制列表;
掌握访问控制列表的配置方法和技巧;
实验背景:假设某学校有三个校区,东校区,西校区,南校区,由于南校区近几年招生不太理想,因此需要把南校区并到东校区下面,由东校区直接管理,那么西校区就不能和南校区进行通信,通过设置访问控制列表的配置来实现。
实验器材:2台路由器(使用时首先要关掉电源,添加模块,再启动),3台PC机。
实验思路:
- 给各个主机配置IP地址以及网关。
- 给路由器的各个接口配置IP地址
- 在路由器出口配置访问控制列表信息
实验拓扑图:
通过静态路由的方式先实现各个校区之间的通信,然后再在南校区的出口路由器中配置访问控制列表的信息:
命令解释:
Access-list:是指创建一个访问控制列表的意思,后面的"1"表示编号的意思
access -list 1 out:
对于一个路由器来说有两个方向:
入:已经到达路由器接口的数据包,但是还没有被路由器处理。
出:已经经过路由器的处理,正要离开路由器接口的数据包
标准访问控制列表:一般应用在out出战接口,建议配置在离目标端最近的路由器上,编号一般在1-99
扩展访问控制列表:配置在离源端最近的路由器上,一般应用在入站in方向100-199
命名访问控制列表:允许在标准和扩展访问列表中使用名称代替表号
扩展访问控制列表
任务描述:让东校区只能访问web服务器,不能访问ftp服务器。
实验思路:
- 给各个主机配置IP地址以及网关
- 给路由器的各个接口配置IP地址
- 在路由器入口配置访问控制列表信息
实验拓扑图:
命名访问控制列表
IP access-list extended 名称