IP访问控制列表

作者: 　 ( ) 砖 ( ) 好评论 ( ) 条　进入论坛

更新时间：2006-02-27 12:08
关键词：控制列表
阅读提示：本实验对IP访问控制列表进行配置和监测，包括标准、扩展和命名的IP访问控制列表。

本实验对IP访问控制列表进行配置和监测，包括标准、扩展和命名的IP访问控制列表。
1.实验目的
通过本实验，读者可以掌握以下技能:
●配置标准IP访问控制列表;
●配置扩展IP访问控制列表;
●配置命名的标准IP访问控制列表;
●配置命名的扩展IP访问控制列表;
●在网络接口上引用IP访问控制列表;
●在VTY上引用IP访问控制列表;
●查看和监测IP访问控制列表。
2.设备需求
本实验需要以下设备:
●Cisco路由器3台，分别命名为R1、R2和R3。要求R1具有1个以太网接口，R2具有1个以太网接口和1个串行接口，R3具有1个串行接口;
●1条交叉线序的双绞线，或2条正常线序双绞线和1个Hub;
●1条DCE电缆和1条DTE电缆，或1条DCE转DTE电缆;
●1台终端服务器，如Cisco 2509路由器，及用于反问Telnet的相应电缆;
●1台带有超级终端程序的PC机，以及Console电缆及转接器。
3.拓扑结构及配置说明
本实验拓扑结构如图10-1所示，R1的E0接口与R2的E0接口通过以太网连接起来，R2的S0接口与R3的S0接口通过串行电缆连接起来。
各路由器相关接口的IP地址分配如图10-1中的标注。

4.实验配置及监测结果
首先配置各路由器，并且通过路由选择协议的配置实现了整个拓扑的IP连通性，在此基础上进行IP访问控制列表的配置和监测。
在R1上设置enable口令为cisco，VTY口令为ciscol，用于Telnet测试。
以上配置在以前章节中已进行过实验，在本实验中不再给出配置清单。
我们主要在R2路由器上配置访问控制列表，R1和R3用于测试目的。
第1部分:配置和引用标准IP访问控制列表
配置清单10-1列出了在R2路由器上配置和引用标准IP访问控制列表的操作。
配置清单10-1 配置和引用标准IP访问控制列表

    R2#conf t
Enter configuration commands, one per line. End with CNTL/Z.
R2(config)#access-list 1 deny 30.1.1.0 0.0.0.255
R2(config)#access-Ust 1 permit any
R2(config)#int s0
R2(config-if)#ip access-group 1 in
R2(config-if)#^Z
R2#sh
14:34:20: %SYS-5-CONFIG_1: Configured from console by console
R2#sh ip access-list 1
Standard IP access list 1
　deny 30.1.1.0,wukdcard buts 0.0.0.255 check=2
　permit any(2 matches)
R2#sh ip int s0
Serial0 is up, line protocol is up
　Internet address is 20.1.1.2/24
　Broadcast address is 255.255.255.255
　Address determined by setup command
　MTU is 1500 bytes
　Helper address is not set
　Directed broadcast forwarding is disabled
　Multicast reserved groups joined: 224.0.0.9
　Outgoing access list is not set
　Inbound access list is 1
　Proxy ARP is enabled
　Security level is default
　... (输出省略)
R2#clear access-list counters
R2#sh ip access-1 1
Standard IP access list 1
　deny30.1 .IA wildcard bits 0.0.0.255
　permit any
R2#
Term_Server#3
[Resuming connection 3 to R3 ... ]
R3#ping 10.1.1.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echosto 10.1.1.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5). round-tri/min/avg/max=:32/37/48 ms
R3#ping
Protocol [ip]:
Target IP address: 10.1.1.1
Repeat count [5]:
Datagram size [100]:
Timeout in seconds [2]:
Extended commands [n]: y
Source address or interface: 30.1.1.3
Type of service [0]:
Set DF bit in IP header? [no]:
Validate reply data? [no]:
Data pattern [0xABCD]:
Loose, Strict, Record, Timestamp, Verbose[none]:
Sweep range of sizes [n]:
Type escape sequence to abort.
Sending 5,100-byte ICMP Echos to 10.1.1.1,timeout is 2 seconds:
U.U.U
Success rate is 0 percent (0/5)
R3#^Z
Term_Server#2
[Resuming connection 3 to R2 ... ]
R2#sh ip access-1 1
Standard IP access list 1
　deny 30.1.1.0, wildcard bits 0.0.0.255 (5 matches) checks 15
　permit any (5 matches)

(1)在定义访问控制列表时，要特别注意语句输入的先后顺序，因为路由器在执行该列表时的顺序是自上而下的。
另一个应注意的问题是路由器不对由自身产生的IP进行过滤，在实验时应由其他的设备发包进行测试。
(2)配置标准IP访问控制列表1时，定义了除30.1.1.0/24网段外的所有网段都被接受。
(3)在R2路由器S0接口的进入方向引用了访问控制列表1,目的是过滤来自30.1.1.0/24网段的数据包，允许其他所有网段的数据包通过。
在接口上引用访问控制列表时，使用in或out子命令。这里的in和out是指以路由器本身为参考点，数据包是进入 (in)还是离开(out)路由器。
(4)show ip access-list命令列出了所定义的访问控制列表的情况，可以看到"permit any"一行有2个匹配包的报告，表示已经有2个匹配此行条件的数据包被S0接口接收。
(5)show ip int sO命令列出的信息中加阴影的2行是关于访问控制列表引用情况的信息，表明在进入路由器的方向(而)引用了访问控制列表1。
(6)接下来用clear access-list counters指令清空了访问控制列表的计数器。以便观察实验结果。所谓清空计数器，就是把访问控制列表各行的匹配数清空。
再次使用show ip access-list命令查看显示了我们想得到的结果。
(7)使用ping和扩展的ping命令测试访问控制列表1的定义和引用情况，结果为:
从20.1.1.3发往10.1.1.1的IP包被R2接收和路由;
从30.1.1.3发往10.1.1.1的IP包被R2过滤掉。
测试结果符合访问控制列表的设置。
(8)再次查看访问控制列表的匹配情况，可以看到，在访问控制列表1中，2条语句各有5个相匹配的包，即5个ICMP Echo包。

第2部分:配置和引用扩展IP访问控制列表

接下来是有关扩展IP访问控制列表的实验。
配置清单10-2列出了在R2路由器上配置和引用扩展IP访问控制列表的操作。

配置清单10-2配置和引用扩展IP访问控制列表

    R2#conft
Enter configuration commands, one per line. End with CNTL/Z.
R2(config)#access-list 101 deny 
icmp 20.1.1.0 0.0.0.255 10.1.1.0 0.0.0.255 echo
R2(config)#access-list 101 permit ip any any
R2(config)#int e0
R2(config-if)#ip access-g 101 out
R2(config-if)#int s0
R2(config-if)#no ipaccess-g 1 in
R2(config-if)#^Z
R2#
R2#sh ip access-list
Standard IP access list 1
　deny 30.1.1.0, wildcard bits 0.0.0.255 (8 matches) check=20
　permit any (20 matches)
　permit ip any any 
R2#
Term_Server#3
[Resuming connection 3 to R3 ...]
R3#ping 10.1.1.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.1.1.1, timeout is 2 seconds:
U.U.U
Success rate is 0 percent(0/5)
R3#telnet 10.1.1.1
Trying 10.1.1.1... Open
User Access Verification
Password:(键入 cisco1 )
R1>en
Password:(键入 cisco )
R1#
R1#exit
[Connection to 10.1.1.1 closed by foreign host]
R3#
Term_Server#2
[Resuming connection 2 to R2 ... ]
R2#sh ip access-list 101
Extended IP access list 101
　deny icmp 20.1.1.0 0.0.0.255 10.1.1.0.0.0.0.255 echo(8 matches)
　permit ip any any (40 matches)
R2#

(1)首先定义了一个扩展的IP访问控制列表101。
列表的第1句拒绝从20.1.1.0/24网段发往10.1.1.0/24网段的ICMP Echo包，即希望从20.1.1.0/24网段到10.1.1.0/24网段的ping失败。
列表的第2句允许所有的。(责任编辑：liucl)

滚动新闻　术语词典　问题悬赏

发表

共条查看

评价

叫个好

拍一砖

相关

博客

帖子

·访问控制列表
·华为3COM标准访问控制列表初识(图)
·quidway secpath下的访问控制列表（ACL）
·Cisco自反控制列表的应用
·内部服务器NAT和访问控制列表

·访问控制列表
·基于时间的访问控制列表
·华为的访问控制列表(ACL)中文视频教程
·CISCO防火墙的时间访问控制列表
·访问控制列表ACL

我也说两句

中国领先的 IT 技术网站 ·
技术成就梦想

·NGN:下一代网络
·网络访问中断大排查

· 博科重组与思科的虚拟..
· 确保网络安全网络攻击..
· 移动WiMax将成为WiMax ..
· Catalyst 6000/6500 系..
· Practice Lab 3:多路由..
· Route-map policy

· 思科与海尔成合作伙伴 ..
· 信产部：3G仍是产业主..
· 部分省市夜间P2P占90%..
· 访问控制列表
· 基于时间的访问控制列表
· 华为的访问控制列表(AC..

排行榜

·路由器设置与口令恢复 (查看59936次)
·常用交换机典型配置 (查看36045次)
·网络管理员考试全真模拟试题(八.. (查看32718次)
·三层交换技术专题 (查看28417次)
·子网掩码教程 (查看25599次)

·2006无线校园建设与应用大会将召开 (1028个砖)
·51CTO专访：造中国特色VPN产品 (446个砖)
·子网掩码教程 (321个砖)
·三层交换技术专题 (258个砖)
·专访锐捷：校园网现状是少规划性价比差 (168个砖)

·51CTO专访：造中国特色VPN产品 (533个好)
·子网掩码教程 (440个好)
·三层交换技术专题 (256个好)
·无线网状网（MESH） (225个好)
·专访锐捷：校园网现状是少规划性价比差 (181个好)

·超级网管员系列大型视频专题 (09月)
·NGN:下一代网络 (08月)
·网络访问中断大排查 (08月)
·FTTx光纤接入 (08月)
·华为一员工因工作压力太大自缢身亡 (07月)

·网络应用趣味技术自测：从DNS到Mai..
·一台电脑上安装145个操作系统

· 网络应用趣味技术自测..
· 一根网线串扰导致全网..
· 操作系统发展史1969-19..
· Visual Studio 2008加..
· 数据中心节省IT能源消..
· AMD另辟蹊径推三核处理..
· 资料必备：常见病毒手..
· 常用Linux网络安全工具..

· 小身形大智慧六款1U机..
· Sun首推英特尔四核服务..
· OpenOffice曝严重漏洞 ..
· 中国将向国际电联提交..
· 微软统一沟通解决方案..
· Oracle发布新版免费开..
· 1500元起英特尔拟在中..
· 联想PC将预装微软Office

订阅技术快讯

电子杂志下载

名称：网络安全精品应用黄皮书
简介：《2007精品网络安全黄皮书》包括了9个大类24个小类， 800余篇文章，内容包含了熊猫烧香病毒、DDOS攻击、ARP病等热点问题的介绍及解决方案。从病毒查杀、防范、系统、数据等各方面的安全设置到黑客技术的了解、防范，涉及到了安全应用的全部领域, 由浅至深内容全面。

名称：Vista精品应用黄皮书
简介：《Vista精品应用黄皮书》囊括了Vista的各方面内容。此次的精简版，是将里面的内容做了提取，便于用户下载和使用。内容包含了各种Vista的安装与实施、技巧与解析以及各种Vista相关学习文档和相关软件的安全下载。该电子书是了解和应用Vista人员必备的工具手册，并且也是第一本

名称：2006中国IT论坛精品集合
简介：本书由“51CTO论坛推广联盟”制作完成。书中所有内容均来自各联盟成员的论坛（网站）。制作本书的目的是为了集中大家的优势资源，将更多更精彩的内容带给广大技术爱好者。本书是联盟成立以来制作的第一本书。

专题

最多好

最多砖

DB2 9技术资源中.. 推荐阅读
·DB2 Viper快速入门 ·DB2 9数据库的镜像分割与..	·将XML应用程序从DB2 8.x.. ·DB2 9中的pureXML：如何..
51CTO.com编辑部.. 推荐阅读
·服务器中的“傻瓜机”在.. ·盖茨也喜欢登录Youtube看..	· ·

黄琨的博客
·网名接龙--之大话黄琨 ^o^ ·ARP欺骗引发的“冤案”—..	·ARP欺骗的原理、步骤和危.. ·利用负载均衡技术针对Web..
王春海的博客
·VMware Workstation 6.01.. ·Windows Server 2008 RC0..	·ISA Server 2006的全自动.. ·ISA Server、虚拟机、托..

组网建网	安全频道
· NGN:下一代网络 · 网络访问中断大排查 · FTTx光纤接入	· IT基础教程 · 平凡黑客讲述精彩人生（.. · 平凡黑客讲述精彩人生（..
编程频道	前沿技术
· C++是垃圾语言？！ · 2007年IT界七大抄袭事件 · Java实用开发全集	· 解析Ajax开发框架走进A.. · 基于Google Maps与Ajax.. · 基于Google Maps与Ajax..
操作系统	服务器
· 热门 IT 培训认证官方资.. · Ubuntu 中文开源频道 · Solaris基础知识入门	· AMD三核心处理器解析痛.. · 服务器基础知识入门 · Rambus第二？看全缓冲内..
数据库	存储频道
· 甲骨文Oracle 11g正式发.. · Oracle数据库开发之PL/S.. · Oracle数据库开发基础教..	· 存储2006，一个并购的大.. · IDC宣布浪潮蝉联存储市.. · 双机热备技术