一、理论
1.简述ACL的作用。
ACL可以提供网络访问的基本手段。可用于Qos,控制数据流量。控制通信量。
2.简述标准ACL和扩展ACL的不同点。
标准ACL是检查源地址,而扩展ACL不仅仅检查源地址,还检查目的地址。
标准ACL允许或拒绝整个协议簇,而扩展ACL允许或拒绝特定协议或应用程序。扩展ACL比标准ACL更精细一些。
标准ACL的编号为1-99,而扩展ACL的编号是100-199。
将ACL置于网络中时,标准ACL过于靠近被过滤源的接口上应用ACL,以尽早阻止不必要的流量进入网络,应在不影响其他合法访问的前提下,尽可能使ACL靠近被过滤的源; 【图片以华三为例,基本ACL相当于思科Cisco的标准ACL,高级ACL相当于思科Cisco的扩展ACL】
扩展ACL应该靠近被过滤源的接口上应用ACL,以尽早阻止不必要的流量进入网络。
3. ACL访问控制列表入与出匹配顺序。
ACL访问控制列表在入接口时,先检查策略,后检查路由表。在出接口时,先检查路由表后检查策略。
数据到达入接口时,先检查接口是否引入acl,若引入,则先进行acl逐条匹配,有acl匹配成功后检查动作是允许还是拒绝,acl允许后再与路由表中路由条目进行匹配,存在目标网段时,路由器则进行转发,反之丢弃!
数据到达出接口时,现在路由表中找到想对应的路由条目,存在目的网段时,与acl逐条匹配,匹配成功后检查动作,允许后路由器进行转发,反之丢弃!
4. 为什么会出现NAT?
因为合法的IP地址日益短缺,一个局域网内部有很多台主机,但不是每台主机都会有合法的IP地址,为了使所有的主机都可以连接因特网,需要使用地址转换。地址转换技术可以有效的隐藏局域网中的主机,具有一定的网络安全保护作用。
5. NAT分为哪几类?并简单介绍。
在书本上一般将NAT分为静态NAT、动态NAT和过载NAT。
在实际生活中一般将NAT分为源NAT,目的NAT和双向NAT。
静态NAT是一对一的映射,动态NAT是多对多的映射,过载NAT是多对一的映射。
6. ACL插入策略方法。
1)插入策略中间
扩展ACL,也是高级ACL插入策略中间 :目前有10和20。想插入15。
① 在全局配置模式下: ip access-list extended 101 【extended 扩展】
②15 permit icmp host 192.168.10.100 host 76.12.32.1
2)插入策略最后 :正常配策略就OK。
二、实验
实验:标准ACL
实验目的:做标准ACL允许192.168.10.100访问WEB服务器,拒绝192.168.10.1访问WEB服务器。
实验环境:packet tracert
实验思路:
1.配置主机PC1的地址为192.168.10.1,掩码为24位,网关为192.168.10.254。
2. 配置主机PC2地址为192.168.10.100,掩码为24位,网关为192.168.10.254。
3. 配置服务器server0的地址为76.12.20.1,掩码为24位,网关为76.12.20.254。
4. 配置路由器R1的地址。
5. 配置路由器R2的地址。
6. 配置静态路由。
(1)配置R1的静态。
(2)配置R2的静态。
7. 第一步检测:配置完静态后是全网互通的。
(1)PC1的检测。
(2)PC2的检测。第一个是检测网关的连通性。第二个是检测到服务器的连通性。
8.因为做的是标准ACL,所以在配置的时候最好在R2上【在知识点部分有解释】。
在R2的全局模式下,配置ACL策略,禁止主机PC2访问服务器76.12.20.1。
配置ACL策略,允许主机PC1访问服务器76.12.20.1.
应用ACL策略到R2的出接口g0/0
查看已经配置的ACL策略。因为不是在特权模式下查看,所以需要加一个do。
8. 最后一步检测。
(1)PC1能够成功访问服务器。
(2)PC2不能访问服务器。第一个ping是在第一次测试中成功进行访问。第二个是最后测试,找不到目的主机,说明ACL的策略已经配置生效了。