访问控制列表 作者: aixiaxue 时间: 2026-03-27 分类: 中型网络安装与调试学习任务 阅读 45次 #获取信息 ##任务情景: 呼伦贝尔技师学院行政楼、培训楼有线网与无线网均已开通互联网出口,现需通过ACL保障校园网络安全:有线网仅在工作日08:00–18:00可上网,无线网在周日、周一、周二、周三、周四的23:00至次日03:00禁止上网,请你在出口路由器上完成ACL策略部署并验证生效。 ##任务要求: 按时间段创建time-range,按地址段创建命名ACL,允许或拒绝对应流量;保存配置后,用show access-list验证策略生效 #网络拓扑 本次实验和之前实验相同,请参考下图  #制定计划 ##学习步骤1:复习标准访问控制列表 ###引导问题1:Access Contrlo List的全名是什么 访问控制列表 ###引导问题2:ACL的2个动作是什么,英文如何书写 允许 permit 拒绝 deny ###引导问题3:ACL可以通过哪些规则过滤数据包 源地址、目的地址、协议类型、端口号 ###引导问题4:标准ACL的序号范围是多少 1-99 1300-1999 ###引导问题5:标准ACL只可以过滤哪些规则 源地址 ###引导问题6:ACL中的子网掩码如何书写 反掩码 ###引导问题7:拒绝192.168.2.0/24这个段的主机,命令如何书写 ```bash access-list 1 deny 192.168.2.0 0.0.0.255 ``` ###引导问题8:允许192.168.2.100这台的主机,命令如何书写 ```bash access-list 1 permit host 192.168.2.100 ``` ###引导问题9:上面两条命令的顺序是否会有影响 ```bash access-list 1 deny 192.168.2.0 0.0.0.255 access-list 1 permit host 192.168.2.100 ``` ACL是顺序匹配执行,如果host 192.168.2.100匹配到了第一条内容,则执行拒绝指令 所以应该将具体规则放前面,模糊规则放后面 ###引导问题10:将问题7的ACL应用到G0/0接口如何配置 ```bash int g0/0 ip access-group 1 in ip access-group 1 out ``` ##学习步骤2:学习拓展访问控制列表 ###引导问题1:拓展ACL的序号范围是多少 100-199 ###引导问题2:拓展ACL可以通过哪些规则过滤数据包 源地址、目的地址、协议类型、端口号 ###引导问题3:拓展ACL支持的协议有哪些 IP、TCP、UDP、ICMP ###引导问题4:拓展ACL的运算符都有什么 eq:等于 lt:小于 ge:大于 neq:不等于 ###引导问题5:允许192.168.1.0/24网段的机器访问192.168.200.1的www服务,命令如何书写 access-list 100 permit tcp 192.168.1.0 0.0.0.255 host 192.168.200.1 eq 80 ##学习步骤3:学习命名访问控制列表 ###引导问题1:什么是命名ACL 命名ACL允许在标准ACL和扩展ACL中,使用字符串和数字组合代替前面所使用的数字来表示ACL ###引导问题2:标准命名ACL中的关键词是什么 standard 标准 ###引导问题3:拓展命名ACL中的关键词是什么 extended 拓展 ###引导问题4:命名ACL是为了解决标准和拓展ACL的什么问题 使用命名ACL主要是为了解决序号不容易识别的问题 通过命名可以让管理员更快速、更便捷的理解ACL的用途 ###引导问题5:定义一个标准命名ACL,阻止192.168.100.0/24网段的流量,允许其他流量,应用到G0/1接口,命令如何书写 ```bash ip acccess-list standard zuzhi deny 192.168.100.0 0.0.0.255 permit any int g0/1 ip access-group zuzhi in ip access-group zuzhi out ``` ###引导问题6:定义一个拓展命名ACL,阻止192.168.100.0/24网段访问192.168.200.1的FTP和WWW服务,命令如何书写 ```bash ip access-list extended abc deny tcp 192.168.100.0 0.0.0.255 host 192.168.200.1 eq ftp deny tcp 192.168.100.0 0.0.0.255 host 192.168.200.1 eq www permit ip any any ``` ##学习步骤4:学习时间访问控制列表 ###引导问题1:什么是基于时间的ACL 根据一天中不同的时间,或者根据以行气中不同的日期,或二者向结合的来控制网络数据包转发 ###引导问题2:如何应用时间ACL 先定义时间范围,然后在原来的各种ACL基础上应用它 ###引导问题3:定义时间ACL的时间范围,关键词是什么 使用time-range定义时间范围 ###引导问题4:absolute和periodic分别是什么意思 absolute:绝对时间 periodic:循环时间 ###引导问题5:写出英文的周一到周日的英文 星期一:Monday 星期二:Tuesday 星期三:Wednesday 星期四:Thursday 星期五:Friday 星期六:Saturday 星期日:Sunday 每天:Daily 工作日:Weekday 周末:Weekend ###引导问题6:限制192.168.4.0网络的上网行为,只允许其在2014年10月1日只2014年10月31日内,从星期一9:00到星期五17:00进行Web访问 ```bash time-range allow-http absolute start 9:00 1 OCT 2014 END 17:00 31 OCT 2014 periodic weekday 9:00 to 17:00 ip access-list 101 permit tcp 192.168.4.0 0.0.0.255 any eq 80 time-range allow-http int g0/0 ip access-group 101 in ``` ##学习步骤5:分解任务 ###引导问题1:现在需要定义的时间ACL有几条 根据任务要求:有线网仅在工作日08:00–18:00可上网,无线网在周日、周一、周二、周三、周四的23:00至次日03:00禁止上网, 我们现在要设置的时间ACL有2条 有线网 无线网 ###引导问题2:有线网的time-range名字是什么 可以自行定义 我定义为 ```bash time youxianwang ``` ###引导问题3:无线网的time-range名字是什么 ```bash wuxianwang ``` ###引导问题4:有线网的时间范围如何定义 根据题目要求:有线网仅在工作日08:00–18:00可上网 ```bash time-range youxianwang periodic weekday 8:00 to 18:00 ``` ###引导问题5:无线网的时间范围如何定义 根据题目要求:无线网在周日、周一、周二、周三、周四的23:00至次日03:00禁止上网 提醒:我们在写周日晚上23:00到次日周一早上3:00 不能写成 ```bash periodic Sunday 23:00 to 3:00 ``` 因为时间是从晚到早,此时间将会导致周日早上0:00到3:00也是在时间之内 所以我们要将时间分开 周日的23:00到23:59 周一的0:00到3:00 以此类推 ```bash time-range wuxianwang periodic Sunday 23:00 to 23:59 periodic Monday 0:00 to 3:00 periodic Monday 23:00 to 23:59 periodic Tuesday 0:00 to 3:00 periodic Tuesday 23:00 to 23:59 periodic Wednesday 0:00 to 3:00 periodic Wednesday 23:00 to 23:59 periodic Thursday 0:00 to 3:00 periodic Thursday 23:00 to 23:59 periodci Friday 0:00 to 3:00 ``` ###引导问题6:有线网ACL如何书写 根据题目要求:按地址段创建命名ACL 有线网网段为192.168.0.0/24 因为我们此次实验只需要控制源地址,所以我们采用标准命名ACL ```bash ip access-list standard youxianwang time-range youxianwang permit 192.168.0.0 0.0.0.255 ``` ###引导问题7:无线网ACL如何书写 无线网网段为:172.168.0.0/24 ```bash ip access-list standard wuxianwang time-range wuxianwang deny 172.168.0.0 0.0.0.255 ``` ###引导问题8:ACL具体应该配置在哪台设备的哪个接口上?in还是out? 根据题目要求:请你在出口路由器上完成ACL策略部署并验证生效。 我们可以从进口g0/0-1的in方向控制 或者从出口g0/8的out方向控制 ```bash int rang g0/0-1 ip access-group youxianwang in ip access-group wuxianwang in ``` 或者 ```bash int g0/8 ip access-group youxianwang out ip access-group wuxianwang out ``` 标签: none