赫思曼交换机访问控制列表配置.doc

赫思曼交换机访问控制列表配置 准备工作： 1．按照网络拓扑图为PC A、PC B、PC C和PC D及 Power MICE交换机配置相应的IP地址。 2．PC A、PC B分别连接交换机的2/1、2/2端口；PC C、PC D分别连接交换机的2/3、2/4端口。 实验任务： 通过在交换机上配置扩展访问控制列表使PC A可以 和另外3台PC通信，但PC B只能和PC A、 PC C通信，无法与PC D通信。 注意：扩展访问控制列表不仅能够实现对终端访问权限的设置，而且还可以通过对通信协议（如ICMP TCP/UDP等）和通信端口（如ftp:20/21 telnet:23 smtp:25 http:80等 ）的限制实现更高级的访问控制功能，本次操作仅对Ping（基于ICMP）进行测试。 实验步骤： 将调试所用的笔记本电脑的串口与交换机的V.24口相连，通过超级终端访问交换机 选择“还原为默认设置” (Hirschmann PowerMICE) //蓝色表示输入字符 ，回车略去 User:admin //输入用户名称 Password:******* //输入密码private 将交换机切换到配置模式 (Hirschmann PowerMICE) enable // 由用户模式“”进入特权模式“#” (Hirschmann PowerMICE) #configure // 由特权模式“#”进入配置模式“（config）” (Hirschmann PowerMICE) (Config)# 设置访问控制列表条件语句 (Hirschmann PowerMICE) (Config)#access-list 100 deny icmp //创建表号为100的扩展访问控制列表，拒绝源地址为向发送ICMP数据包 注意：后面的不是子网掩码，而是反向掩码，代表精确匹配。 在访问控制列表中“0”代表匹配，“1”代表忽略(即不匹配)，符合匹配条件的即按照访问控制列表中的要求执行。 [相关知识] ACL和反向子网掩码访问控制列表ACL分很多种，不同场合应用不同种类的ACL。其中最简单的就是标准访问控制列表，他是通过使用IP包中的源IP地址进行过滤，使用的访问控制列表号1到99来创建相应的ACL标准访问控制列表是最简单的ACL它的具体格式如下：access-list ACL号 permit|deny host ip地址 例如：access-list 10 deny 192.168.1.这句命令是将所有来自地址的数据包丢弃。 ??? 当然我们也可以用网段来表示，对某个网段进行过滤。命令如下：access-list 10 deny 55 ??? 通过上面的配置将来自/24的所有计算机数据包进行过滤丢弃。为什么后头的子网掩码表示的是55呢？这是因为CISCO规定在ACL中用反向掩玛表示子网掩码，反向掩码为55的代表他的子网掩码为。 (Hirschmann PowerMICE) (Config)#access-list 100 permit icmp any any //访问控制列表存在隐含规则为拒绝所有主要是考虑到对于非法用户及不确定是否拥有访问权限的用户进行默认控制。这样可以避免因为遗忘或者访问控制规则设计的纰漏造成的不能对非法用户进行有效控制的情况。例如 access-list 1 permit 55　这条访问控制列表表面上允许网段通过，其实隐含了一条规则为access-list 1 deny any，这样如果该网络中还有 或者其他网段的用户默认情况下是拒绝通过的，如需开放某网段，需再添加条件即可。(Hirschmann PowerMICE) (Config)#interface 2/4 //进入交换机的端口模式 (Hirschmann PowerMICE) (Interface 2/4)#ip access-group 100 in //将表号为100的访问控制列表应用于该端口上 访问控制列表一定要应用到交换机的端口上，否则不会生效。 测试： PC A可以和另外3台PC通信，PC B不能和PC D通信。 [相关资料] IP Access-List 十大军规访问控制列表军规第一条：基于IP的访问控制列表分为标准访问控制列表和扩展访问控制列表。IP标准访问控制列表的编号范围是1-99，IP扩展访问控制列表的编号范围是100-199。标准访问控制列表所检查的项目比较少，适合于规则控制不精细的网络，扩展访问控制列表适合于规则控制得比较精细的网