第五章 访问控制列表ACL——标准ACL试验

一、理论

1.简述ACL的作用。
ACL可以提供网络访问的基本手段。可用于Qos，控制数据流量。控制通信量。

2.简述标准ACL和扩展ACL的不同点。
标准ACL是检查源地址，而扩展ACL不仅仅检查源地址，还检查目的地址。

标准ACL允许或拒绝整个协议簇，而扩展ACL允许或拒绝特定协议或应用程序。扩展ACL比标准ACL更精细一些。

标准ACL的编号为1-99，而扩展ACL的编号是100-199。

将ACL置于网络中时，标准ACL过于靠近被过滤源的接口上应用ACL，以尽早阻止不必要的流量进入网络，应在不影响其他合法访问的前提下，尽可能使ACL靠近被过滤的源； 【图片以华三为例，基本ACL相当于思科Cisco的标准ACL，高级ACL相当于思科Cisco的扩展ACL】

扩展ACL应该靠近被过滤源的接口上应用ACL，以尽早阻止不必要的流量进入网络。

3. ACL访问控制列表入与出匹配顺序。
ACL访问控制列表在入接口时，先检查策略，后检查路由表。在出接口时，先检查路由表后检查策略。

数据到达入接口时，先检查接口是否引入acl，若引入，则先进行acl逐条匹配，有acl匹配成功后检查动作是允许还是拒绝，acl允许后再与路由表中路由条目进行匹配，存在目标网段时，路由器则进行转发，反之丢弃！

数据到达出接口时，现在路由表中找到想对应的路由条目，存在目的网段时，与acl逐条匹配，匹配成功后检查动作，允许后路由器进行转发，反之丢弃！

4. 为什么会出现NAT？
因为合法的IP地址日益短缺，一个局域网内部有很多台主机，但不是每台主机都会有合法的IP地址，为了使所有的主机都可以连接因特网，需要使用地址转换。地址转换技术可以有效的隐藏局域网中的主机，具有一定的网络安全保护作用。

5. NAT分为哪几类？并简单介绍。
在书本上一般将NAT分为静态NAT、动态NAT和过载NAT。
在实际生活中一般将NAT分为源NAT，目的NAT和双向NAT。
静态NAT是一对一的映射，动态NAT是多对多的映射，过载NAT是多对一的映射。

6. ACL插入策略方法。
1）插入策略中间
扩展ACL，也是高级ACL插入策略中间 ：目前有10和20。想插入15。
① 在全局配置模式下： ip access-list extended 101 【extended 扩展】
②15 permit icmp host 192.168.10.100 host 76.12.32.1

2）插入策略最后 ：正常配策略就OK。

二、实验

实验：标准ACL

实验目的：做标准ACL允许192.168.10.100访问WEB服务器，拒绝192.168.10.1访问WEB服务器。
实验环境：packet tracert

实验思路：

1.配置主机PC1的地址为192.168.10.1，掩码为24位，网关为192.168.10.254。

2. 配置主机PC2地址为192.168.10.100，掩码为24位，网关为192.168.10.254。

3. 配置服务器server0的地址为76.12.20.1，掩码为24位，网关为76.12.20.254。

4. 配置路由器R1的地址。

5. 配置路由器R2的地址。

6. 配置静态路由。
（1）配置R1的静态。

（2）配置R2的静态。

7. 第一步检测：配置完静态后是全网互通的。
（1）PC1的检测。

（2）PC2的检测。第一个是检测网关的连通性。第二个是检测到服务器的连通性。

8.因为做的是标准ACL，所以在配置的时候最好在R2上【在知识点部分有解释】。

在R2的全局模式下，配置ACL策略，禁止主机PC2访问服务器76.12.20.1。

配置ACL策略，允许主机PC1访问服务器76.12.20.1.

应用ACL策略到R2的出接口g0/0

查看已经配置的ACL策略。因为不是在特权模式下查看，所以需要加一个do。

8. 最后一步检测。
（1）PC1能够成功访问服务器。

（2）PC2不能访问服务器。第一个ping是在第一次测试中成功进行访问。第二个是最后测试，找不到目的主机，说明ACL的策略已经配置生效了。