项目9、利用访问列表进行网络管理

利用访问列表进行网络管理主讲：张朋平湖职业中专为什么要使用访问列表访问控制列表的作用：内网布署安全策略，保证内网安全权限的资源访问内网访问外网时，进行安全的数据过滤防止常见病毒、木马、攻击对用户的破坏访问列表的组成定义访问列表的步骤第一步，定义规则（哪些数据允许通过，哪些数据不允许通过）第二步，将规则应用在路由器（或交换机）的接口上访问控制列表规则的分类：1、标准访问控制列表2、扩展访问控制列表访问列表规则的应用路由器应用访问列表对流经接口的数据包进行控制1.入栈应用（in）经某接口进入设备内部的数据包进行安全规则过滤2.出栈应用（out）设备从某接口向外发送数据时进行安全规则过滤一个接口在一个方向只能应用一组访问控制列表F1/0F1/1INOUTIPACL的基本准则一切未被允许的就是禁止的定义访问控制列表规则时，最终的缺省规则是拒绝所有数据包通过按规则链来进行匹配使用源地址、目的地址、源端口、目的端口、协议、时间段进行匹配规则匹配原则从头到尾，至顶向下的匹配方式匹配成功马上停止立刻使用该规则的“允许/拒绝……”访问列表规则的定义标准访问列表根据数据包源IP地址进行规则定义扩展访问列表根据数据包中源IP、目的IP、源端口、目的端口、协议进行规则定义IP标准访问列表的配置1.定义标准ACL编号的标准访问列表Router(config)#access-list1-99{permit|deny}源地址[反掩码]命名的标准访问列表switch(config)#ipaccess-liststandardnameswitch(config-std-nacl)#{permit|deny}源地址[反掩码]2.应用ACL到接口Router(config-if)#ipaccess-group1-99{in|out}IP扩展访问列表的配置1.定义扩展的ACL编号的扩展ACLRouter(config)#access-list100-199{permit/deny}协议源地址反掩码[源端口]目的地址反掩码[目的端口]命名的扩展ACLipaccess-listextended{name}{permit/deny}协议源地址反掩码[源端口]目的地址反掩码[目的端口]2.应用ACL到接口Router(config-if)#ipaccess-group100-199{in|out}访问列表的验证显示全部的访问列表Router#showaccess-lists显示指定的访问列表Router#showaccess-lists1-199显示接口的访问列表应用Router#showipinterface接口名称接口编号IP访问列表配置注意事项1、一个端口在一个方向上只能应用一组ACL2、锐捷全系列交换机可针对物理接口和SVI接口应用ACL针对物理接口，只能配置入栈应用(In)针对SVI（虚拟VLAN）接口，可以配置入栈（In）和出栈（Out）应用3、访问列表的缺省规则是：拒绝所有项目实施(一)利用IP标准访问列表进行网络流量的控制项目拓扑基本配置：Ra基本配置Red-Giantenable14(password:b402)Red-Giant#configureterminalRed-Giant(config)#hostnameRaRa(config)#interfacefastEthernet0/1Ra(config-if)#ipaddress172.16.1.1255.255.255.0Ra(config-if)#noshutdownRa(config-if)#interfaceFastEthernet1/1Ra(config-if)#ipaddress172.16.2.1255.255.255.0Ra(config-if)#noshutdownRa(config-if)#interfaceserial1/2Ra(config-if)#ipaddress172.16.3.1255.255.255.0Ra(config-if)#clockrate64000Ra(config-if)#noshutdownRa(config-if)#endRb基本配置Red-GiantenableRed-Giant#configureterminalRed-Giant(config)#hostnameRbRb(config)#interfacefastEthernet0/1Rb(config-if)#ipaddress172.16.4.1255.255.255.0Rb(config-if)#noshutdownRb(config-if)#exitRb(config-if)#interfaceserial1/2Rb(config-if)#ipaddress172.16.3.2255.255.255.0Rb(config-if)#noshutdownRb(config-if)#end配置静态路由Ra(config)#iproute172.16.4.0255.255.255.0serial1/2Rb(config)#iproute172.16.1.0255.255.255.0serial1/2Rb(config)#iproute172.16.2.0255.255.255.0serial1/2配置标准IP访问控制列表。Ra(config)#access-list10deny172.16.1.00.0.0.255!拒绝来自172.16.2.0网段的流量通过Ra(config)#access-list10permitany!允许所有网段的流量通过注意事项1、注意在访问控制列表的网络掩码是反掩码。2、标准控制列表要应用在尽量靠近目的地址的端口上设置。项目实施(二)利用IP扩展访问列表实现服务的访问限制项目拓扑基本配置：3550-24(config)#vlan103550-24(config)#vlan203550-24(config)#vlan303550-24(config)#interfacefastethernet0/13550-24(config-if)#switchportmodeaccess3550-24(config-if)#switchportaccessvlan103550-24(config)#interfacefastethernet0/23550-24(config-if)#switchportmodeaccess3550-24(config-if)#switchportaccessvlan203550-24(config)#interfacefastethernet0/33550-24(config-if)#switchportmodeaccess3550-24(config-if)#switchportaccessvlan303550-24(config)#interfacevlan103550-24(config-if)#ipaddress172.16.1.1255.255.255.03550-24(config-if)#noshutdown3550-24(config-if)#interfacevlan203550-24(config-if)#ipaddress172.16.2.1255.255.255.03550-24(config-if)#noshutdown3550-24(config-if)#interfacevlan303550-24(config-if)#ipaddress172.16.3.1255.255.255.03550-24(config-if)#noshutdown配置命名扩展IP访问控制列表：3550-24(config)#access-list101denytcp172.16.3.00.0.0.255host172.16.1.2eqFTP!禁止FTP服务3550-24(config)#access-list101permitipanyany!允许其它服务把访问控制列表在靠近目的地址的端口上应用：3550-24(config)#interfacevlan303550-24(config-if)#ipaccess-group101out注意事项1、访问控制列表要在接口下应用；2、要注意deny某个网段后要peimit其他网段。平湖职业中专欢迎您