ACL原理及配置实例

efhuanhuan
2 ℃
2020-02-02

整理文档很辛苦，赏杯茶钱您下走！

还剩 ... 页未读，继续阅读 >>

免费阅读已结束，点击下载阅读编辑剩下 ... 页

阅读已结束，您可以下载文档离线阅读编辑

资源描述

上次回顾：广域网接口配置配置PPP协议PPP协议的验证方式本次内容（补充）理解ACL的基本原理会配置标准ACL会配置扩展ACL会配置ACL对网络进行控制理解NAT会配置NAPT2需求公网互联网用户对外信息服务器员工上网信息服务器需求1作为公司网络管理员，当公司领导提出下列要求时你该怎么办？为了提高工作效率，不允许员工上班时间进行QQ聊天、MSN聊天等，但需要保证正常的访问Internet，以便查找资料了解客户及市场信息等。公司有一台服务器对外提供有关本公司的信息服务，允许公网用户访问，但为了内部网络的安全，不允许公网用户访问除信息服务器之外的任何内网节点。需求2访问控制列表(ACL)ACL概述基本ACL配置扩展ACL配置访问控制列表概述访问控制列表（ACL）读取第三层、第四层包头信息根据预先定义好的规则对包进行过滤IP报头TCP报头数据源地址目的地址源端口目的端口访问控制列表利用这4个元素定义的规则7访问控制列表的工作原理访问控制列表在接口应用的方向访问控制列表的处理过程拒绝允许允许允许到达访问控制组接口的数据包匹配第一条目的接口隐含的拒绝丢弃YYYYYYNNN匹配下一条拒绝拒绝拒绝匹配下一条8访问控制列表类型标准访问控制列表扩展访问控制列表命名访问控制列表定时访问控制列表9标准访问控制列表配置3-1创建ACLRouter(config)#access-listaccess-list-number{permit|deny}source[source-wildcard]删除ACLRouter(config)#noaccess-listaccess-list-number允许数据包通过应用了访问控制列表的接口拒绝数据包通过10标准访问控制列表配置3-2应用实例Router(config)#access-list1permit192.168.1.00.0.0.255Router(config)#access-list1permit192.168.2.20.0.0.0允许192.168.1.0/24和主机192.168.2.2的流量通过隐含的拒绝语句Router(config)#access-list1deny0.0.0.0255.255.255.255关键字hostany11HostanyHost192.168.2.2=192.168.2.20.0.0.0any=0.0.0.0255.255.255.255R1(config)#access-list1deny192.168.2.20.0.0.0R1config)#access-list1permit0.0.0.0255.255.255.255与R1(config)#access-list1denyhost192.168.2.2R1(config)#access-list1permitany相同标准访问控制列表配置3-3将ACL应用于接口Router(config-if)#ipaccess-groupaccess-list-number{in|out}在接口上取消ACL的应用Router(config-if)#noipaccess-groupaccess-list-number{in|out}13标准访问控制列表配置实例实验编号的标准IP访问列表。【实验目的】掌握路由器上编号的标准IP访问列表规则及配置。【背景描述】你是一个公司的网络管理员，公司的经理部、财务部门和销售部门分属不同的3个网段，三部门之间用路由器进行信息传递，为了安全起见，公司领导要求销售部门不能对财务部门进行访问，但经理部可以对财务部门进行访问。PC1代表经理部的主机，PC2代表销售部门的主机、PC3代表财务部门的主机。【技术原理】IPACL（IP访问控制列表或IP访问列表）是实现对流经路由器或交换机的数据包根据一定的规则进行过滤，从而提高网络可管理性和安全性。标准IP访问列表可以根据数据包的源IP地址定义规则，进行数据包的过滤。IPACL基于接口进行规则的应用，分为：入栈应用和出栈应用。入栈应用是指由外部经该接口进行路由器的数据包进行过滤。出栈应用是指路由器从该接口向外转发数据时进行数据包的过滤。IPACL的配置有两种方式：按照编号的访问列表，按照命名的访问列表。标准IP访问列表编号范围是1~99、1300~1999，扩展IP访问列表编号范围是100~199、2000~2699。【实现功能】实现网段间互相访问的安全控制。【实验设备】RSR10路由器（两台）、V.35线缆（1条）、交叉线（3条）【实验拓扑】【实验步骤】步骤1：Router1、Router2基本配置IP地址等步骤2：路由表步骤3：访问控制列表访问控制列表应用在接口步骤4：测试配置静态路由Router1(config)#iproute172.16.4.0255.255.255.0serial1/2Router2(config)#iproute172.16.1.0255.255.255.0serial1/2Router2(config)#iproute172.16.2.0255.255.255.0serial1/2测试命令：showiproute。步骤2配置标准IP访问控制列表。Router2(config)#access-list1permit172.16.1.00.0.0.255!允许来自172.16.1.0网段的流量通过Router2(config)#access-list1deny172.16.2.00.0.0.255!拒绝来自172.16.2.0网段的流量通过验证测试：Router2#showaccess-lists1StandardIPaccesslist1includes2items:deny172.16.2.0,wildcardbits0.0.0.255permit172.16.1.0,wildcardbits0.0.0.255步骤3把访问控制列表在接口下应用。Router2(config)#interfacefastEthernet1/0Router2(config-if)#ipaccess-group1out!在接口下访问控制列表出栈流量调用验证测试：Router2#showipinterfacefastEthernet1/0步骤4.验证测试。ping（172.16.2.0网段的主机不能ping通172.16.4.0网段的主机；172.16.1.0网段的主机能ping通172.16.4.0网段的主机）。【注意事项】1、注意在访问控制列表的网络掩码是反掩码。2、标准控制列表要应用在尽量靠近目的地址的接口。【参考配置】Router1#showrunning-config!查看路由器1的全部配置扩展访问控制列表配置2-1创建ACLRouter(config)#access-listaccess-list-number{permit|deny}protocol{sourcesource-wildcarddestinationdestination-wildcard}[operatoroperan]删除ACLRouter(config)#noaccess-listaccess-list-number将ACL应用于接口Router(config-if)#ipaccess-groupaccess-list-number{in|out}在接口上取消ACL的应用Router(config-if)#noipaccess-groupaccess-list-number{in|out}27扩展访问控制列表配置2-2应用实例1Router(config)#access-list101permitip192.168.1.00.0.0.255192.168.2.00.0.0.255Router(config)#access-list101denyipanyany应用实例2Router(config)#access-list101denytcp192.168.1.00.0.0.255host192.168.2.2eq21Router(config)#access-list101permitipanyany应用实例3Router(config)#access-list101denyicmp192.168.1.00.0.0.255host192.168.2.2echoRouter(config)#access-list101permitipanyany28扩展ACL的编号为100–199，扩展ACL增强了标准ACL的功能增强ACL可以基于下列参数进行网络传输的过滤目的地址IP协议–可以使用协议的名字来设定检测的网络协议或路由协议，例如：ICMP、TCP和UDP等等TCP/IP协议族中的上层协议–可以使用名称来表示上层协议，例如：“ftp”或“”–也可以使用操作符eq、gt、lt和neq(equalto,greaterthan,lessthan和notequalto)来处理部分协议–例如：希望允许除了http之外的所有通讯，其语句是permittcpanyanyneq80请复习TCP和UDP的端口号也可以使用名称来代替端口号，例如：使用telnet来代替端口号23端口号协议名称20，21FTP23Telnet25SMTP53DNS6980TFTP的正确位置在下图中，需要设定网络221.23.123.0中的所有节点不能访问地址为198.150.13.34服务器在哪个路由器的哪个接口上放置ACL?在RouterC的E0接口上放置这将防止221.23.123.0中的所有机器访问198.150.13.34，但是他们可以继续访问Internet由于扩展ACL可以控制目的地地址，所以应该放置在尽量接近数据发送源的路由器上。减少网络资源的浪费。放置扩展ACL的正确位置Router-C(config)#access-list100denyip221.23.123.00.0.0.255198.150.13.340.0.0.0Router-C(config)#access-list100permitipanyanyRouter-C(config)#inte0Router-C(config-if)#ipaccess-group100in使用ACL配置练习PC1不能对Server0进行访问扩展访问控制列表例如上图，网络221.23.123.0中部门经理使用的IP地址为221.23.123.1,部门经理可以访问内网server及与内网结点通信，并访问Internet，员工不能访问server，但可以和内网其他节点通信，只允许员工访问Internet的的服务和收发邮件。答案Access-list100permitiphost221.23.123.1anyAccess-listdenyip221.23.123.00.0.255host198.150.13.34Access-listpermitip221.23.123.00.0.0.255198.150.13.00.0.0.255Access-listpermittcp221.23.123.00.0.0.255anyeq(或80)Access-listpermittcp221.23.123.00.0.0.255anyeqpop3(或110)Access-listpermittcp221.23.123.00.0.0.255anyeqsmtp(或25)扩展访问控制列表例扩展访问控制列表例如上图，允许serverping221.23.123.0网络内的节点，但是不允许该网络内节点pingserver。允许其他所有访问。答案：access-list100permiticmp221.23.123.00.0.0.255host192.150.13.34echo-replyaccess-list100denyicmp221.23.123.00.0.0.255host192.150.