实验十四标准 ACL 实验.docx
《实验十四标准 ACL 实验.docx》由会员分享,可在线阅读,更多相关《实验十四标准 ACL 实验.docx(28页珍藏版)》请在冰豆网上搜索。
实验十四标准ACL实验
实验十四标准ACL实验
一、实验目的
1.了解什么是标准的ACl;
2.了解标准ACL不同的实现方法;
二、应用环境
ACL(AccessControlLists)是交换机实现的一种数据包过滤机制,通过允许或拒绝特定的数据包进出网络,交换机可以对网络访问进行控制,有效保证网络的安全运行。
用户可以基于报文中的特定信息制定一组规则(rule),每条规则都描述了对匹配一定信息的数据包所采取的动作:
允许通过(permit)或拒绝通过(deny)。
用户可以把这些规则应用到特定交换机端口的入口或出口方向,这样特定端口上特定方向的数据流就必须依照指定的ACL规则进出交换机。
通过ACL,可以限制某个IP地址的PC或者某些网段的PC的上网活动。
用于网络管理。
三、实验设备
1.DCRS-5650-28C交换机2台
2.PC机2台
四、实验拓扑
五、实验要求
1.在交换机A和交换机B上分别划分两个基于端口的VLAN见表:
交换机
Vlan
端口成员
交换机A
10
1-8
20
9-46
100
24
交换机B
30
1-8
101
24
2.交换机A和B通过24口级联
3.配置交换机A和B各vlan虚拟借口的ip地址见表:
Vlan10
Vlan20
Vlan30
Vlan100
Vlan101
192.168.10.1
192.168.20.1
192.168.30.1
192.168.100.1
192.168.100.2
4.PC1-PC2的网络设置见表:
设备
Ip地址
Gateway
mask
PC1
192.168.10.101
192.168.10.1
255.255.255.0
PC2
192.168.20.101
192.168.20.1
255.255.255.0
5.验证
PC1和PC2都通过交换机A连接到交换机B上
1.不配置ACL,两台PC都可以ping通vlan30
2.配置ACL后,PC1和PC2的IPping不通vlan30,更改了IP地址后才可以上网。
若实验结果和理论相符,则本实验完成
六、实验步骤
1.交换机恢复出厂(以交换机A为例,交换机B配置步骤同A)
ØDCS-5650-28C>enable
ØDCS-5650-28C#setdefault
ØAreyousure?
[Y/N]=y!
是否确认?
ØDCS-5650-28C#write
ØDCS-5650-28C#reloadProcesswithreboot?
[Y/N]y
2.配置交换机VlAN信息
交换机A:
创建vlan10和vlan20、vlan100和并给相应vlan添加端口。
Øswitch-RSA(Config)#vlan10
Øswitch-RSA(Config-Vlan10)#switchportinterfaceEthernet0/0/1-8
Øswitch-RSA(Config-Vlan10)#exit
Øswitch-RSA(Config)#vlan20
Øswitch-RSA(Config-Vlan20)#switchportinterfaceethernet0/0/9-16
Øswitch-RSA(Config-Vlan20)#exit
Øswitch-RSA(Config)#vlan100
Øswitch-RSA(Config-Vlan100)#switchportinterfaceethernet0/0/24
ØSettheportEthernet1/24accessvlan100successfully
Øswitch-RSA(Config-Vlan100)#exit
验证配置:
Øswitch-RSA#showvlan
交换机B:
创建vlan30和vlan40、vlan101和并给相应vlan添加端口。
(配置命令与交换机A配置类似)如图:
验证配置:
Ø
switch-RSA#showvlan
3.配置交换机各vlan虚接口的IP地址
注意:
若要配置多个IP时,必须开启三层转发功能(默认情况下此功能关闭,需要先开启此功能)
Øswitch-RSA((Config)#l3enable(此命令不能自动补全,需手动输入)
分别给交换机A的Vlan10、Vlan20、Vlan100配置IP地址
Øswitch-RSA(Config)#intvlan10
Øswitch-RSA(Config-If-Vlan10)#ipaddress192.168.10.1255.255.255.0
Øswitch-RSA(Config-If-Vlan10)#noshut
Øswitch-RSA(Config-If-Vlan10)#exit
Øswitch-RSA(Config)#intvlan20
Øswitch-RSA(Config-If-Vlan20)#ipaddress192.168.20.1255.255.255.0
Øswitch-RSA(Config-If-Vlan20)#noshut
Øswitch-RSA(Config-If-Vlan20)#exit
Øswitch-RSA(Config)#intvlan100
Øswitch-RSA(Config-If-Vlan100)#ipaddress192.168.100.1255.255.255.0
Øswitch-RSA(Config-If-Vlan100)#noshut
Øswitch-RSA(Config-If-Vlan100)#exit
给交换机B的Vlan30、Vlan40、Vlan101配置IP地址(配置方式同交换机A)如图:
4.配置静态路由
交换机A:
Øswitch-RSA(Config)#iproute0.0.0.00.0.0.0192.168.100.2
验证配置:
switch-RSA(Config)#showiproute
交换机B:
ØSwitch-RSB:
iproute0.0.0.00.0.0.0192.168.100.1
验证配置:
5.在交换机B的VLan30端口上配置端口的回环测试功能,保证vlan30可以ping通
6.验证(本验证是基于在没有配置ACL之前进行的)
PC
端口
Ping
结果
原因
PC1:
192.168.10.101
0/0/1
192.168.100.1
通
PC2:
192.168.20.101
0/0/9
192.168.200.1
通
7.配置访问控制表
方法1:
配置命名标准IP访问列表(其中test为指定名称)
Øswitch-RSA(Config)#ipaccess-liststandardtest
Øswitch-RSA(Config-Std-Nacl-test)#deny192.168.100.1010..0.0.255
Øswitch-RSA(Config-Std-Nacl-test)#denyhost-source192.168.20.101
Øswitch-RSA(Config-Std-Nacl-test)#exit
Øswitch-RSA(Config)#
验证配置:
方法2:
配置数字标准IP访问列表(其中11为指定编号)
Øswitch-RSA(Config)#access-list11deny192.168.100.110.0.0.255
Øswitch-RSA(Config)#access-list11deny192.168.200.110.0.0.0
8.开启访问控制列表功能,默认动作为全部开启
Øswitch-RSA(Config)#firewallenable
Øswitch-RSA(Config)#firewalldefaultpermit
(两种方法任选其一)
Ø
验证配置:
Øswitch-RSA#showfirewall
9.绑定ACL到各端口
方式二:
(在方式二下的绑定,以11为编号绑定)
Øswitch-RSA(Config)#interfaceethernet0/0/1
Øswitch-RSA(Config-Ethernet1/1)#ipaccess-group11in
Øswitch-RSA(Config-Ethernet1/1)#exit
Øswitch-RSA(Config)#interfaceethernet0/0/9
Øswitch-RSA(Config-Ethernet1/9)#ipaccess-group11in
Øswitch-RSA(Config-Ethernet1/9)#exit
验证配置:
Øswitch-RSA#showaccess-group
Ø
Ø
Ø
Ø
方式一:
(在方式一下的绑定,以test为名称绑定)
Øswitch-RSA(Config)#interfaceethernet0/0/1
Øswitch-RSA(Config-Ethernet1/1)#ipaccess-grouptestin
Øswitch-RSA(Config-Ethernet1/1)#exit
Øswitch-RSA(Config)#interfaceethernet0/0/9
Øswitch-RSA(Config-Ethernet1/9)#ipaccess-grouptestin
Øswitch-RSA(Config-Ethernet1/9)#exit
验证略
10.结果
PC
端口
Ping
结果
原因
PC1:
192.168.10.101
0/0/1
192.168.100.1
不通
PC1:
192.168.10.12
0/0/1
192.168.100.1
不通
PC2:
192.168.20.101
0/0/9
192.168.200.1
不通
PC2:
192.168.20.12
0/0/9
192.168.200.1
通
七、注意事项和排错
1、对ACL中的表项的检查是自上而下的,只要匹配一条表项,对此ACL的检查就马上结束。
2、端口特定方向上没有绑定ACL或没有任何ACL表项匹配时,才会使用默认规则。
3、firewalldefault命令只对所有端口入口的IP数据包有效,对其它类型的包无效。
4、一个端口可以绑定一条入口ACL
八、共同思考
1、第七步中,为什么PC1改变了IP地址仍然不能上网;而PC2改变了地址就可以上网。
2、如果access-list中包括过滤信息相同但动作矛盾的规则,将会如何?
九、课后练习
配置“数字标准IP访问列表”完成同样的功能。
十、相关配置命令详解
ACL配置任务序列
1.配置access-list
(1)配置数字标准IP访问列表
(2)配置数字扩展IP访问列表
(3)配置命名标准IP访问列表
a)创建一个命名标准IP访问列表
b)指定多条permit或deny规则表项
(4)配置命名扩展IP访问列表
a)创建一个命名扩展IP访问列表
b)指定多条permit或deny规则表项
c)退出访问表配置模式
2.配置包过滤功能
(1)全局打开包过滤功能
(2)配置默认动作(defaultaction)
3.将accessl-list绑定到特定端口的特定方向
配置access-list
(1)配置数字标准IP访问列表
命令
解释
全局配置模式
access-list{deny|permit}
{{}|any-source|
{host-source}}
noaccess-list
创建一条数字标准IP访问列表,如果已有此访问列表,则增加一条规则(rule)表项;本命令的no操作为删除一条数字标准IP访问列表。
(2)配置数字扩展IP访问列表
命令
解释
全局配置模式
access-list{deny|permit}icmp{{
}|any-source|{host-source}}
{{}|any-destination|
{host-destination}}[
[]][precedence][tos]
创建一条icmp数字扩展IP访问规则;如果此编号数字扩展访问列表不存在则创建此访问列表。
access-list{deny|permit}igmp{{
}|any-source|{host-source}}
{{}|any-destination|
{host-destination}}[]
[precedence][tos]
创建一条igmp数字扩展IP访问规则;如果此编号数字扩展访问列表不存在则创建此访问列表。
access-list{deny|permit}tcp{{
}|any-source|{host-source}}
[sPort]{{}|
any-destination|{host-destination}}[dPort
][ack|fin|psh|rst|syn|urg][precedence
][tos]
创建一条tcp数字扩展IP访问规则;如果此编号数字扩展访问列表不存在则创建此访问列表。
access-list{deny|permit}udp{{
}|any-source|{host-source}}
[sPort]{{}|
any-destination|{host-destination}}[dPort
][precedence][tos]
创建一条udp数字扩展IP访问规则;如果此编号数字扩展访问列表不存在则创建此访问列表。
(3)配置命名标准IP访问列表
a.创建一个命名标准IP访问列表
命令
解释
全局配置模式
ipaccessstandard
noipaccessstandard
创建一条命名标准IP访问列表;本命令的no操作为删除此命名标准IP访问列表。
b.指定多条permit或deny规则
命令
解释
命名标准IP访问列表配置模式
[no]{deny|permit}{{
}|any-source|{host-source
}}
创建一条命名标准IP访问规则(rule);本命令的no操作为删除此命名标准IP访问规则(rule)。
c.退出命名标准IP访问列表配置模式
命令
解释
命名标准IP访问列表配置模式
Exit
退出命名标准IP访问列表配置模式。
(4)配置命名扩展IP访问列表
a.创建一个命名扩展IP访问列表
命令
解释
全局配置模式
ipaccessextended
noipaccessextended
创建一条命名扩展IP访问列表;本命令的no操作为删除此命名扩展IP访问列表。
b.指定多条permit或deny规则
命令
解释
命名扩展IP访问列表配置模式
[no]{deny|permit}icmp{{}|
any-source|{host-source}}{{
}|any-destination|{host-destination
}}[[]]
[precedence][tos]
创建一条icmp命名扩展IP访问规则(rule);本命令的no操作为删除此命名扩展IP访问规则(rule)。
[no]{deny|permit}igmp{{}|
any-source|{host-source}}{{
}|any-destination|{host-destination
}}[][precedence][tos
]
创建一条igmp命名扩展IP访问规则(rule);本命令的no操作为删除此命名扩展IP访问规则(rule)。
[no]{deny|permit}tcp{{}|
any-source|{host-source}}[sPort
]{{}|any-destination|
{host-destination}}[dPort][ack
|fin|psh|rst|syn|urg][precedence][tos
]
创建一条tcp命名扩展IP访问规则(rule);本命令的no操作为删除此命名扩展IP访问规则(rule)。
[no]{deny|permit}udp{{}|
any-source|{host-source}}[sPort
]{{}|any-destination|
{host-destination}}[dPort]
[precedence][tos]
创建一条udp命名扩展IP访问规则(rule);本命令的no操作为删除此命名扩展IP访问规则(rule)。
[no]{deny|permit}{eigrp|gre|igrp|ipinip|ip|
}{{}|any-source|
{host-source}}{{}|
any-destination|{host-destination}}
[precedence][tos]
创建一条其他IP协议的命名扩展IP访问规则(rule);本命令的no操作为删除此命名扩展IP访问规则(rule)。
(c)退出命名扩展IP访问列表配置模式
命令
解释
命
名扩展IP访问列表配置模式
Exit
退出命名扩展IP访问列表配置模式。
、
配置包过滤功能
(1)全局打开包过滤功能
命令
解释
全局配置模式
firewallenable
全局打开包过滤功能。
firewalldisable
全局关闭包过滤功能。
(2)配置默认动作(defaultaction)
命令
解释
全局配置模式
firewalldefaultpermit
设置默认动作为permit。
firewalldefaultdeny
设置默认动作为deny。
(3)将accessl-list绑定到特定端口的特定方向
命令
解释
物理接口配置模式
ipaccess-group{in|out}
noipaccess-group{in|out}
在端口的某个方向上应用一条access-list;本命令的no操作为删除绑定在端口上的access-list。
1)access-list(extended)
命令:
access-list{deny|permit}icmp{{}|any-source|
{host-source}}{{}|any-destination|{host-destination
}}[[]][precedence][tos]
access-list{deny|permit}igmp{{}|any-source|
{host-source}}{{}|any-destination|{host-des