1、实验十四 标准 ACL 实验实验十四 标准 ACL 实验 一、 实验目的 1.了解什么是标准的 ACl; 2.了解标准 ACL 不同的实现方法; 二、 应用环境 ACL (Access Control Lists)是交换机实现的一种数据包过滤机制,通过允许或拒绝特定的数据包进出网络,交换机可以对网络访问进行控制,有效保证网络的安全运行。用户可以基于报文中的特定信息制定一组规则(rule),每条规则都描述了对匹配一定信息的数据包所采取的动作:允许通过(permit)或拒绝通过(deny)。用户可以把这些规则应用到特定交换机端口的入口或出口方向,这样特定端口上特定方向的数据流就必须依照指定的 AC
2、L 规则进出交换机。通过 ACL,可以限制某个 IP 地址的 PC 或者某些网段的 PC 的上网活动。用于网络管理。 三、 实验设备 1. DCRS-5650-28C交换机2 台 2. PC 机 2 台 四、 实验拓扑 五、实验要求1.在交换机 A 和交换机 B 上分别划分两个基于端口的 VLAN见表:交 换 机Vlan端口成员交换机A101-8209-4610024交换机B301-8101242.交换机A和B通过24 口级联3.配置交换机A和B各vlan虚拟借口的ip地址见表:Vlan10Vlan20Vlan30Vlan100Vlan101192.168.10.1192.168.20.119
3、2.168.30.1192.168.100.1192.168.100.24.PC1-PC2的网络设置见表:设 备Ip地址GatewaymaskPC1192.168.10.101192.168.10.1255.255.255.0PC2192.168.20.101192.168.20.1255.255.255.05.验证PC1 和 PC2 都通过交换机 A 连接到 交换机B上1.不配置 ACL,两台 PC 都可以 ping通vlan302.配置 ACL 后,PC1 和 PC2 的 IP ping不通vlan30,更改了 IP 地址后才可以上网。 若实验结果和理论相符,则本实验完成六、实验步骤1.交
4、换机恢复出厂 (以交换机A为例,交换机B配置步骤同A) DCS-5650-28Cenable DCS-5650-28C#set default Are you sure? Y/N = y !是否确认? DCS-5650-28C#write DCS-5650-28C#reload Process with reboot? Y/N y2.配置交换机VlAN信息交换机A:创建 vlan10和 vlan20、 vlan100 和并给相应vlan添加端口。 switch-RSA(Config)#vlan 10 switch-RSA(Config-Vlan10)#switchport interface
5、Ethernet 0/0/1-8 switch-RSA(Config-Vlan10)#exit switch-RSA(Config)#vlan 20 switch-RSA(Config-Vlan20)#switchport interface ethernet 0/0/9-16 switch-RSA(Config-Vlan20)#exit switch-RSA(Config)#vlan 100 switch-RSA(Config-Vlan100)#switchport interface ethernet 0/0/24 Set the port Ethernet1/24 access vlan
6、 100 successfully switch-RSA(Config-Vlan100)#exit 验证配置: switch-RSA#show vlan 交换机B:创建 vlan 30和 vlan 40、 vlan101 和并给相应vlan添加端口。(配置命令与交换机A配置类似)如图:验证配置: switch-RSA#show vlan 3.配置交换机各vlan虚接口的IP地址注意:若要配置多个IP时,必须开启三层转发功能(默认情况下此功能关闭,需要先开启此功能) switch-RSA(Config)#l3 enable (此命令不能自动补全,需手动输入)分别给交换机A的Vlan 10 、Vl
7、an 20、Vlan 100配置IP地址 switch-RSA(Config)#int vlan 10 switch-RSA(Config-If-Vlan10)#ip address 192.168.10.1 255.255.255.0 switch-RSA(Config-If-Vlan10)#no shut switch-RSA(Config-If-Vlan10)#exit switch-RSA(Config)#int vlan 20 switch-RSA(Config-If-Vlan20)#ip address 192.168.20.1 255.255.255.0 switch-RSA(C
8、onfig-If-Vlan20)#no shut switch-RSA(Config-If-Vlan20)#exit switch-RSA(Config)#int vlan 100 switch-RSA(Config-If-Vlan100)#ip address 192.168.100.1 255.255.255.0 switch-RSA(Config-If-Vlan100)#no shut switch-RSA(Config-If-Vlan100)#exit 给交换机B的Vlan 30 、Vlan 40、Vlan 101配置IP地址(配置方式同交换机A)如图:4.配置静态路由交换机A: sw
9、itch-RSA(Config)#ip route 0.0.0.0 0.0.0.0 192.168.100.2验证配置:switch-RSA(Config)#show ip route交换机B: Switch-RSB: ip route 0.0.0.0 0.0.0.0 192.168.100.1 验证配置: 5.在交换机B的VLan30端口上配置端口的回环测试功能,保证vlan30 可以ping通6.验证(本验证是基于在没有配置ACL之前进行的)PC端口Ping结果原因PC1:192.168.10.1010/0/1192.168.100.1通PC2:192.168.20.1010/0/9192
10、.168.200.1通7.配置访问控制表方法 1:配置命名标准 IP 访问列表 (其中test为指定名称) switch-RSA(Config)#ip access-list standard test switch-RSA(Config-Std-Nacl-test)#deny192.168.100.101 0.0.0.255 switch-RSA(Config-Std-Nacl-test)#deny host-source 192.168.20.101 switch-RSA(Config-Std-Nacl-test)#exit switch-RSA(Config)# 验证配置:方法 2: 配
11、置数字标准 IP 访问列表 (其中11为指定编号) switch-RSA(Config)#access-list 11 deny 192.168.100.11 0.0.0.255 switch-RSA(Config)#access-list 11 deny 192.168.200.11 0.0.0.08.开启访问控制列表功能,默认动作为全部开启 switch-RSA(Config)#firewall enable switch-RSA(Config)#firewall default permit (两种方法任选其一) 验证配置: switch-RSA#show firewall 9.绑定 A
12、CL 到各端口 方式二:(在方式二下的绑定,以11为编号绑定) switch-RSA(Config)#interface ethernet 0/0/1 switch-RSA(Config-Ethernet1/1)#ip access-group 11 in switch-RSA(Config-Ethernet1/1)# exit switch-RSA(Config)#interface ethernet 0/0/9 switch-RSA(Config-Ethernet1/9)#ip access-group 11 in switch-RSA(Config-Ethernet1/9)# exit
13、验证配置: switch-RSA#show access-group 方式一:(在方式一下的绑定,以test为名称绑定) switch-RSA(Config)#interface ethernet 0/0/1 switch-RSA(Config-Ethernet1/1)#ip access-group test in switch-RSA(Config-Ethernet1/1)# exit switch-RSA(Config)#interface ethernet 0/0/9 switch-RSA(Config-Ethernet1/9)#ip access-group test in swit
14、ch-RSA(Config-Ethernet1/9)# exit 验证略10.结果PC端口Ping结果原因PC1:192.168.10.1010/0/1192.168.100.1不通PC1:192.168.10.120/0/1192.168.100.1不通PC2:192.168.20.1010/0/9192.168.200.1不通PC2:192.168.20.120/0/9192.168.200.1通七、 注 意事项和排错1、 对 ACL 中的表项的检查是自上而下的,只要匹配一条表项,对此 ACL 的检查就马上结束。 2、 端口特定方向上没有绑定 ACL 或没有任何 ACL 表项匹配时,才会使
15、用默认规则。 3、 firewall default 命令只对所有端口入口的 IP 数据包有效,对其它类型的包无效。 4、 一个端口可以绑定一条入口 ACL八、 共同思考 1、 第七步中,为什么 PC1 改变了 IP 地址仍然不能上网;而 PC2 改变了地址就可以上网。 2、 如果 access-list 中包括过滤信息相同但动作矛盾的规则,将会如何? 九、 课后练习 配置“数字标准 IP 访问列表”完成同样的功能。 十、 相关配置命令详解 ACL 配置任务序列 1. 配置 access-list (1) 配置数字标准 IP 访问列表 (2) 配置数字扩展 IP 访问列表 (3) 配置命名标准
16、 IP 访问列表 a) 创建一个命名标准 IP 访问列表 b) 指定多条 permit 或 deny 规则表项(4)配置命名扩展IP访问列表 a) 创建一个命名扩展 IP 访问列表 b) 指定多条 permit 或 deny 规则表项 c) 退出访问表配置模式 2配置包过滤功能(1)全局打开包过滤功能 (2)配置默认动作(default action) 3. 将 accessl-list 绑定到特定端口的特定方向 配置 access-list (1)配置数字标准 IP 访问列表 命令解释全局配置模式access-list deny | permit | any-source |host-sou
17、rce no access-list 创建一条数字标准 IP 访问列表,如果已有此访问列表,则增加一条规则(rule)表项;本命令的 no 操作为删除一条数字标准 IP 访问列表。(2)配置数字扩展 IP 访问列表 命令解释全局配置模式access-list deny | permit icmp | any-source | host-source | any-destination |host-destination precedence tos 创建一条 icmp 数字扩展 IP 访问规则;如果此编号数字扩展访问列表不存在则创建此访问列表。access-list deny | permit
18、 igmp | any-source | host-source | any-destination |host-destination precedence tos 创建一条 igmp 数字扩展 IP 访问规则;如果此编号数字扩展访问列表不存在则创建此访问列表。access-list deny | permit tcp | any-source | host-source sPort |any-destination | host-destination dPort ack | fin | psh | rst | syn | urg precedence tos 创建一条 tcp 数字扩展
19、IP 访问规则;如果此编号数字扩展访问列表不存在则创建此访问列表。access-list deny | permit udp | any-source | host-source sPort |any-destination | host-destination dPort precedence tos 创建一条 udp 数字扩展 IP 访问规则;如果此编号数字扩展访问列表不存在则创建此访问列表。(3)配置命名标准 IP 访问列表a. 创建一个命名标准 IP 访问列表 命令解释全局配置模式ip access standard no ip access standard 创建一条命名标准 IP
20、访问列表;本命令的 no操作为删除此命名标准 IP 访问列表。b. 指定多条 permit 或 deny 规则 命令解释命名标准 IP 访问列表配置模式no deny | permit | any-source | host-source创建一条命名标准 IP 访问规则(rule);本命令的 no 操 作为 删除 此命 名标 准 IP 访 问规 则(rule)。c. 退出命名标准 IP 访问列表配置模式 命令解释命名标准 IP 访问列表配置模式Exit退出命名标准 IP 访问列表配置模式。(4)配置命名扩展 IP 访问列表a. 创建一个命名扩展 IP 访问列表命令解释全局配置模式ip acce
21、ss extended no ip access extended 创建一条命名扩展 IP 访问列表;本命令的 no操作为删除此命名扩展 IP 访问列表。b. 指定多条 permit 或 deny 规则 命令解释命名扩展 IP 访问列表配置模式no deny | permit icmp |any-source | host-source | any-destination | host-destination precedence tos 创建一条 icmp 命名扩展 IP 访问规则(rule);本命令的 no 操作为删除此命名扩展 IP 访问规则(rule)。no deny | permit
22、 igmp |any-source | host-source | any-destination | host-destination precedence tos创建一条 igmp 命名扩展 IP 访问规则(rule);本命令的 no 操作为删 除 此 命 名 扩 展 IP 访 问 规 则(rule)。no deny | permit tcp |any-source | host-source sPort | any-destination |host-destination dPort ack| fin | psh | rst | syn | urg precedence tos创建一条
23、 tcp 命名扩展 IP 访问规则(rule);本命令的 no 操作为删除此命名扩展 IP 访问规则(rule)。no deny | permit udp |any-source | host-source sPort | any-destination |host-destination dPort precedence tos 创建一条 udp 命名扩展 IP 访问规则(rule);本命令的 no 操作为删除此命名扩展 IP 访问规则(rule)。no deny | permit eigrp | gre | igrp | ipinip | ip | | any-source |host-s
24、ource |any-destination | host-destination precedence tos 创建一条其他 IP 协议的命名扩展IP 访问规则(rule);本命令的 no操作为删除此命名扩展 IP 访问规则(rule)。(c)退出命名扩展 IP 访问列表配置模式 命令解释命名扩展 IP 访问列表配置模式Exit退出命名扩展 IP 访问列表配置模式。、配置包过滤功能 (1)全局打开包过滤功能 命令解释全局配置模式firewall enable全局打开包过滤功能。firewall disable全局关闭包过滤功能。(2)配置默认动作(default action) 命令解释全局
25、配置模式firewall default permit设置默认动作为 permit。firewall default deny设置默认动作为 deny。(3)将 accessl-list 绑定到特定端口的特定方向命令解释物理接口配置模式ip access-group in|out no ip access-group in|out在端口的某个方向上应用一条 access-list;本命令的 no 操作为删除绑定在端口上的 access-list。1) access-list(extended) 命令 : access-list deny | permit icmp | any-source | host-source | any-destination | host-destination precedence tos access-list deny | permit igmp | any-source | host-source | any-destination | host-des
copyright@ 2008-2022 冰豆网网站版权所有
经营许可证编号:鄂ICP备2022015515号-1