ACL原理及配置实例优质PPT.ppt

1、公司有一台服务器对外提供有关本公司的信息公司有一台服务器对外提供有关本公司的信息服务，允许公网用户访问，但为了内部网络的服务，允许公网用户访问，但为了内部网络的安全，安全，不允许公网用户访问除信息服务器之外不允许公网用户访问除信息服务器之外的任何内网节点的任何内网节点。需求2访问控制列表（ACL）ACL概述基本ACL配置扩展ACL配置访问控制列表概述访问控制列表概述访问控制列表（访问控制列表（ACL）读取第三层、第四层包头信息读取第三层、第四层包头信息根据预先定义好的规则对包进行过滤根据预先定义好的规则对包进行过滤IP报头报头TCP报头报头数据数据源地址源地址目的地址目的地址源源端口端口目的端

2、口目的端口访问控制列表利用这访问控制列表利用这4个元素个元素定义的规则定义的规则7访问控制列表的工作原理访问控制列表的工作原理访问控制列表在接口应用的方向访问控制列表在接口应用的方向访问控制列表的处理过程访问控制列表的处理过程拒绝拒绝允许允许允许允许允许允许到达访问控制组接口的数据包到达访问控制组接口的数据包匹配匹配第一条第一条目的接口目的接口隐含的隐含的拒绝拒绝丢弃丢弃丢弃丢弃Y YY YY YY YY YY YN NN NN N匹配匹配下一条下一条拒绝拒绝拒绝拒绝拒绝拒绝匹配匹配下一条下一条8访问控制列表类型访问控制列表类型标准访问控制列表标准访问控制列表扩展访问控制列表扩展访问控制列表命

3、名访问控制列表命名访问控制列表定时访问控制列表定时访问控制列表9标准访问控制列表配置标准访问控制列表配置3-1创建创建ACLRouter（config）#access-listaccess-list-numberpermit|denysource source-wildcard删除删除ACLRouter（config）#noaccess-listaccess-list-number允许数据包通过允许数据包通过应用了访问控制应用了访问控制列表的接口列表的接口拒绝数据包通过拒绝数据包通过10标准访问控制列表配置标准访问控制列表配置3-2应用实例应用实例Router（config）#access-l

4、ist1permit192.168.1.00.0.0.255Router（config）#access-list1permit192.168.2.20.0.0.0允许允许192.168.1.0/24和主机和主机192.168.2.2的流量通过的流量通过隐含的拒绝语句隐含的拒绝语句Router（config）#access-list1deny0.0.0.0255.255.255.255关键字关键字hostany11HostanyHost192.168.2.2=192.168.2.20.0.0.0any=0.0.0.0255.255.255.255R1（config）#access-list1de

5、ny192.168.2.20.0.0.0R1config）#access-list1permit0.0.0.0255.255.255.255与与R1（config）#access-list1denyhost192.168.2.2R1（config）#access-list1permitany相同相同标准访问控制列表配置标准访问控制列表配置3-3将将ACL应用于接口应用于接口Router（config-if）#ipaccess-groupaccess-list-numberin|out在接口上取消在接口上取消ACL的应用的应用Router（config-if）#noipaccess-groupa

6、ccess-list-number in|out13标准访问控制列表配置实例标准访问控制列表配置实例标准访问控制列表配置实例标准访问控制列表配置实例实验实验编号的标准编号的标准IP访问列表。访问列表。【实验目的实验目的】掌握路由器上编号的标准掌握路由器上编号的标准IP访问列表规则及配置。访问列表规则及配置。【背景描述背景描述】你是一个公司的网络管理员，公司的经理部、财务你是一个公司的网络管理员，公司的经理部、财务部门和销售部门分属不同的部门和销售部门分属不同的3个网段，三部门之间个网段，三部门之间用路由器进行信息传递，为了安全起见，用路由器进行信息传递，为了安全起见，公司领导公司领导要求销售部

7、门不能对财务部门进行访问，但经理部要求销售部门不能对财务部门进行访问，但经理部可以对财务部门进行访问。可以对财务部门进行访问。PC1代表经理部的主机，代表经理部的主机，PC2代表销售部门的主机、代表销售部门的主机、PC3代表财务部门的主机。代表财务部门的主机。【技术原理技术原理】IPACL（IP访问控制列表或访问控制列表或IP访问列表）是实现对访问列表）是实现对流经路由器或交换机的数据包根据一定的规则进行流经路由器或交换机的数据包根据一定的规则进行过滤，从而提高网络可管理性和安全性。过滤，从而提高网络可管理性和安全性。标准标准IP访问列表可以根据数据包的源访问列表可以根据数据包的源IP地址定义

8、规地址定义规则，进行数据包的过滤。则，进行数据包的过滤。IPACL基于接口进行规则的应用，分为：基于接口进行规则的应用，分为：入栈应入栈应用和出栈应用。用和出栈应用。入栈应用是指由外部经该接口进行路由器的数据入栈应用是指由外部经该接口进行路由器的数据包进行过滤。包进行过滤。出栈应用是指路由器从该接口向外转发数据时进出栈应用是指路由器从该接口向外转发数据时进行数据包的过滤。行数据包的过滤。IPACL的配置有两种方式：按照编号的访问列表，的配置有两种方式：按照编号的访问列表，按照命名的访问列表。按照命名的访问列表。标准标准IP访问列表编号范围是访问列表编号范围是199、13001999，扩展扩展I

9、P访问列表编号范围是访问列表编号范围是100199、20002699。【实现功能实现功能】实现网段间互相访问的安全控制。实现网段间互相访问的安全控制。【实验设备实验设备】RSR10路由器（两台）、路由器（两台）、V.35线缆（线缆（1条）、交条）、交叉线（叉线（3条）条）【实验拓扑实验拓扑】【实验步骤实验步骤】步骤步骤1：Router1、Router2基本配置基本配置IP地址等地址等步骤步骤2：路由表路由表步骤步骤3：访问控制列表访问控制列表访问控制列表应用在接口访问控制列表应用在接口步骤步骤4：测试测试配置静态路由配置静态路由Router1（config）#iproute172.16.4.0

10、255.255.255.0serial1/2Router2（config）#iproute172.16.1.0255.255.255.0serial1/2Router2（config）#iproute172.16.2.0255.255.255.0serial1/2测试命令：测试命令：showiproute。步骤步骤2配置标准配置标准IP访问控制列表。访问控制列表。Router2（config）#access-list1permit172.16.1.00.0.0.255!允许来自允许来自172.16.1.0网段的流量通过网段的流量通过Router2（config）#access-list1den

11、y172.16.2.00.0.0.255!拒绝来自拒绝来自172.16.2.0网段的流量通过网段的流量通过验证测试：验证测试：Router2#showaccess-lists1StandardIPaccesslist1includes2items:deny172.16.2.0,wildcardbits0.0.0.255permit172.16.1.0,wildcardbits0.0.0.255步骤步骤3把访问控制列表在接口下应用。把访问控制列表在接口下应用。Router2（config）#interfacefastEthernet1/0Router2（config-if）#ipaccess-g

12、roup1out!在接口下访问控制列表出栈流量调用在接口下访问控制列表出栈流量调用验证测试：Router2#showipinterfacefastEthernet1/0步骤步骤4.验证测试。验证测试。ping（172.16.2.0网段的主机不能网段的主机不能ping通通172.16.4.0网段的主机；网段的主机；172.16.1.0网段的主机能网段的主机能ping通通172.16.4.0网段的主机）。网段的主机）。【注意事项注意事项】1、注意在访问控制列表的网络掩码是反掩码。、注意在访问控制列表的网络掩码是反掩码。2、标准控制列表要应用在尽量靠近目的地址的、标准控制列表要应用在尽量靠近目的地址

13、的接口。接口。【参考配置参考配置】Router1#showrunning-config!查看路由器查看路由器1的全部配置的全部配置扩展访问控制列表配置扩展访问控制列表配置2-1创建创建ACLRouter（config）#access-listaccess-list-number permit|deny protocol source source-wildcard destination destination-wildcard operator operan 删除删除ACLRouter（config）#noaccess-listaccess-list-number将将ACL应用于接口应用于接

14、口Router（config-if）#ipaccess-groupaccess-list-numberin|out在接口上取消在接口上取消ACL的应用的应用Router（config-if）#noipaccess-groupaccess-list-numberin|out27扩展访问控制列表配置扩展访问控制列表配置2-2应用实例应用实例1Router（config）#access-list101permitip192.168.1.00.0.0.255192.168.2.00.0.0.255Router（config）#access-list101denyipanyany应用实例应用实例2Rou

15、ter（config）#access-list101denytcp192.168.1.00.0.0.255host192.168.2.2eq21Router（config）#access-list101permitipanyany应用实例应用实例3Router（config）#access-list101denyicmp192.168.1.00.0.0.255host192.168.2.2echoRouter（config）#access-list101permitipanyany28扩展扩展扩展扩展ACLACL的编号为的编号为的编号为的编号为100199100199，扩展，扩展，扩展，扩展ACLACL增强了标准增强了标准增强了标准增强了标准ACLACL的功能的功能的功能的功能增强增强增强增强ACLACL可以基于下列参数进行网络传输的过滤可以基于下列参数进行网络传输的过滤可以基于下列参数进行网络传输的过滤可以基于下列参