1、访问控制列表的策略性非常强,并且牵涉到网络的整体规划,它的使用对于策略制定及网络规划的人员的技术素质要求比拟高。因此,是否采用ACL技术及在多大的程度上利用它,是管理效益与网络平安之间的一个权衡。访问控制列表Access Control List,ACL 是路由器和交换机接口的指令列表,用 来控制端口进出的数据包。ACL 适用于所有的被路由协议,如 IP、IPX、AppleTalk 等。这 表中包含了匹配关系、条件和查询语句,表只是一个框架构造,其目的是为了对某种访问 进展控制。 ACL 可以限制网络流量、提高网络性能;ACL 可以提供对通信流量的控制手段;ACL 是 提供网络平安访问的根本手
2、段;ACL 可以在路由器端口处决定哪种类型的通信流量被转发或 被阻塞。 目前有两种主要的 ACL:标准 ACL 和扩展 ACL。 标准的 ACL 使用 1 99 以及 13001999 之间的数字作为表号,扩展的 ACL 使用 100 199 以及 20002699 之间的数字作为表号。 标准 ACL 可以阻止来自某一网络的所有通信流量, 或者允许来自某一特定网络的所有通 信流量,或者拒绝某一协议簇比方 IP的所有通信流量。扩展 ACL 比标准 ACL 提供了更广泛的控制围。例如,网络管理员如果希望做到“允许 外来的 Web 通信流量通过,拒绝外来的 FTP 和 Telnet 等通信流量 ,那
3、么,他可以使用扩展 ACL 来到达目的,标准 ACL 不能控制这么准确。路由器工作在网络层,是信息出入的必经之路,能有效的防止外部用户对局域网的平安访问。同时可以限制网络流量,也可以限制局域网的用户或设备使用网络资源。因此,网络路由过滤对网络的平安具有举足轻重的作用。目前大局部的路由器都是通过访问控制列表技术来允许或拒绝报文通过。当路由器的访问控制列表的平安特性被充分利用时,路由器将变成一个有效的、稳定的、平安的、巩固的防御体系,既能抵御外部的攻击,又能限制部用户对外部的非法访问,在很大程度上提高了网络的平安性。因此,可以说访问控制列表是网络防御外来攻击的第一道关卡。本文以某企业真实拓扑图为例
4、,讨论如何利用路由器的访问控制列表技术提高网络的平安性。2访问控制列表(ACL)访问控制列表是应用在路由器接口的指令列表,这些指令列表用来告诉路由器哪些数据包可以接收,哪些数据包需要拒绝。至于数据包是被接收还是被拒绝,可以由类似于源地址、目的地址、端VI号、协议等特定指示条件来决定。通过灵活地增加访问控制列表,ACL可以当作一种网络控制的有力工具,用来过滤流入和流出路由器接口的数据包。选题的意义: 本次实验主要通过理解上述ACL的意义及功能, 通过自己配置ACL来实现对任意网段的数 据的阻塞和对任意网段的ping效劳进展阻塞, 以到达学会ACL根本配置, 理解ACL的功能及实 现为目的。访问控
5、制列表的作用:各种数据在其上快速通过, 今天的网络就好比一条复杂的高速公路 , 各种数据在其上快速通过, 为了正确的规划流量,保证网络的畅通,平安。 为了正确的规划流量,保证网络的畅通,平安。我们就要设一些禁行 标志、规定单行线等等, 标志、规定单行线等等,这就是网络上的 ACL 其实在网络上有很多种方法可以实现以上的作用, 其实在网络上有很多种方法可以实现以上的作用, 但是最简单易行的 还是访问控制列表。 还是访问控制列表。访问控制列表:就是用来在使用路由技术的网络里,识别和 过滤那些由某些网络发出的或者被发送出去到某些网络的 符合我们所规定条件的数据流量, 符合我们所规定条件的数据流量,以
6、决定这些数据流量是应 该转发还是应该丢弃的技术。 该转发还是应该丢弃的技术。由于 以上的定义我们可以看出,在路由器上实现 ACL 就是一种实现防火墙的手段。 ACL 的应用放置在路由器的接口上, 预先把建好的 ACL 放置在路由器的接口上,对接口上进方向或 者出方向的数据包进展过滤, 但是访问控制列表只能过滤经过路 者出方向的数据包进展过滤,路由器的数据包,路由器的数据包,不能过滤其本身产生的数据包。 不能过滤其本身产生的数据包。二、主要研究容 本次实验设计在cisco packet tracer 这款虚拟配置电脑平台的软件上操作的。要求用 1841 路由器 ,2950-24交换机,以及 6台
7、PC机,连接3个网络192.168.10.0/24,192.168.1.0/30,192.168.11.0/24;本次实验LAN_B只允许LAN_A的访问,拒绝其他网段的数据。ACL的配置可分为两个步骤:(1)在全局配置模式下,使用以下命令创立ACLRouter(config)#access-list access-list-number permit/deny test-conditions其中access-list-number 为ACL的序列号。人们使用较频繁的序列号是标准的IP ACL(1-99)和扩展的IPACL(100-199).注意,在路由器中,如果使用ACL的序列号进展配置,那
8、么列表不能插入或删除行动态编辑。如果列表要插入或删除一行,必须先去掉ACL,然后重新配置。(2)在接口模式下,使用access-group命令将第一步中创立的ACL应用到某一接口上。(3)Router(config-if)#ip access-group access-list-numberin/out其中,in和out参数可以控制接口中不同方向的数据包,ACL在一个接口可以进展双向控制即配置两条命令,一条in,一条out,但是在一个接口的一个方向上,只能有一个ACL控制。注意,把定义好的ACL应用在网络的什么地方,是能否实现原有的目的和有效地减少不必要的通信流量的关键。通常情况下标准的ACL
9、要尽量靠近目的端;扩展的ACL要尽量靠近源端。当然这不是绝对的,具体放在哪个位置,要根据具体的情况分析。三、方案设计小四号黑体,段前3磅,段后1磅,行间距20磅1)某企业真实拓扑图如下: 图1-12)IP地址规划:网络PC机或端口IP地址子网掩码1PC_A192.168.10.1/24255.255.255.0PC_B192.168.10.2/24PC_E192.168.10.3/242S0/0/0(Router0) 192.168.1.1/30255.255.255.252S0/0/0(Router1)192.168.1.2/30 3PC_C192.168.11.1/24PC_D192.16
10、8.11.2/24PC_F192.168.11.3/24 表1-13)关键技术及实现原理ACL信息点间通信和外网络的通信都是企业网络中必不可少的业务需 求,但是为了保证网的平安性,需要通过平安策略来保障非授权用户只 能访问特定的网络资源,从而到达对访问进展控制的目的。简而言之,ACL 访问控制列表可以过滤网络中的流量,控制访问的一种网络技术手段。 实际上,ACL 的本质就是用于描述一个 IP 数据包、以太网数据帧假设干特征的集 合。然后根据这些集合去匹配网络中的流量由大量数据包组成,同时根据策 略来“允许或者“制止。作用: ACL 可以限制网络流量、提高网络性能。ACL 提供对通信流量的控制手
11、段。ACL 是提供网络平安访问的根本手段。 ACL 可以在路由器端口处决定哪种类型的通信流量被转发或被阻塞。ACL 的分类基于 IP 标准 ACL 标准型 ACL 只能匹配源 IP 地址,在应用中有三种匹配的方式: 1、any,指任意地址 2、,指定某个 IP 网段 3、src_range,指定 IP 的地址围 配置命令: ip access-list standard /标准 ACL,name 为名字 permit | deny any permit | deny permit | deny src_range end-ip 扩展型 ACL 扩展型 ACL 可匹配多个条目,常用的工程有源、目
12、的 IP,源、目的端口号, 以及 ip 协议号种类等,可以用来满足绝大多数的应用。在一个条件中,这 些工程的前后顺序如下:协议号,源 ip 地址,源端口号,目的 ip 地址,目的端 口号。 配置命令: ip access-list extended permit | deny ip | icmp | tcp | udp any | network | src_range src_port any | network | src_range dst_port2)Eigrp EIGRP:Enhanced Interior Gateway Routing Protocol 即 增强部网关路由线路协议
13、。也翻译为 加强型部网关路由协议。 EIGRP是Cisco公司的私有协议。Cisco公司是该协议的创造者和唯一具备该协议解释和修改权的厂商。 EIGRP结合了链路状态和距离矢量型路由选择协议的Cisco专用协议,采用弥散修正算法DUAL来实现快速收敛,可以不发送定期的路由更新信息以减少带宽的占用,支持Appletalk、IP、Novell和NetWare等多种网络层协议。是Cisco的私有路由协议,它综合了距离矢量和链路状态2者的优点,它的特点包括:1.快速收敛链路状态包Link-State Packet,LSP的转发是不依靠路由计算的,所以大型网络可以较为快速的进展收敛.它只宣告链路和链路状
14、态,而不宣告路由,所以即使链路发生了变化,不会引起该链路的路由被宣告.但是链路状态路由协议使用的是Dijkstra算法,该算法比拟复杂,并且和其他路由协议单独计算路由相比拟占CPU和存资源,EIGRP采用弥散更新算法diffusingputations ,通过多个路由器并行的进展路由计算,这样就可以在无环路产生的情况下快速的收敛. 2.减少带宽占用EIGRP不作周期性的更新,它只在路由的路径和速度发生变化以后做局部更新.当路径信息改变以后,DUAL只发送那条路由信息改变了的更新,而不是发送整个路由表.和更新传输到一个区域的所有路由器上的链路状态路由协议相比,DUAL只发送更新给需要该更新信息的
15、路由器。在WAN低速链路上,EIGRP可能会占用大量带宽,默认只占用链路带宽50%,之后发布的IOS允许使用命令ip bandwidth-percent eigrp来修改这一默认值. 3.支持多种网络层协议EIGRP通过使用“协议相关模块即protocol-dependentmodule),可以支持IPX,ApplleTalk,IP,IPv6和NovellNetware等协议. 4.无缝连接数据链路层协议和拓扑构造EIGRP不要求对OSI参考模型的层2协议做特别的配置.不像OSPF,OSPF对不同的层2协议要做不同配置,比方以太网和帧中继,EIGRP能够有效的工作在LAN和WAN中,而且EIG
16、RP保证网络及不会产生环路loop-free;而且配置起来很简单;支持VLSM;它使用组播和单播,不使用播送,这样做节约了带宽;它使用和IGRP一样的度的算法,但是是32位长的;它可以做非等价的路径的负载平衡.四、主要设备命令配置1.配置使得各PC机之间可以相互通信routerA配置文档:RouterenableRouter#configure terminalEnter configuration mands, one per line. End with TL/Z.Router(config)#hostname RouterARouterA(config)#int s0/0/0Router
17、A(config-if)#ip address 192.168.1.1 255.255.255.252RouterA(config-if)#clock rate 64000RouterA(config-if)#no shutdownRouterA(config-if)#exitRouterA(config)#int f0/0RouterA(config-if)#ip address 192.168.10.254 255.255.255.0RouterA#config tRouterA(config)#router eigrp 1RouterA(config-router)#network 19
18、2.168.1.0RouterA(config-router)#network 192.168.10.0RouterA(config-router)#no autoRouterA(config-router)#no auto-summary RouterA(config-router)#exitrouterB的配置文档:Router(config)#hostname RouterBRouterB(config)#int s0/0/0RouterB(config-if)#ip address 192.168.1.2 255.255.255.252RouterB(config-if)#no shu
19、tdown%LINK-5-CHANGED: Interface Serial0/0/0, changed state to upRouterB(config-if)#%LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0/0/0, changed state to upRouterB(config-if)#exitRouterB(config)#int f0/0RouterB(config-if)#ip address 192.168.11.254 255.255.255.0RouterB#config tRouterB(config-r
20、outer)#network 192.168.1.0RouterB(config-router)#%DUAL-5-NBRCHANGE: IP-EIGRP 1: Neighbor 192.168.1.1 (Serial0/0/0) is up: new adjacencyRouterB(config-router)#network 192.168.11.0RouterB(config-router)#no autoRouterB(config-router)#no auto-summary RouterB(config-router)#exitRouterB(config)#exit先查看Rou
21、terA和RouterB上的路由表:图1-2图1-3PC_A访问PC_F以及192.168.1.2图1-4192.168.1.0的网络访问LAN_B图1-53)本次实验LAN_B只允许LAN_A的访问,拒绝其他网段的数据。Routerconfig-if#access-list 1 permit 192.168.10.0 0.0.0.255分析我们应该将此访问列表放置在哪个网络的位置能最好的实现此功能设想一:将定义的ACL放置在RouterA的f0/0接口时,RouterAenRouterA(config)#access-list 1 permit 192.168.10.1 0.0.0.255R
22、outerA(config)#exitRouterA#%SYS-5-CONFIG_I: Configured from console by consoleRouterA(config-if)#ip access-group 1 inRouterA#show accRouterA#show access-lists Standard IP access list 1permit 192.168.10.0 0.0.0.255设想二:将定义的ACL放置在RouterA的s0/0/0接口时;RouterA(config-if)#ip access-group 1 out设想三:将定义的ACL放置在R
23、outerB的s0/0/0接口时;RouterB(config)#accRouterB(config)#access-list 1 permit 192.168.10.0 RouterB(config-if)#ip accRouterB(config-if)#ip access-group 1 inRouterB#show Neighbor 192.168.1.1 (Serial0/0/0) is down: holding time expiredaccRouterB#show access-lists permit host 192.168.10.0RouterB#show ip rout
24、eCodes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area * - candidate default, U - per-user static route, o - ODR P - periodic downloaded static routeGateway of last resort is not set 192.168.1.0/30 is subn
copyright@ 2008-2022 冰豆网网站版权所有
经营许可证编号:鄂ICP备2022015515号-1