1、第12章 ACL的基本配置第12章 ACL12.1 ACL理论指导ACL是一种对网络通信流量的控制手段。可以限制网络流量、提高网络性能。在路由器端口处决定哪种类型的通信流量被转发或被阻塞。ACL使用包过滤技术,在路由器上读取第三层及第四层包头中的信息如源地址、目的地址、源端口、目的端口等,根据预先定义好的规则对包进行过滤,从而达到访问控制的目的。ACL 是一系列 permit 或 deny 语句组成的顺序列表,应用于 IP 地址或上层协议。ACL 可以从数据提取以下信息,根据规则进行测试,然后决定是“允许”还是“拒绝”:源 IP 地址目的 IP 地址ICMP 消息类型TCP/UDP 源端口TC
2、P/UDP 目的端口当每个数据包经过接口时,都会与该接口上的 ACL 中的语句从上到下一行一行进行比对,如果数据包报头与某条 ACL 语句匹配,由匹配的语句决定是允许还是拒绝该数据包。如果数据包报头与 ACL 语句不匹配,那么将使用列表中的下一条语句测试数据包。直到抵达列表末尾。最后一条隐含的语句适用于不满足之前任何条件的所有数据包。并会发出“拒绝”指令。直接丢弃它们。最后这条语句通常称为“隐式 deny any 语句”或“拒绝所有流量”语句。由于该语句的存在,所以 ACL 中应该至少包含一条 permit 语句,否则 ACL 将阻止所有流量。3P 原则:每种协议 (per protocol)
3、、每个方向 (per direction)、每个接口 (per interface) 配置一个 ACL。在适当的位置放置 ACL 可以过滤掉不必要的流量,使网络更加高效。一般原则:尽可能把扩展acl 放置在距离要被拒绝的通信流量近的地方。标准ACL由于不能指定目的地址,所以它们应该尽可能放置在距离目的地最近的地方。当要删除ACL时,首先在接口上输入 no ip access-group 命令,然后输入全局命令 no access-list 删除整个 ACL。通配符掩码通配符掩码是一串二进制数字,它告诉路由器应该查看子网号的哪个部分。尽管通配符掩码与子网掩码没有任何功能上的联系,但它们确实具有相
4、似的作用。此掩码用于确定应该为地址匹配应用多少位 IP 源或目的地址。掩码中的数字 1 和 0 标识如何处理相应的 IP 地址位。通配符掩码位 0 匹配地址中对应位的值通配符掩码位 1 忽略地址中对应位的值标准IP ACL标准IP ACL 的序列号的范围是1 到99或 1300 到 1999 之间.标准IP ACL仅仅根据源 IP 地址允许或拒绝流量,其中反掩码用于控制网段范围.另外如果使用关键字host,反掩码即为0.0.0.0,可省略不写.并且要一记住IP ACL 末尾默认隐含的全部拒绝.标准IP ACL的格式为:Router(config)# access-list access-lis
5、t-number permit|deny host source-ip-addressinverse-mask接口配置模式下应用IP ACL:Router(config-if)#ip access-group access-list-number in|out参数说明:access-list-number:ACL 的编号。deny:匹配条件时拒绝访问。Permit:匹配条件时准许访问。Remark:在 IP 访问列表中添加备注,增强列表的可读性。source-ip-address:源IP。inverse-mask:通配符掩码。In:在数据进入路由器前检测数据。Out:在数据出路由器前检测数据。
6、例如:在图4-1 中禁止PC 1 访问路由器ASUQA: 图 4-1路由器ASUQA 配置如下:ASUQA#configure terminalEnter configuration commands, one per line. End with CNTL/Z.ASUQA(config)#access-list 1 deny 192.168.0.0 0.0.0.255ASUQA(config)#access-list 1 permit anyASUQA(config)#interface serial 0ASUQA(config-if)#ip access-group 1 inASUQA(c
7、onfig-if)#endASUQA#测试:AIKO#pingProtocol ip:Target IP address: 172.16.0.2Repeat count 5:Datagram size 100:Timeout in seconds 2:Extended commands n: ySource address or interface: 192.168.0.1Type of service 0:Set DF bit in IP header? no:Validate reply data? no:Data pattern 0xABCD:Loose, Strict, Record,
8、 Timestamp, Verbosenone:Sweep range of sizes n:Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 172.16.0.2, timeout is 2 seconds:Packet sent with a source address of 192.168.0.1.Success rate is 0 percent (0/5)AIKO#扩展IP ACL扩展IP ACL 的序列号的范围是100 到199.扩展 ACL 根据多种属性(例如,协议类型、源和 IP 地址、目的 IP
9、地址、源 TCP 或 UDP 端口、目的 TCP 或 UDP 端口)过滤 IP 数据包,并可依据协议类型信息(可选)进行更为精确的控制。扩展IP ACL的格式为:Router(config)# access-list access-list-number permit|deny protocol source inverse-mask operator port-number destination inverse-mask operator port-number established接口配置模式下应用IP ACL:Router(config-if)#ip access-group acc
10、ess-list-number in|out参数说明:protocol:用来指定协议类型,如IP、TCP、UDP、ICMP以及IGRP等inverse-mask:源和目的的通配符掩码operator :operand包括It,gt,eq,neq(分别是小于、大于、等于、不等于)和一个端口号port-number :端口号。例如:在图4-1 中对禁止PC 1 Telnet路由器ASUQA, 拒绝来自子网 192.168.0.0 的 FTP 流量进入子网 172.16.0.0,但允许所有其它流量路由器ASUQA 配置如下:ASUQA#configure terminalEnter configur
11、ation commands, one per line. End with CNTL/Z.ASUQA(config)#access-list 101 deny tcp 192.168.0.0 0.0.0.255 host 172.16.0.2 eq 23ASUQA(config)#access-list 101 deny tcp 192.168.0.0 0.0.0.255 host 202.100.199.1 eq 23ASUQA(config)#access-list 101 permit ip any any ASUQA(config)#interface serial 0ASUQA(c
12、onfig-if)#ip access-group 101 inASUQA(config-if)#end路由器AIKO 配置如下:ASUQA#configure terminalEnter configuration commands, one per line. End with CNTL/Z.AIKO (config)#access-list 102 deny tcp 192.168.0.0 0.0.0.255 172.16.0.0 0.0.0.3 eq 21AIKO (config)# access-list 102 deny tcp 192.168.0.0 0.0.0.255 172.
13、16.0.0 0.0.0.3 eq 20AIKO (config)#access-list 102 permit ip any any AIKO(config)#interface e 0AIKO (config-if)#ip access-group 102 inAIKO (config-if)#end命名IP ACL命名ACL 允许在标准ACL 和扩展ACL 中,使用字符串代替前面所使用的数字来表示ACL。命名 ACL 让人更容易理解其作用。命名 IP ACL 允许您删除指定 ACL 中的具体条目。您可以使用序列号将语句插入命名 ACL 中的任何位置。配置模式和命令语法与普通ACL略有不同
14、。标准命名ACL格式为:Router(config)#ip access-list standard nameRouter(config-std-nacl)# permit|deny host source-ip-addressinverse-mask接口配置模式下应用命名 ACL:Router(config-if)#ip access-group name in|out扩展命名ACL格式为:Router(config)#ip access-list extended nameRouter(config-ext-nacl)#permit|deny protocol source inverse
15、-mask operator port-number destination inverse-mask operator port-number established接口配置模式下应用命名 ACL:Router(config-if)#ip access-group name in|out参数说明:extended:用来指定该ACL为命名的扩展ACL。standard:用来指定该ACL为命名的扩展ACL例如:在图4-1 中禁止PC 1 访问路由器ASUQA:路由器ASUQA 配置如下:ASUQA#configure terminalEnter configuration commands, o
16、ne per line. End with CNTL/Z.ASUQA(config)#ip access-list jinzhipc1ASUQA(config-std-nacl)# deny 192.168.0.0 0.0.0.255ASUQA(config-std-nacl)# permit anyASUQA(config)#interface serial 0ASUQA(config-if)#ip access-group jinzhipc1 inASUQA(config-if)#endASUQA#例如:在图4-1 中对禁止PC 1 Telnet路由器ASUQA,.路由器ASUQA 配置如
17、下:ASUQA#configure terminalEnter configuration commands, one per line. End with CNTL/Z.ASUQA(config)#ip access-list extended dpc1tASUQA(config-ext-nacl)# deny tcp 192.168.0.0 0.0.0.255 host 172.16.0.2 eq 23ASUQA(config-ext-nacl)# deny tcp 192.168.0.0 0.0.0.255 host 202.100.199.1 eq 23ASUQA(config-ext
18、-nacl)# permit ip any any ASUQA(config)#interface serial 0ASUQA(config-if)#ip access-group dpc1t inASUQA(config-if)#end在接口上应用ACL使用 ip access-group 命令将其关联到接口: 语法格式:Router(config-if)#ip access-group access-list-number | access-list-name in | out参数说明:access-list-number:ACl的编号。access-list-name :ACL的名字。i
19、n :把ACl放在入口。Out:把ACl放在出口。例如:Router(config)#interface serial 0/0Router(config-if)#ip access-group dpc1t in在VTY上应用ACL在vty线路上使用ACL,过滤流量,使vty更加安全。只有编号访问列表可以应用到 VTY。 语法格式:Router(config-line)# access-class access-list-number in vrf-also | out参数说明:in :限制特定 Cisco 设备与访问列表中地址之间的传入连接。Out:限制特定 Cisco 设备与访问列表中地址之
20、间的传出连接。例如:router(config)#line vty 0 4router(config-line)#pass cisco router(config-line)#loginrouter(config-line)#access-class 11 in12.2 实验1:标准ACL1、实验目的通过本实验掌握标准ACL的配置。2、虚拟场景假设某公司有三个部门财务部,销售部,人事部,禁止销售部,人事部访问财务部的。禁止财务部上外网。3、实验拓扑 图4-2 实验1,实验2,实验3和实验4拓扑图4、实验步骤步骤1:在各路由器上配置IP地址,串口时钟和路由协议,保证直连链路的连通在财务部路由器R
21、2上按图4-2进行设置如下:ROUTERenableROUTER #config terminal Enter configuration commands, one per line. End with CNTL/Z.ROUTER(config)#hostname cwCW(config)#inter f0/0CW(config-if)#ip address 192.168.30.1 255.255.255.0CW(config-if)#no shutdown CW(config)#inter f0/1CW(config-if)#ip address 192.168.40.1 255.255
22、.255.0CW(config-if)#no shutdown CW(config-if)#inter s0/0CW(config-if)#ip address 172.16.0.6 255.255.255.30CW(config-if)#clock rate 64000CW(config-if)#no shutdown CW(config-if)#inter s0/1CW(config-if)#ip address 172.16.0.9 255.255.255.30CW(config-if)#clock rate 64000CW(config-if)#no shutdown CW(confi
23、g)#router ospf 1CW (config-router)#network 192.168.30.0 0.0.0.255 area 0CW (config-router)#network 192.168.40.0 0.0.0.255 area 0CW (config-router)# network 172.16.0.4 0.0.0.3 area 0CW (config-router)# network 172.16.0.8 0.0.0.3 area 0在人事部路由器上按图4-2进行设置如下:ROUTER(config)#hostname rshRSH(config)#inter f
24、0/0RSH(config-if)#ip address 192.168.50.1 255.255.255.0RSH(config-if)#no shutdown RSH(config)#inter f0/1RSH(config-if)#ip address 192.168.60.1 255.255.255.0RSH(config-if)#no shutdown RSH(config-if)#inter s0/0RSH(config-if)#ip address 172.16.0.10 255.255.255.30RSH(config-if)#clock rate 64000RSH(confi
25、g-if)#no shutdown RSH(config-if)#inter s0/1RSH(config-if)#ip address 172.16.0.2 255.255.255.30RSH(config-if)#no shutdown RSH(config)#router ospf 1RSH (config-router)#network 192.168.60.0 0.0.0.255 area 0RSH (config-router)#network 192.168.50.0 0.0.0.255 area 0RSH (config-router)# network 172.16.0.0
26、0.0.0.3 area 0RSH (config-router)# network 172.16.0.8 0.0.0.3 area 0在销售部路由器上按图4-2进行设置如下ROUTER(config)#hostname xshXSH(config)#inter f0/0XSH(config-if)#ip address 192.168.10.1 255.255.255.0XSH(config-if)#no shutdown XSH(config)#inter f0/1XSH(config-if)#ip address 192.168.20.1 255.255.255.0XSH(config-
27、if)#no shutdown XSH(config-if)#inter s0/0XSH(config-if)#ip address 172.16.0. 1 255.255.255.30XSH(config-if)#no shutdown XSH(config-if)#inter s0/1XSH(config-if)#ip address 172.16.0.5 255.255.255.30XSH(config-if)#no shutdown XSH(config-if)#inter s0/2XSH(config-if)#ip address 172.1.1.1 255.255.255.30XS
28、H(config-if)#no shutdown XSH(config)#router ospf 1XSH (config-router)#network 192.168.10.0 0.0.0.255 area 0XSH (config-router)#network 192.168.20.0 0.0.0.255 area 0XSH (config-router)# network 172.16.0.0 0.0.0.3 area 0XSH (config-router)# network 172.16.0.4 0.0.0.3 area 0XSH (config-router)# network
29、 172.1.1.0 0.0.0.3 area 0步骤2:在各个路由器上放置标准ACLCW(config)#access-list 2 deny 192.168.50.0 0.0.0.255CW(config)#access-list 2 deny 192.168.60.0 0.0.0.255CW(config)#access-list 2 permit anyCW(config)#access-list 1 deny 192.168.10.0 0.0.0.255CW(config)#access-list 1deny 192.168.60.0 0.0.0.255CW(config)#acce
30、ss-list 1 permit anyCW(config-if)#inter s0/0CW(config-if)#ip access-group 1 inCW(config-if)#inter s0/2CW(config-if)#ip access-group 2 inXSH(config)#access-list 1 deny 192.168.30.0 0.0.0.255XSH(config)#access-list 1deny 192.168.40.0 0.0.0.255XSH(config)#access-list 1 permit anyXSH(config-if)#inter s0
31、/2XSH(config-if)#ip access-group 1 out5、实验调试及注意事项在没有应用ACL前测试连通性:人事部,销售部的主机ping财务部的主机都会出现:PCping 192.168.40.2Pinging 192.168.40.2 with 32 bytes of data:Reply from 192.168.40.2: bytes=32 time=125ms TTL=126Reply from 192.168.40.2: bytes=32 time=79ms TTL=126Reply from 192.168.40.2: bytes=32 time=94ms TTL=126Reply from 192.168.40.2: bytes=32 time=93ms TTL=126Ping statist
copyright@ 2008-2022 冰豆网网站版权所有
经营许可证编号:鄂ICP备2022015515号-1
升级会员 