ACL原理及配置实例优质PPT.ppt
《ACL原理及配置实例优质PPT.ppt》由会员分享,可在线阅读,更多相关《ACL原理及配置实例优质PPT.ppt(53页珍藏版)》请在冰点文库上搜索。
PC1代表经理部的主机,PC2代表销售部门的主机、PC3代表财务部门的主机。
【技术原理】IPACL(IP访问控制列表或IP访问列表)是实现对流经路由器或交换机的数据包根据一定的规则进行过滤,从而提高网络可管理性和安全性。
标准IP访问列表可以根据数据包的源IP地址定义规则,进行数据包的过滤。
IPACL基于接口进行规则的应用,分为:
入栈应用和出栈应用。
入栈应用是指由外部经该接口进行路由器的数据包进行过滤。
出栈应用是指路由器从该接口向外转发数据时进行数据包的过滤。
IPACL的配置有两种方式:
按照编号的访问列表,按照命名的访问列表。
标准IP访问列表编号范围是199、13001999,扩展IP访问列表编号范围是100199、20002699。
【实现功能】实现网段间互相访问的安全控制。
【实验设备】RSR10路由器(两台)、V.35线缆(1条)、交叉线(3条),【实验拓扑】,【实验步骤】,步骤1:
Router1、Router2基本配置IP地址等步骤2:
路由表步骤3:
访问控制列表访问控制列表应用在接口步骤4:
测试,配置静态路由Router1(config)#iproute172.16.4.0255.255.255.0serial1/2Router2(config)#iproute172.16.1.0255.255.255.0serial1/2Router2(config)#iproute172.16.2.0255.255.255.0serial1/2测试命令:
showiproute。
步骤2配置标准IP访问控制列表。
Router2(config)#access-list1permit172.16.1.00.0.0.255!
允许来自172.16.1.0网段的流量通过Router2(config)#access-list1deny172.16.2.00.0.0.255!
拒绝来自172.16.2.0网段的流量通过验证测试:
Router2#showaccess-lists1StandardIPaccesslist1includes2items:
deny172.16.2.0,wildcardbits0.0.0.255permit172.16.1.0,wildcardbits0.0.0.255,步骤3把访问控制列表在接口下应用。
Router2(config)#interfacefastEthernet1/0Router2(config-if)#ipaccess-group1out!
在接口下访问控制列表出栈流量调用,验证测试:
Router2#showipinterfacefastEthernet1/0,步骤4.验证测试。
ping(172.16.2.0网段的主机不能ping通172.16.4.0网段的主机;
172.16.1.0网段的主机能ping通172.16.4.0网段的主机)。
【注意事项】1、注意在访问控制列表的网络掩码是反掩码。
2、标准控制列表要应用在尽量靠近目的地址的接口。
【参考配置】,Router1#showrunning-config!
查看路由器1的全部配置,扩展访问控制列表配置2-1,创建ACLRouter(config)#access-listaccess-list-numberpermit|denyprotocolsourcesource-wildcarddestinationdestination-wildcardoperatoroperan删除ACLRouter(config)#noaccess-listaccess-list-number将ACL应用于接口Router(config-if)#ipaccess-groupaccess-list-numberin|out在接口上取消ACL的应用Router(config-if)#noipaccess-groupaccess-list-numberin|out,27,扩展访问控制列表配置2-2,应用实例1Router(config)#access-list101permitip192.168.1.00.0.0.255192.168.2.00.0.0.255Router(config)#access-list101denyipanyany应用实例2Router(config)#access-list101denytcp192.168.1.00.0.0.255host192.168.2.2eq21Router(config)#access-list101permitipanyany应用实例3Router(config)#access-list101denyicmp192.168.1.00.0.0.255host192.168.2.2echoRouter(config)#access-list101permitipanyany,28,扩展ACL的编号为100199,扩展ACL增强了标准ACL的功能增强ACL可以基于下列参数进行网络传输的过滤目的地址IP协议可以使用协议的名字来设定检测的网络协议或路由协议,例如:
ICMP、TCP和UDP等等TCP/IP协议族中的上层协议可以使用名称来表示上层协议,例如:
“ftp”或“www”也可以使用操作符eq、gt、lt和neq(equalto,greaterthan,lessthan和notequalto)来处理部分协议例如:
希望允许除了http之外的所有通讯,其语句是permittcpanyanyneq80,请复习TCP和UDP的端口号也可以使用名称来代替端口号,例如:
使用telnet来代替端口号23,端口号,放置扩展ACL的正确位置,在下图中,需要设定网络221.23.123.0中的所有节点不能访问地址为198.150.13.34服务器在哪个路由器的哪个接口上放置ACL?
在RouterC的E0接口上放置这将防止221.23.123.0中的所有机器访问198.150.13.34,但是他们可以继续访问Internet,由于扩展ACL可以控制目的地地址,所以应该放置在尽量接近数据发送源的路由器上。
减少网络资源的浪费。
放置扩展ACL的正确位置,Router-C(config)#access-list100denyip221.23.123.00.0.0.255198.150.13.340.0.0.0Router-C(config)#access-list100permitipanyanyRouter-C(config)#inte0Router-C(config-if)#ipaccess-group100in,使用ACL,配置练习,PC1不能对Server0进行WWW访问,扩展访问控制列表例,如上图,网络221.23.123.0中部门经理使用的IP地址为221.23.123.1,部门经理可以访问内网server及与内网结点通信,并访问Internet,员工不能访问server,但可以和内网其他节点通信,只允许员工访问Internet的WWW的服务和收发邮件。
答案Access-list100permitiphost221.23.123.1anyAccess-listdenyip221.23.123.00.0.255host198.150.13.34Access-listpermitip221.23.123.00.0.0.255198.150.13.00.0.0.255Access-listpermittcp221.23.123.00.0.0.255anyeqwww(或80)Access-listpermittcp221.23.123.00.0.0.255anyeqpop3(或110)Access-listpermittcp221.23.123.00.0.0.255anyeqsmtp(或25),扩展访问控制列表例,扩展访问控制列表例,如上图,允许serverping221.23.123.0网络内的节点,但是不允许该网络内节点pingserver。
允许其他所有访问。
答案:
access-list100permiticmp221.23.123.00.0.0.255host192.150.13.34echo-replyaccess-list100denyicmp221.23.123.00.0.0.255host192.150.13.34echoAccess-list100permitipanyany,命名访问控制列表配置5-1,创建ACLRouter(config)#ipaccess-liststandard|extendedaccess-list-name配置标准命名ACLRouter(config-std-nacl)#Sequence-Numberpermit|denysourcesource-wildcard配置扩展命名ACLRouter(config-ext-nacl)#Sequence-Numberpermit|denyprotocolsourcesource-wildcarddestinationdestination-wildcardoperatoroperan,标准命名ACL,扩展命名ACL,Sequence-Number决定ACL语句在ACL列表中的位置,38,命名访问控制列表配置5-2,标准命名ACL应用实例,查看ACL配置信息Router#showaccess-listsStandardIPaccesslistcisco10permit192.168.1.120denyany,Router(config)#ipaccess-liststandardciscoRouter(config-std-nacl)#permithost192.168.1.1Router(config-std-nacl)#denyany允许来自主机192.168.1.1/24的流量通过,更改ACL,又允许来自主机192.168.2.1/24的流量通过Router(config)#ipaccess-liststandardciscoRouter(config-std-nacl)#15permithost192.168.2.1,Router#showaccess-listsStandardIPaccesslistcisco10permit192.168.1.115permit192.168.2.120denyany,添加序列号为15的ACL语句,ACL语句添加到了指定的ACL列表位置,39,命名访问控制列表配置5-3,扩展命名ACL应用实例Router(config)#ipaccess-listextendedciscoRouter(config-ext-nacl)#denytcp192.168.1.00.0.0.255host192.168.2.2eq21Router(config-ext-nacl)#permitipanyany,40,命名访问控制列表配置5-4,删除整组ACLRouter(config)#noipaccess-liststandard|extendedaccess-list-name删除组中单一ACL语句noSequence-NumbernoACL语句,创建ACLRouter(config)#ipaccess-liststandardciscoRouter(config-std-nacl)#permithost192.168.1.1Router(config-std-nacl)#endRouter#showaccess-listsStandardIPaccesslistcisco10permit192.168.1.1删除组中单一ACL语句Router(config-std-nacl)#no10或Router(config-std-nacl)#nopermithost192.168.1.1,41,命名访问控制列表配置5-5,将ACL应用于接口Router(config-if)#ipaccess-groupaccess-list-namein|out在接口上取消ACL的应用Router(config-if)#noipaccess-groupaccess-list-namein|out,42,命名访问控制列表配置实例,公司添加服务器,要求如下192.168.1.4192.168.1.7可以访问服务器192.168.1.0/24中除上述地址外都不能访问服务器其他公司网段都可以访问服务器公司人员调整,更改服务器访问权限不允许192.168.1.5和192.168.1.7主机访问服务器允许192.168.1.10主机访问服务器,43,定义时间范围,定义时间范围的名称Router(config)#time-rangetime-range-name指定该时间范围何时生效定义一个时间周期Router(config-time-range)#periodicdays-of-the-weekhh:
mmtodays-of-the-weekhh:
mm定义一个绝对时间Router(config-time-range)#absolutestarthh:
mmdaymonthyearendhh:
mmdaymonthyear,参数days-of-the-week的取值,44,定时访问控制列表配置2-1,扩展ACL中引入时间范围Router(config)#access-listaccess-list-numberpermit|denyprotocolsourcesource-wildcarddestinationdestination-wildcardoperatoroperantime-rangetime-range-name将ACL应用于接口Router(config-if)#ipaccess-groupaccess-list-numberin|out,45,定时访问控制列表配置2-2,应用实例1Router(config)#time-rangemytimeRouter(config-time-range)#periodicweekdays8:
30to17:
30Router(config-time-range)#exitRouter(config)#access-list101permitipanyanytime-rangemytimeRouter(config)#intf0/0Router(config-if)#ipaccess-group101in应用实例2Router(config)#time-rangemytimeRouter(config-time-range)#absolutestart8:
0010may2009end18:
0020may2009Router(config-time-range)#exitRouter(config)#access-list101permitipanyanytime-rangemytimeRouter(config)#intf0/0Router(config-if)#ipaccess-group101in,46,小结,请思考ACL的作用是什么?
ACL通过哪几个参数过滤数据包?
ACL分为几种?
47,案例:
访问控制列表的应用,公司安全方面考虑要求限定不同的部门能访问的服务器网络管理员可以访问所有服务器网络设备只允许网管区IP地址可以通过TELNET登录只有网管能使用远程桌面、TELNET、SSH等管理服务器所有部门之间不能互通,但可以和网管互通公司信息安全员可以访问服务器,不能访问Internet外网只能访问特定服务器的特定服务限制员工上网时间为工作日的8:
0018:
00,公司网络拓扑图,48,访问控制列表的应用2-2,案例实施网络拓扑图,F0/24,F0/24,F0/24,F0/23,F0/1,F0/1,F0/3,F0/2,SW2,SW3,SW1,R1,F0/1,F0/0,PC1,PC2,PC3,服务器,49,下次实验(综合实验),实验环境拓扑,INTERNET运营商,Rj,ISP,S3650,S1916-2,F0/23,F0/24,F0/22,F0/22,S1916-1,F0/23,F0/24,F0/10,F1/0,S1/2,S1/2,F1/0,VLAN10,VLAN20,VLAN10,VLAN30,FTPserver,实验要求,实验具体要求:
1、S1946-1划分两个VLAN,VLAN10、VLAN20,其中F0/1-5属于VLAN10,F0/6-10属于VLAN20。
2、S1916-2划分两个VLAN,VLAN10、VLAN30,其中F0/1-5属于VLAN10,F0/6-10属于VLAN30。
3、S2126G-1利用两条链路接入核心交换机,采用802.3ad提高链路带宽,提供冗余链路。
4、S3750和出口路由器Rj相连,采用SVI方式进行配置。
5、Rj路由器和电信端路由器利用V.35直连,采用PPP链路协议进行通讯。
实验要求,实验具体要求(序):
6、局域网内部三层交换机和路由器间利用RIPv2实现全网互通,路由器连外网配置缺省路由。
7、配置动态NAPT实现局域网访问互联网。
8、在全网配置安全策略1、VLAN10的主机可以访问VLAN20的主机,VLAN30的主机不可以访问VLAN20的主机。
2、VLAN30的主机不可以访问FTPServer,
升级会员 