锐捷实训12-1 标准IP访问控制列表的配置

实训11-1 标准IP访问控制列表的配置
【实训目的】
（1）理解IP访问控制列表的原理及功能；
（2）掌握编号的标准IP访问控制列表的配置方法；
【实训技术原理】
IP ACL（IP访问控制列表或IP访问列表）是实现对流经路由器或交换机的数据包根据一定的规则进行过滤，从而提高网络可管理性和安全性；
IP ACL分为两种：标准IP访问列表和扩展IP访问列表，编号范围分别为1～99、1300～1999，100～199、2000～2699；
标准IP访问列表可以根据数据包的源IP地址定义规则，进行数据包的过滤；
扩展IP访问列表可以根据数据包的源IP、目的IP、源端口、目的端口、协议来定义规则，进行数据包的过滤；
IP ACL 基于接口进行规则的应用，分为：入栈应用和出栈应用；
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
1．什么是访问控制列表
ACLs 的全称为接入控制列表(Access Control Lists)，也称为访问列表（Access Lists），俗称为防火墙，在有的文档中还称之为包过滤。

ACLs 通过定义一些规则对网络设备接口上的数据报文进行控制：允许通过或丢弃。

按照其使用的范围，可以分为安全ACLs 和QoS ACLs。

对数据流进行过滤可以限制网络中的通讯数据的类型，限制网络的使用者或使用的设备。

安全ACLs 在数据流通过网络设备时对其进行分类过滤，并对从指定接口输入或者输出的数据流进行检查，根据匹配条件(Conditions)决定是允许其通过(Permit)还是丢弃(Deny)。

总的来说，安全ACLs 用于控制哪些数据流允许从网络设备通过，Qos 策略对这些数据流进行优先级分类和处理。

ACLs 由一系列的表项组成，我们称之为接入控制列表表项(Access Control Entry：ACE)。

每个接入控制列表表项都申明了满足该表项的匹配条件及行为。

访问列表规则可以针对数据流的源地址、目标地址、上层协议，时间区域等信息。

访问控制列表语句的执行必须严格按照表中语句的顺序，从第一条语句开始比较，一旦一个数据包的报头跟表中的某个条件判断语句相匹配，那么后面的语句就将被忽略，不再进行检查。

2．基本IP访问控制列表
创建访问列表时，定义的规则将应用于设备上所有的分组报文，设备通过判断分组是否与规则匹配来决定是否转发或阻断分组报文。

基本访问列表包括标准访问列表和扩展访问列表，访问列表中定义的典型规则主要有以下：
●源地址
●目标地址
●上层协议
●时间区域
标准IP 访问列表（编号为1 - 99，1300 - 1999）主要是根据源IP 地址来进行转发或阻断分组的，扩展IP 访问列表（编号为100 –199，2000 - 2699）使用以上四种组合来进行转发或阻断分组的。

其他类型的访问列表根据相关特征来转发或阻断分组的。

对于单一的访问列表来说，可以使用多条独立的访问列表语句来定义多种规则，其中所有的语句引用同一个编号或名字，以便将这些语句绑定到同一个访问列表。

不过，使用的语句越多，阅读和理解访问列表就越来越困难。

1）隐含“拒绝所有数据流”规则语句
在每个访问列表的末尾隐含着一条“拒绝所有数据流”规则语句，因此如果分组与任何规则都不匹配，将被拒绝。

如下例：
access-list 1 permit host 192.168.4.12
此列表只允许源主机为192.168.4.12 的报文通过，其它主机都将被拒绝。

因为这条访问列表最后包含了一条规则语句：access-list 1 deny any。

又如：
Access-list 1 deny host 192.168.4.12
如果列表只包含以上这一条语句，则任何主机报文通过该端口时都将被拒绝。

2）输入规则语句的顺序
加入的每条规则都被追加到访问列表的最后，语句被创建以后，就无法单独
删除它，而只能删除整个访问列表。

所以访问列表语句的次序非常重要。

设备在决定转发还是阻断分组时，设备按语句创建的次序将分组与语句进行比较，找到匹配的语句后，便不再检查其他规则语句。

假设创建了一条语句，它允许所有的数据流通过，则后面的语句将不被检查。

如下例：
access-list 101 deny ip any any
access-list 101 permit tcp 192.168.12.0 0.0.0.255 eq telnet any
由于第一条规则语句拒绝了所有的IP 报文，所以192.168.12.0/24 网络的主机Telnet 报文将被拒绝，因为设备在检查到报文和第一条规则语句匹配，便不再检查后面的规则语句。

3）配置IP地址访问控制列表
基本访问列表的配置包括以下两步：
●定义基本访问列表
●将基本访问列表应用于特定接口
要配置基本访问列表，有以下两种方式：
方式一在全局配置模式下执行以下命令：
方式二在ACL 配置模式下执行以下命令：
4）显示IP 列表的配置
要监控访问列表，请在特权用户模式执行以下命令：
Ruijie# show access-lists [ id | name ] //此命令可以查看IP 访问列表
【实现功能】
实现网段间互相访问的安全控制；
【实训背景描述】
你是公司的网络管理员，公司的经理部、财务部门和销售部分别属于不同的3个网段，三部门之间用路由器进行信息传递，为了安全起见，公司领导要求销售部门不能对财务部进行访问，但经理部可以对财务部进行访问；
PC1代表经理部的主机、PC2代表销售部的主机、PC3代表财务部的主机【实训设备】
R1700（2台），PC（2台）、直连线（3条）、V.35线（1条）
【实训内容】
（1）按照拓扑进行网络连接
（2）配置路由器接口IP地址
（3）配置路由器静态路由
（4）配置编号的IP标准访问控制列表
（5）将访问列表应用到接口
【实训拓扑图】
【实训步骤】
（1）配置路由器R1、R2接口IP地址；
（2）配置R1、R2静态路由；
R1(config)#ip route 172.16.4.0 255.255.255.0 172.16.3.2
R2(config)#ip route 172.16.1.0 255.255.255.0 172.16.3.1
R2(config)#ip route 172.16.2.0 255.255.255.0 172.16.3.1
用show ip route查看路由表，此时有直连路由，如R1
R1#show ip route
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, * - candidate default
U - per-user static route
Gateway of last resort is not set
172.16.0.0/24 is subnetted, 1 subnets
C 172.16.2.0 is directly connected, FastEthernet1/1
172.16.0.0/24 is subnetted, 1 subnets
C 172.16.1.0 is directly connected, FastEthernet1/0
172.16.0.0/24 is subnetted, 1 subnets
C 172.16.3.0 is directly connected, serial1/2
S 172.16.4.0 [1/0] via 172.16.3.2
（3）R2配置编号的IP标准访问控制列表
R2(config)#access-list 1 deny 172.16.2.0 0.0.0.255 ！拒绝来自172.16.2.0网段的流量通过
R2(config)#access-list 1 permit 172.16.1.0 0.0.0.255 ！允许来自172.16.1.0网段的流量通过
验证测试
R2#show access-lists 1
Standard IP access list 1
1 deny 172.16.2.0 0.0.0.255 (0 matches)
1 permit 172.16.1.0 0.0.0.255 (0 matches)
（3）将访问列表应用到接口
R2(config)#interface fastethernet 1/0
R2(config-if)#ip access-group 1 out
【实训测试】
（1）用销售部主机172.16.2.8ping财务部主机172.16.4.2，不能ping通；
（2）用经理部主机172.16.1.2ping财务部主机172.16.4.2，能ping通；【实训问题】
（1）访问控制列表能否应用到其他接口，结果会怎样？
（2）为什么标准访问控制列表要尽量靠近目的地址的接口？
（3）访问控制列表应用到接口时，in和out方向有什么不同？
【实训注意事项】
（1）注意在访问控制列表的网络掩码是反掩码；
（2）标准控制列表要应用在尽量靠近目的地址的接口；。