ACL原理及配置实例
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
访问控制列表概述
访问控制列表(ACL)
读取第三层、第四层包头信息 根据预先定义好的规则对包进行过滤
IP报头
TCP报头
数据
源地址 目的地址
源端口 目的端口
访问控制列表利用这4个元素 定义的规则
7
访问控制列表的工作原理
访问控制列表在接口应用的方向
访问控制列表的处理过程
到达访问控制组接口的数据包
匹配
Y 第一条 Y
【技术原理】 IP ACL(IP访问控制列表或Hale Waihona Puke BaiduP访问列表)是实现对 流经路由器或交换机的数据包根据一定的规则进行 过滤,从而提高网络可管理性和安全性。
标准IP访问列表可以根据数据包的源IP地址定义规 则,进行数据包的过滤。
IP ACL基于接口进行规则的应用,分为:入栈应 用和出栈应用。
入栈应用是指由外部经该接口进行路由器的数据 包进行过滤。
! 拒绝来自172.16.2.0网段的流量通过
标准访问控制列表配置3-3
将ACL应用于接口 Router(config-if)# ip access-group access-list-
number {in |out} 在接口上取消ACL的应用 Router(config-if)# no ip access-group access-
list-number {in |out}
上次回顾:广域网接口配置 配置PPP协议 PPP协议的验证方式
本次内容(补充)
理解ACL的基本原理 会配置标准ACL 会配置扩展ACL 会配置ACL对网络进行控制 理解NAT 会配置NAPT
2
需求
信息 服务器
互联网用户 公网
员工上网
对外信息 服务器
需求1
作为公司网络管理员,当公司领导提出下列要求 时你该怎么办? ➢为了提高工作效率,不允许员工上班时间进行
拒绝 拒绝 Y
N
匹配 下一条
Y
允许 允许
拒绝 Y
丢弃
N
允许
匹配 Y 下一条
N
隐含的 拒绝
拒绝
目的接口
8
访问控制列表类型
标准访问控制列表 扩展访问控制列表 命名访问控制列表 定时访问控制列表
9
标准访问控制列表配置3-1
创建ACL
Router(config)#access-list access-list-number { permit | deny } source [ source-wildcard ]
R1(config)# access-list 1 deny 192.168.2.2 0.0.0.0 R1config)# access-list 1 permit 0.0.0.0 255.255.255.255 与 R1(config)# access-list 1 deny host 192.168.2.2 R1(config)# access-list 1 permit any 相同
步骤2 配置标准IP访问控制列表。
Router2(config)#access-list 1 permit 172.16.1.0 0.0.0.255
! 允许来自172.16.1.0网段的流量通过 Router2(config)#access-list 1 deny 172.16.2.0 0.0.0.255
允许192.168.1.0/24和主机192.168.2.2的流量通过
隐含的拒绝语句
Router(config)# access-list 1 deny 0.0.0.0 255.255.255.255
关键字
host any
11
Host any
Host 192.168.2.2=192.168.2.2 0.0.0.0 any=0.0.0.0 255.255.255.255
【实验拓扑】
【实验步骤】
步骤1:
Router1、 Router2 基本配置 IP地址等
步骤2:
路由表
步骤3:
访问控制列表 访问控制列表应用在接口
步骤4:
测试
配置静态路由
Router1(config)#ip route 172.16.4.0 255.255.255.0 serial 1/2 Router2(config)#ip route 172.16.1.0 255.255.255.0 serial 1/2 Router2(config)#ip route 172.16.2.0 255.255.255.0 serial 1/2 测试命令:show ip route。
出栈应用是指路由器从该接口向外转发数据时进 行数据包的过滤。
IP ACL的配置有两种方式:按照编号的访问列表 ,按照命名的访问列表。
标准IP访问列表编号范围是1~99、1300~1999, 扩展IP访问列表编号范围是100~199、 2000~2699。
【实现功能】 实现网段间互相访问的安全控制。 【实验设备】 RSR10路由器(两台)、V.35线缆(1条)、交 叉线(3条)
允许数据包通过 应用了访问控制
拒绝数据包通过
列表的接口
删除ACL
Router(config)# no access-list access-list-number
10
标准访问控制列表配置3-2
应用实例
Router(config)# access-list 1 permit 192.168.1.0 0.0.0.255 Router(config)# access-list 1 permit 192.168.2.2 0.0.0.0
QQ聊天、MSN聊天等,但需要保证正常的访 问Internet,以便查找资料了解客户及市场信 息等。 ➢公司有一台服务器对外提供有关本公司的信息 服务,允许公网用户访问,但为了内部网络的 安全,不允许公网用户访问除信息服务器之外 的任何内网节点。
需求2
访问控制列表(ACL)
➢ACL概述 ➢基本ACL配置 ➢扩展ACL配置
13
标准访问控制列表配置实例
实验 编号的标准IP访问列表。
【实验目的】 掌握路由器上编号的标准IP访问列表规则及配置。 【背景描述】 你是一个公司的网络管理员,公司的经理部、财务 部门和销售部门分属不同的3个网段,三部门之间 用路由器进行信息传递,为了安全起见,公司领导 要求销售部门不能对财务部门进行访问,但经理部 可以对财务部门进行访问。 PC1代表经理部的主机,PC2代表销售部门的主机 、PC3代表财务部门的主机。