《ACL原理及配置实例.ppt》由会员分享,可在线阅读,更多相关《ACL原理及配置实例.ppt(53页珍藏版)》请在三一办公上搜索。
1、,上次回顾:广域网接口配置配置PPP协议PPP协议的验证方式,本次内容(补充),理解ACL的基本原理会配置标准ACL会配置扩展ACL会配置ACL对网络进行控制理解NAT会配置NAPT,2,需求,需求1,作为公司网络管理员,当公司领导提出下列要求时你该怎么办?为了提高工作效率,不允许员工上班时间进行QQ聊天、MSN聊天等,但需要保证正常的访问Internet,以便查找资料了解客户及市场信息等。公司有一台服务器对外提供有关本公司的信息服务,允许公网用户访问,但为了内部网络的安全,不允许公网用户访问除信息服务器之外的任何内网节点。,需求2,访问控制列表(ACL),ACL概述基本ACL配置扩展ACL配
2、置,访问控制列表概述,访问控制列表(ACL)读取第三层、第四层包头信息根据预先定义好的规则对包进行过滤,IP报头,TCP报头,数据,源地址目的地址,源端口目的端口,访问控制列表利用这4个元素定义的规则,7,访问控制列表的工作原理,访问控制列表在接口应用的方向访问控制列表的处理过程,8,访问控制列表类型,标准访问控制列表扩展访问控制列表命名访问控制列表定时访问控制列表,9,标准访问控制列表配置3-1,创建ACLRouter(config)#access-list access-list-number permit|deny source source-wildcard 删除ACLRouter(c
3、onfig)#no access-list access-list-number,允许数据包通过应用了访问控制列表的接口,拒绝数据包通过,10,标准访问控制列表配置3-2,应用实例Router(configRouter(config允许和主机的流量通过隐含的拒绝语句Router(config关键字hostany,11,Host any,Host 192.168.2.2=与R1(config)#access-list 1 permit any相同,标准访问控制列表配置3-3,将ACL应用于接口Router(config-if)#ip access-group access-list-number
4、 in|out在接口上取消ACL的应用Router(config-if)#no ip access-group access-list-number in|out,13,标准访问控制列表配置实例,实验 编号的标准IP访问列表。,【实验目的】掌握路由器上编号的标准IP访问列表规则及配置。【背景描述】你是一个公司的网络管理员,公司的经理部、财务部门和销售部门分属不同的3个网段,三部门之间用路由器进行信息传递,为了安全起见,公司领导要求销售部门不能对财务部门进行访问,但经理部可以对财务部门进行访问。PC1代表经理部的主机,PC2代表销售部门的主机、PC3代表财务部门的主机。,【技术原理】IP ACL
5、(IP访问控制列表或IP访问列表)是实现对流经路由器或交换机的数据包根据一定的规则进行过滤,从而提高网络可管理性和安全性。标准IP访问列表可以根据数据包的源IP地址定义规则,进行数据包的过滤。,IP ACL基于接口进行规则的应用,分为:入栈应用和出栈应用。入栈应用是指由外部经该接口进行路由器的数据包进行过滤。出栈应用是指路由器从该接口向外转发数据时进行数据包的过滤。IP ACL的配置有两种方式:按照编号的访问列表,按照命名的访问列表。标准IP访问列表编号范围是199、13001999,扩展IP访问列表编号范围是100199、20002699。,【实现功能】实现网段间互相访问的安全控制。【实验设
6、备】RSR10路由器(两台)、V.35线缆(1条)、交叉线(3条),【实验拓扑】,【实验步骤】,步骤1:Router1、Router2 基本配置 IP地址等步骤2:路由表步骤3:访问控制列表访问控制列表应用在接口步骤4:测试,配置静态路由Router1(config)#ip route 172.16.4.0 255.255.255.0 serial 1/2Router2(config)#ip route 172.16.1.0 255.255.255.0 serial 1/2Router2(config)#ip route 172.16.2.0 255.255.255.0 serial 1/2测
7、试命令:show ip route。,步骤2 配置标准IP访问控制列表。Router2(config)#access-list 1 permit 172.16.1.0 0.0.0.255!允许来自网段的流量通过Router2(config)#access-list 1 deny 172.16.2.0 0.0.0.255!拒绝来自网段的流量通过验证测试:,步骤3 把访问控制列表在接口下应用。Router2(config)#interface fastEthernet 1/0Router2(config-if)#ip access-group 1 out!在接口下访问控制列表出栈流量调用,验证测试
8、:,Router2#show ip interface fastEthernet 1/0,步骤4.验证测试。ping(网段的主机不能ping通网段的主机;网段的主机能ping通网段的主机)。【注意事项】1、注意在访问控制列表的网络掩码是反掩码。2、标准控制列表要应用在尽量靠近目的地址的接口。,【参考配置】,Router1#show running-config!查看路由器1的全部配置,扩展访问控制列表配置2-1,创建ACLRouter(config)#access-list access-list-number permit|deny protocol source source-wildca
9、rd destination destination-wildcard operator operan 删除ACLRouter(config)#no access-list access-list-number将ACL应用于接口Router(config-if)#ip access-group access-list-number in|out在接口上取消ACL的应用Router(config-if)#no ip access-group access-list-number in|out,27,扩展访问控制列表配置2-2,应用实例1Router(config)#access-list 101
10、 permit ipRouter(config)#access-list 101 deny ip any any应用实例2Router(config)#access-list 101 deny tcp 192.168.1.0 0.0.0.255 host 192.168.2.2 eq 21Router(config)#access-list 101 permit ip any any应用实例3Router(config)#access-list 101 deny icmp 192.168.1.0 0.0.0.255 host 192.168.2.2 echoRouter(config)#acc
11、ess-list 101 permit ip any any,28,扩展ACL的编号为100 199,扩展ACL增强了标准ACL的功能增强ACL可以基于下列参数进行网络传输的过滤目的地址IP协议可以使用协议的名字来设定检测的网络协议或路由协议,例如:ICMP、TCP和UDP等等TCP/IP协议族中的上层协议可以使用名称来表示上层协议,例如:“ftp”或“www”也可以使用操作符eq、gt、lt和neq(equal to,greater than,less than和not equal to)来处理部分协议例如:希望允许除了http之外的所有通讯,其语句是permit tcp any any n
12、eq 80,请复习TCP和UDP的端口号也可以使用名称来代替端口号,例如:使用telnet来代替端口号23,端口号,放置扩展ACL的正确位置,在下图中,需要设定网络中的所有节点不能访问地址为服务器在哪个路由器的哪个接口上放置ACL?在Router C的E0接口上放置这将防止中的所有机器访问,但是他们可以继续访问Internet,由于扩展ACL可以控制目的地地址,所以应该放置在尽量接近数据发送源的路由器上。减少网络资源的浪费。,放置扩展ACL的正确位置,Router-C(config)#access-list 100 deny ipRouter-C(config)#access-list 100
13、 permit ip any anyRouter-C(config)#int e0Router-C(config-if)#ip access-group 100 in,使用ACL,配置练习,PC1不能对Server0进行WWW访问,扩展访问控制列表例,如上图,网络中部门经理使用的IP地址为221.23.123.1,部门经理可以访问内网server及与内网结点通信,并访问Internet,员工不能访问server,但可以和内网其他节点通信,只允许员工访问Internet的WWW的服务和收发邮件。,答案Access-list 100 permit ip host 221.23.123.1 any
14、Access-list deny ip 221.23.123.0 0.0.255 host Access-list permit ipAccess-list permit tcp 221.23.123.0 0.0.0.255 any eq www(或80)Access-list permit tcp 221.23.123.0 0.0.0.255 any eq pop3(或110)Access-list permit tcp 221.23.123.0 0.0.0.255 any eq smtp(或25),扩展访问控制列表例,扩展访问控制列表例,如上图,允许网络内的节点,但是不允许该网络内节点pi
15、ngserver。允许其他所有访问。答案:access-list 100 permit icmp 221.23.123.0 0.0.0.255 host 192.150.13.34 echo-replyaccess-list 100 deny icmp 221.23.123.0 0.0.0.255 host 192.150.13.34 echoAccess-list 100 permit ip any any,命名访问控制列表配置5-1,创建ACLRouter(config)#ip access-list standard|extended access-list-name配置标准命名ACLR
16、outer(config-std-nacl)#Sequence-Number permit|deny source source-wildcard 配置扩展命名ACLRouter(config-ext-nacl)#Sequence-Number permit|deny protocol source source-wildcard destination destination-wildcard operator operan,标准命名ACL,扩展命名ACL,Sequence-Number决定ACL语句在ACL列表中的位置,38,命名访问控制列表配置5-2,标准命名ACL应用实例,查看ACL配
17、置信息Router#show access-lists Standard IP access list cisco 20 deny any,Router(config)#ip access-list standard ciscoRouter(config-std-nacl)#permit host 192.168.1.1 Router(config-std-nacl)#deny any允许来自主机的流量通过,更改ACL,又允许来自主机192.168.2.1/24的流量通过Router(config)#ip access-list standard ciscoRouter(config-std-
18、nacl)#15 permit host 192.168.2.1,Router#show access-lists Standard IP access list cisco 20 deny any,添加序列号为15的ACL语句,ACL语句添加到了指定的ACL列表位置,39,命名访问控制列表配置5-3,扩展命名ACL应用实例Router(config)#ip access-list extended ciscoRouter(config-ext-nacl)#deny tcp 192.168.1.0 0.0.0.255 host 192.168.2.2 eq 21Router(config-ex
19、t-nacl)#permit ip any any,40,命名访问控制列表配置5-4,删除整组ACLRouter(config)#no ip access-list standard|extended access-list-name删除组中单一ACL语句no Sequence-Numberno ACL语句,创建ACLRouter(config)#ip access-list standard ciscoRouter(config-std-naclRouter(config-std-nacl)#endRouter#show access-lists Standard IP access lis
20、t cisco删除组中单一ACL语句Router(config-std-nacl)#no 10或Router(config-std-nacl)#no permit host 192.168.1.1,41,命名访问控制列表配置5-5,将ACL应用于接口Router(config-if)#ip access-group access-list-name in|out在接口上取消ACL的应用Router(config-if)#no ip access-group access-list-name in|out,42,命名访问控制列表配置实例,公司添加服务器,要求如下可以访问服务器中除上述地址外都不能
21、访问服务器其他公司网段都可以访问服务器公司人员调整,更改服务器访问权限不允许和主机访问服务器允许主机访问服务器,43,定义时间范围,定义时间范围的名称 Router(config)#time-range time-range-name指定该时间范围何时生效定义一个时间周期Router(config-time-range)#periodic days-of-the-week hh:mm to days-of-the-week hh:mm定义一个绝对时间Router(config-time-range)#absolute start hh:mm day month year end hh:mm d
22、ay month year,参数days-of-the-week的取值,44,定时访问控制列表配置2-1,扩展ACL中引入时间范围Router(config)#access-list access-list-number permit|deny protocol source source-wildcard destination destination-wildcard operator operan time-range time-range-name将ACL应用于接口Router(config-if)#ip access-group access-list-number in|out,4
23、5,定时访问控制列表配置2-2,应用实例1Router(config)#time-range mytimeRouter(config-time-range)#periodic weekdays 8:30 to 17:30Router(config-time-range)#exitRouter(config)#access-list 101 permit ip any any time-range mytimeRouter(config)#int f0/0Router(config-if)#ip access-group 101 in应用实例2Router(config)#time-range
24、mytimeRouter(config-time-range)#absolute start 8:00 10 may 2009 end 18:00 20 may 2009Router(config-time-range)#exitRouter(config)#access-list 101 permit ip any any time-range mytimeRouter(config)#int f0/0Router(config-if)#ip access-group 101 in,46,小结,请思考ACL的作用是什么?ACL通过哪几个参数过滤数据包?ACL分为几种?,47,案例:访问控制列
25、表的应用,公司安全方面考虑要求限定不同的部门能访问的服务器网络管理员可以访问所有服务器网络设备只允许网管区IP地址可以通过TELNET登录只有网管能使用远程桌面、TELNET、SSH等管理服务器所有部门之间不能互通,但可以和网管互通公司信息安全员可以访问服务器,不能访问Internet外网只能访问特定服务器的特定服务限制员工上网时间为工作日的8:0018:00,公司网络拓扑图,48,访问控制列表的应用2-2,案例实施网络拓扑图,F0/24,F0/24,F0/24,F0/23,F0/1,F0/1,F0/3,F0/2,SW2,SW3,SW1,R1,F0/1,F0/0,PC1,PC2,PC3,服务器
26、,49,下次实验(综合实验),实验环境拓扑,INTERNET运营商,Rj,ISP,S3650,S1916-2,F0/23,F0/24,F0/22,F0/22,S1916-1,F0/23,F0/24,F0/10,F1/0,S1/2,S1/2,F1/0,VLAN10,VLAN20,VLAN10,VLAN30,FTPserver,实验要求,实验具体要求:1、S1946-1划分两个VLAN,VLAN10、VLAN20,其中F0/1-5属于VLAN10,F0/6-10属于VLAN20。2、S1916-2划分两个VLAN,VLAN10、VLAN30,其中F0/1-5属于VLAN10,F0/6-10属于VLAN30。3、S2126G-1利用两条链路接入核心交换机,采用802.3ad提高链路带宽,提供冗余链路。4、S3750和出口路由器Rj相连,采用SVI方式进行配置。5、Rj路由器和电信端路由器利用V.35直连,采用PPP链路协议进行通讯。,实验要求,实验具体要求(序):6、局域网内部三层交换机和路由器间利用RIPv2实现全网互通,路由器连外网配置缺省路由。7、配置动态NAPT实现局域网访问互联网。8、在全网配置安全策略1、VLAN10的主机可以访问VLAN20的主机,VLAN30的主机不可以访问VLAN20的主机。2、VLAN30的主机不可以访问FTPServer,
