《计算机组网工程与实训 教学课件 ppt 作者 陈学平 主编 王明昊 副主编项目5 NAT PPP及ACL配置与管理》由会员分享,可在线阅读,更多相关《计算机组网工程与实训 教学课件 ppt 作者 陈学平 主编 王明昊 副主编项目5 NAT PPP及ACL配置与管理(47页珍藏版)》请在金锄头文库上搜索。
1、项目 5,学习目标,NAT、PPP 及 ACL 配置与管理,(1)掌握路由器的标准访问列表的配置,(2)掌握路由器的扩展访问列表的配置,(3)掌握路由器的 NAT 配置,(4)掌握路由器的 PPP 认证配置,5.1 任务 1 访问控制列表的配置,5.1.1 任务分析,网络应用与互联网的普及在大幅提高企业的生产,经营效率的同时,也带来了诸如数据的安全性,员工,利用互联网做与工作不相干事等负面影响。如何将一,个网络有效的管理起来,尽可能的降低网络所带来的,负面影响就成了摆在网络管理员面前的一个重要课,题。还有就是数据流量的控制都离不开 ACL 访问控,制列表,如:只允许端口下的用户只能访问特定的服
2、,务器网段,只允许用户访问单个网页服务器,禁止,VLAN 之间的互相访问,对于两台计算机主机之间实,现单向访问控制等。还有就是现在电信,联通实现的,80 端口用户出口关闭,这些都需要在路由器上实施,ACL,因此,我们本任务将介绍 ACL 的访问控制列,表,介绍 ACL 的基本配置和扩展配置。,5.1.2 相关知识,1、访问列表简介,ACL 通常被看作是一种过滤工具,过滤进入或离,开路由器的流量。ACL 支持下列所有类型的操作:,2、ACL 和过滤,当 ACL 用作过滤流量时,通常称为过滤器,(FILTER)。基于在路由器上定义的条件(规则),,可以应用道这些流量的决定包括允许或者丢弃流量。,条
3、件可以在数据包的内容中查找匹配信息,包括:,3、ACL 类型,ACL 类型有如下几种:,4、处理 ACL,ACL 语句有两个组件:一个是条件,一个是操作。,条件用于匹配数据包内容。当为条件找到匹配时,则,会采取一个操作:允许或者拒绝数据包。,6、标准访问控制列表格式,访问控制列表 ACL 分很多种,不同场合应用不同种类,的 ACL。其中最简单的就是标准访问控制列表,他是,通过使用 IP 包中的源 IP 地址进行过滤,使用的访问,控制列表号 1 到 99 来创建相应的 ACL。,标准访问控制列表是最简单的 ACL。,它的具体格式如下:access-list ACL 号,permit|deny h
4、ost ip 地址,例如:access-list 10 deny host,192.168.1.1 这句命令是将所有来自 192.168.1.1 地,址的数据包丢弃。,当然我们也可以用网段来表示,对某个网段,进行过滤。命令如下:access-list 10 deny,192.168.1.0 0.0.0.255,通过上面的配置将来自 192.168.1.0/24 的所,有计算机数据包进行过滤丢弃。为什么后头的子网掩,码表示的是 0.0.0.255 呢?这是因为 CISCO 规定在,ACL 中用反向掩玛表示子网掩码,反向掩码为,0.0.0.255 的代表他的子网掩码为 255.255.255.0。
5、,注意:对于标准访问控制列表来说,默认的,命令是 HOST,也就是说 access-list 10 deny,192.168.1.1 表示的是拒绝 192.168.1.1 这台主机数,据包通讯,可以省去我们输入 host 命令。,7、标准访问控制列表实例,实例 1:,网络环境介绍:,图 5-1 简单 ACL 的拓扑图,我们采用如图 5-1 所示的网络结构。路由器连接了,二个网段,分别为 172.16.4.0/24,172.16.3.0/24。,在 172.16.4.0/24 网段中有一台服务器提供 WWW 服,务,IP 地址为 172.16.4.13。,实例 1:禁止 172.16.4.0/2
6、4 网段中除 172.16.4.13,这台计算机访问 172.16.3.0/24 的计算机。,172.16.4.13 可以正常访问 172.16.3.0/24。,实例 2:,配置任务:禁止 172.16.4.13 这个计算机对,172.16.3.0/24 网段的访问,而 172.16.4.0/24 中的,其他计算机可以正常访问。我们还是以图 5-23 所示,为例。,路由器配置命令:,access-list 1 deny host,172.16.4.13,数据包通过,access-list 1 permit any,容许其他地址的计算机进行通讯,int e 1,进入 E1 端口,将 ACL1 宣
7、告,,ip access-group 1 in,来完成宣告。,配置完毕后除了 172.16.4.13 其他 IP 地址都,可以通过路由器正常通讯,传输数据包。,说明:标准 ACL 占用路由器资源很少,是一,种最基本最简单的访问控制列表格式。应用比较广,泛,经常在要求控制级别较低的情况下使用。如果要,更加复杂的控制数据包的传输就需要使用扩展访问,控制列表了,他可以满足我们到端口级的要求。,8、扩展访问控制列表的格式,前面我们提到了标准访问控制列表,它是基于,IP 地址进行过滤的,是最简单的 ACL。那么如果我们,希望将过滤细到端口怎么办呢?或者希望对数据包,的目的地址进行过滤。这时候就需要使用扩
8、展访问控,设置 ACL,,设置 ACL,禁止 172.16.4.13 的,同理可以进入 E0 端口后使用 ip access-group 1 out,制列表了。使用扩展 IP 访问列表可以有效的容许用,户访问物理 LAN 而并不容许他使用某个特定服务(例,如 WWW,FTP 等)。扩展访问控制列表使用的 ACL 号,为 100 到 199。,9、扩展访问控制列表实例,网络环境介绍:,我们任然采用如图 5-2 所示的网络结构。路,由器连接了二个网段,分别为,172.16.4.0/24,172.16.3.0/24。在 172.16.4.0/24,网段中有一台服务器提供 WWW 服务,IP 地址为,
9、172.16.4.13。,配置任务:禁止 172.16.3.0 的计算机访问,172.16.4.0 的计算机,包括那台服务器,不过惟独可,以访问 172.16.4.13 上的 WWW 服务,而其他服务不能,访问。,路由器配置命令:,access-list 101 permit tcp any,172.16.4.13 0.0.0.0 eq www,设置 ACL101,,容许源地址为任意 IP,目的地址为 172.16.4.13 主机,的 80 端口即 WWW 服务。由于 CISCO 默认添加 DENY ANY,的命令,所以 ACL 只写此一句即可。,int e 0,进入 E1 端口,ip acc
10、ess-group 101 out,宣告出去,将 ACL101,设置完毕后 172.16.3.0 的计算机就无法访问,172.16.4.0 的计算机了,就算是服务器 172.16.4.13,开启了 FTP 服务也无法访问,惟独可以访问的就是,172.16.4.13 的 WWW 服务了。 172.16.4.0 的计算机而,访问 172.16.3.0 的计算机没有任何问题。,10、基于名称的访问控制列表,不管是标准访问控制列表还是扩展访问,控制列表都有一个弊端,那就是当设置好 ACL 的规则,后发现其中的某条有问题,希望进行修改或删除的话,只能将全部 ACL 信息都删除。也就是说修改一条或删,除一
11、条都会影响到整个 ACL 列表。这一个缺点影响了,我们的工作,为我们带来了繁重的负担。不过我们可,以用基于名称的访问控制列表来解决这个问题。,(1)、基于名称的访问控制列表的格式:,ip access-list standard|extended ACL,名称,(2)、基于名称的访问控制列表的使用方法:,当我们建立了一个基于名称的访问列表后就,可以进入到这个 ACL 中进行配置了。,例如我们添加三条 ACL 规则,permit 1.1.1.1 0.0.0.0,permit 2.2.2.2 0.0.0.0,permit 3.3.3.3 0.0.0.0,配置命令如图 5-2 所示。,如果我们发现第
12、二条命令应该是 2.2.2.1 而,不是 2.2.2.2,如果使用不是基于名称的访问控制列,表的话,使用 no permit 2.2.2.2 0.0.0.0 后整个 ACL,信息都会被删除掉。正是因为使用了基于名称的访问,控制列表,我们使用 no permit 2.2.2.2 0.0.0.0 后,第一条和第三条指令依然存在。,说明:如果设置 ACL 的规则比较多的话,,应该使用基于名称的访问控制列表进行管理,这样可,以减轻很多后期维护的工作,方便我们随时进行调整,ACL 规则。,5.1.3 任务实施,1、实验拓扑图,实验拓扑如图 5-3 所示。,图 5-3 实验拓扑,2、实验要求,标准访问控制
13、列表:,只允许网段 1 和网段 2 之间互相访问,扩展访问控制列表:,只允许网段 1(10.10.1.0/24)访问 R2 路由器内部的,WWW 服务和 PING 服务,拒绝访问该服务器上的其他服,务;,只允许网段 2(10.10.2.0/24)访问 R3 路由器内部的,TFTP 服务和 PING 服务,拒绝访问该服务器上的其他,服务。,做访问控制列表实验之前我已经在各个路由器上配,置了动态路由协议,使整个网,络拓扑是连通的。所以,大家在做访问控制列表实验,之前,先配置好路由(动态/,静态),网络运行正常后再配置访问控制列表,3、访问控制列表的配置,(1)标准访问控制列表配置:,只允许网段 1
14、 和网段 2 之间互相访问,R1 配置:,R1#conf t,R1(config)#access-list 1 deny 10.10.1.0,0.0.0.255,R1(config)#access-list 1 deny 10.10.2.0,0.0.0.255,R1(config)#access-list 1 permit any,R1(config)#int f0/0,R1(config-if)#ip access-group 1 out,测试:,在 PC1 上 ping PC2(10.10.2.1),PC1#ping 10.10.2.1,Type escape sequence to ab
15、ort.,Sending 5, 100-byte ICMP Echos to 10.10.2.1,timeout is 2 seconds:,!,Success rate is 100 percent (5/5), round-trip,min/avg/max = 108/227/312,ms,测试结果为可以访问,在 PC1 上 PING R2 路由器的内部网络(172.16.1.1),PC1#ping 172.16.1.1,Type escape sequence to abort.,Sending 5, 100-byte ICMP Echos to 172.16.1.1,timeout i
16、s 2 seconds:,U.U.U,Success rate is 0 percent (0/5),测试结果是不能访问,在 PC2 上 PING PC1(10.10.1.1),PC2#ping 10.10.1.1,Type escape sequence to abort.,Sending 5, 100-byte ICMP Echos to 10.10.1.1,timeout is 2 seconds:,!,Success rate is 100 percent (5/5), round-trip,min/avg/max = 72/176/216,ms,测试结果为可以访问,在 PC2 上 PING R3 路由器的内部网络(172.16.5.1),PC2#ping 172.16.5.1,Type escape sequence to abort.,Sending 5, 100-byte ICMP Echos to 172.16.5.1,timeout is 2 seconds:,U.U.U,Success rate is 0 percent (0/5),
