精选优质文档-----倾情为你奉上实训11-1 标准IP访问控制列表的配置【实训目的】 (1)理解IP访问控制列表的原理及功能;(2)掌握编号的标准IP访问控制列表的配置方法;【实训技术原理】IP ACL(IP访问控制列表或IP访问列表)是实现对流经路由器或交换机的数据包根据一定的规则进行过滤,从而提高网络可管理性和安全性;IP ACL分为两种:标准IP访问列表和扩展IP访问列表,编号范围分别为1~99、1300~1999,100~199、2000~2699;标准IP访问列表可以根据数据包的源IP地址定义规则,进行数据包的过滤;扩展IP访问列表可以根据数据包的源IP、目的IP、源端口、目的端口、协议来定义规则,进行数据包的过滤;IP ACL 基于接口进行规则的应用,分为:入栈应用和出栈应用;^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^1.什么是访问控制列表ACLs 的全称为接入控制列表(Access Control Lists),也称为访问列表(Access Lists),俗称为防火墙,在有的文档中还称之为包过滤。
ACLs 通过定义一些规则对网络设备接口上的数据报文进行控制:允许通过或丢弃按照其使用的范围,可以分为安全ACLs 和QoS ACLs对数据流进行过滤可以限制网络中的通讯数据的类型,限制网络的使用者或使用的设备安全ACLs 在数据流通过网络设备时对其进行分类过滤,并对从指定接口输入或者输出的数据流进行检查,根据匹配条件(Conditions)决定是允许其通过(Permit)还是丢弃(Deny)总的来说,安全ACLs 用于控制哪些数据流允许从网络设备通过,Qos 策略对这些数据流进行优先级分类和处理ACLs 由一系列的表项组成,我们称之为接入控制列表表项(Access Control Entry:ACE)每个接入控制列表表项都申明了满足该表项的匹配条件及行为 访问列表规则可以针对数据流的源地址、目标地址、上层协议,时间区域等信息访问控制列表语句的执行必须严格按照表中语句的顺序,从第一条语句开始比较,一旦一个数据包的报头跟表中的某个条件判断语句相匹配,那么后面的语句就将被忽略,不再进行检查2.基本IP访问控制列表创建访问列表时,定义的规则将应用于设备上所有的分组报文,设备通过判断分组是否与规则匹配来决定是否转发或阻断分组报文。
基本访问列表包括标准访问列表和扩展访问列表,访问列表中定义的典型规则主要有以下:l 源地址l 目标地址l 上层协议l 时间区域标准IP 访问列表(编号为1 - 99,1300 - 1999)主要是根据源IP 地址来进行转发或阻断分组的,扩展IP 访问列表(编号为100 – 199,2000 - 2699)使用以上四种组合来进行转发或阻断分组的其他类型的访问列表根据相关特征来转发或阻断分组的对于单一的访问列表来说,可以使用多条独立的访问列表语句来定义多种规则,其中所有的语句引用同一个编号或名字,以便将这些语句绑定到同一个访问列表不过,使用的语句越多,阅读和理解访问列表就越来越困难1)隐含“拒绝所有数据流”规则语句在每个访问列表的末尾隐含着一条“拒绝所有数据流”规则语句,因此如果分组与任何规则都不匹配,将被拒绝如下例:access-list 1 permit host 192.168.4.12此列表只允许源主机为192.168.4.12 的报文通过,其它主机都将被拒绝因为这条访问列表最后包含了一条规则语句:access-list 1 deny any又如:Access-list 1 deny host 192.168.4.12如果列表只包含以上这一条语句,则任何主机报文通过该端口时都将被拒绝。
2)输入规则语句的顺序加入的每条规则都被追加到访问列表的最后,语句被创建以后,就无法单独删除它,而只能删除整个访问列表所以访问列表语句的次序非常重要设备在决定转发还是阻断分组时,设备按语句创建的次序将分组与语句进行比较,找到匹配的语句后,便不再检查其他规则语句假设创建了一条语句,它允许所有的数据流通过,则后面的语句将不被检查如下例:access-list 101 deny ip any anyaccess-list 101 permit tcp 192.168.12.0 0.0.0.255 eq telnet any由于第一条规则语句拒绝了所有的IP 报文,所以192.168.12.0/24 网络的主机Telnet 报文将被拒绝,因为设备在检查到报文和第一条规则语句匹配,便不再检查后面的规则语句3)配置IP地址访问控制列表基本访问列表的配置包括以下两步:l 定义基本访问列表l 将基本访问列表应用于特定接口要配置基本访问列表,有以下两种方式:方式一 在全局配置模式下执行以下命令:方式二在ACL 配置模式下执行以下命令:4)显示IP 列表的配置要监控访问列表,请在特权用户模式执行以下命令:Ruijie# show access-lists [ id | name ] //此命令可以查看IP 访问列表【实现功能】实现网段间互相访问的安全控制;【实训背景描述】你是公司的网络管理员,公司的经理部、财务部门和销售部分别属于不同的3个网段,三部门之间用路由器进行信息传递,为了安全起见,公司领导要求销售部门不能对财务部进行访问,但经理部可以对财务部进行访问;PC1代表经理部的主机、PC2代表销售部的主机、PC3代表财务部的主机【实训设备】R1700(2台),PC(2台)、直连线(3条)、V.35线(1条)【实训内容】(1)按照拓扑进行网络连接(2)配置路由器接口IP地址(3)配置路由器静态路由(4)配置编号的IP标准访问控制列表(5)将访问列表应用到接口【实训拓扑图】 【实训步骤】(1)配置路由器R1、R2接口IP地址;(2)配置R1、R2静态路由;R1(config)#ip route 172.16.4.0 255.255.255.0 172.16.3.2R2(config)#ip route 172.16.1.0 255.255.255.0 172.16.3.1R2(config)#ip route 172.16.2.0 255.255.255.0 172.16.3.1用show ip route查看路由表,此时有直连路由,如R1R1#show ip route Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, * - candidate default U - per-user static routeGateway of last resort is not set172.16.0.0/24 is subnetted, 1 subnetsC 172.16.2.0 is directly connected, FastEthernet1/1172.16.0.0/24 is subnetted, 1 subnetsC 172.16.1.0 is directly connected, FastEthernet1/0172.16.0.0/24 is subnetted, 1 subnetsC 172.16.3.0 is directly connected, serial1/2S 172.16.4.0 [1/0] via 172.16.3.2(3)R2配置编号的IP标准访问控制列表R2(config)#access-list 1 deny 172.16.2.0 0.0.0.255 !拒绝来自172.16.2.0网段的流量通过R2(config)#access-list 1 permit 172.16.1.0 0.0.0.255 !允许来自172.16.1.0网段的流量通过验证测试R2#show access-lists 1Standard IP access list 1 1 deny 172.16.2.0 0.0.0.255 (0 matches) 1 permit 172.16.1.0 0.0.0.255 (0 matches)(3)将访问列表应用到接口R2(config)#interface fastethernet 1/0R2(config-if)#ip access-group 1 out【实训测试】(1)用销售部主机172.16.2.8ping财务部主机172.16.4.2,不能ping通;(2)用经理部主机172.16.1.2ping财务部主机172.16.4.2,能ping通;【实训问题】(1) 访问控制列表能否应用到其他接口,结果会怎样?(2) 为什么标准访问控制列表要尽量靠近目的地址的接口?(3) 访问控制列表应用到接口时,in和out方向有什么不同?【实训注意事项】(1)注意在访问控制列表的网络掩码是反掩码;(2)标准控制列表要应用在尽量靠近目的地址的接口;专心---专注---专业。