当前位置:文档之家 › 53【工程实验室】【配置专家ACL】

53【工程实验室】【配置专家ACL】

  • 格式:pdf
  • 大小:321.93 KB
  • 文档页数:5

下载文档原格式

  / 5

合集下载

基本ACL配置实例

基本ACL配置实例

基本ACL配置实例作者:阎婷李晖徐莎莎刘晶来源:《考试与评价》2016年第06期【摘要】ACL的主要应用场合包括数据包过滤、路由控制、包过滤防火墙、网络地址转换、服务质量和按需拨号等方面,对于提高网络安全性有很好的效果。

ACL配置分为两类,一类是基本ACL,一类是高级(扩展)ACL。

本文主要介绍基本ACL的配置方法,用具体的拓扑给出配置要求,对实验原理进行分析,最后给出配置命令和验证方法。

【关键词】基本ACL 扩展ACL 源端口目的端口一、配置要求基本访问控制列表只根据报文的源IP地址信息制定访问规则。

本实验配置H3C路由器上的基本ACL,并开启防火墙功能,实现基于源地址的数据包过滤。

1.实验目的通过本实验,可以掌握以下技能。

(1)配置H3C路由器基本ACL及包过滤防火墙配置。

(2)熟悉ACL查看、监测和调试的相关命令。

2.实验拓扑本实验的拓扑结构和设备命名如图所示。

3.实验说明本实验的配置说明如下。

第一,把用于调试的PC通过Console电缆连接到路由器的Console端口上。

第二,使用1条双绞线跳线将路由器H3C-R1的E0/0接口和H3C-R2的E0/0接口连接起来。

使用2条双绞线跳线分别把PC1和PC2连接到路由器H3C-R1和H3C-R2的E0/1接口上。

第三,在路由器上通过配置和应用基本ACL来拒绝PC1的IP地址192.168.1.2访问PC2的IP地址192.168.3.2。

第四,查看及监测ACL配置和匹配情况。

本实验的配置准备数据见下表。

二、配置原理本实验主要是完成基本ACL(访问控制列表)的配置,访问控制列表用来实现数据流识别功能。

为了在网络设备上过滤报文,需要配置一系列的匹配条件来对报文进行分类,这些条件可以是报文的源地址、目的地址、端口号等。

当设备的端口接收到报文后,即根据当前端口上应用的ACL规则对报文的字段进行分析,在识别出特定的报文之后,根据预先设定的策略允许或禁止该报文通过。

6实验六 ACL的配置

6实验六 ACL的配置

实验六 ACL的配置实验目的:1、学习使用ACL(访问控制列表)来控制网络访问;2、熟练掌握标准ACL、扩展ACL、命名ACL的配置及调试。

3、使用标准 ACL 控制对 vty 线路的访问实验知识要点:一、ACL简介访问控制列表简称为ACL( Access Control Lists ),它使用包过滤技术,在路由器上读取第三层及第四层包头中的信息如源地址、目的地址、源端口、目的端口等,根据预先定义好的规则对包进行过滤,从而达到访问控制的目的。

简而言之,访问控制列表是一系列运用到网络地址或者上层协议上的允许或拒绝指令的集合。

二、ACL实现的功能1、保护内部网络免受来自Internet的非法入侵;2、拒绝或允许流入(或流出)的数据流通过特定的接口;3、限制对虚拟终端端口的访问。

4、流量匹配NAT三、ACL工作流程五、ACL指令1、ACL的执行顺序。

当路由器在决定是否转发或者阻止数据包的时候,Cisco的IOS软件,按照ACL中指令从上至下的顺序依次检查数据包是否满足某一个指令条件。

直到找到一条可以匹配的语句,然后根据定义的规则做出相应的操作(拒绝或允许),如果所有的条件判断语句都检测完毕,仍没有匹配的条件语句,那么,该数据包将视为被拒绝或被丢弃(在ACL中,最后强加一条拒绝全部流量的暗含语句)。

所以,ACL中各语句的放置顺序很重要,相同的规则,顺序不同,将会出现不同的结果。

当检测到某个指令条件满足的时候,就不会再检测后面的指令条件。

2、ACL的作用方向在每一个路由器的每一个端口,可以为每一个支持的Routed Protocols创建一个 ACL。

对于某些协议,可以创建多个ACL:一个用于过滤进入端口的数据流inbound,一个用于过滤流出端口的数据流outbound。

每个端口每个协议(IP、IPX、APPLETALK)每个方向(outbound、inbound)只能创建一个ACL。

3、ACL的放置原则扩展ACL尽量靠近源端;标准ACL尽量靠近目的端。

ACL配置实验

ACL配置实验

ACL配置实验一、实验目的:深入理解包过滤防火墙的工作原理二、实验内容:练习使用Packet Tracer模拟软件配置ACL三、实验要求A.拓扑结构如下图所示,1,2,3是主机,4是服务器1、配置主机,服务器与路由器的IP地址,使网络联通;2、配置标准ACL,使得主机1可以访问主机3和4,主机2不能访问主机3和4。

使该配置生效,然后再删除该条ACL;3、配置扩展ACL,使得主机1可以访问主机4的www服务,主机2不能访问主机4的www服务,4个主机间相互能够ping通。

使该配置生效,然后再删除该条ACL;B.拓扑结构如下图所示(要求:跟拓扑上的ip地址配置不同)1、配置ACL 限制远程登录(telnet)到路由器的主机。

路由器R0只允许192.168.2.2 远程登录(telnet)。

2、配置ACL 禁止192.168.3.0/24 网段的icmp 协议数据包通向与192.168.1.0/24 网段。

3、配置ACL 禁止特点的协议端口通讯。

禁止192.168.2.2 使用www (80)端口访问192.168.1.0禁止192.168.2.3 使用dns (53)端口访问192.168.1.03、验证ACL 规则,检验并查看ACL。

四、实验步骤1、配置主机,服务器与路由器的IP地址,使网络联通;PC0 ping PC2PC1 ping 服务器服务器ping PC02、配置标准ACL,使得主机1可以访问主机3和4,主机2不能访问主机3和4。

使该配置生效,然后再删除该条ACL;Router>enRouter#conf tEnter configuration commands, one per line. End with CNTL/Z. Router(config)#access-list 1 deny 192.168.1.2Router(config)#access-list 1 permit anyRouter(config)#int f 0/1Router(config-if)#ip access-group 1 outRouter(config-if)#exitRouter(config)#exitpc1 ping pc2和服务器pc0 ping pc2和服务器,可以ping通删除该条ACLRouter>enRouter#show access-listStandard IP access list 1deny host 192.168.1.2 (8 match(es))permit any (8 match(es))Router#conf tEnter configuration commands, one per line. End with CNTL/Z. Router(config)#ip access-list standard softRouter(config-std-nacl)#no access-list 1Router(config)#exitRouter#%SYS-5-CONFIG_I: Configured from console by consoleRouter#show access-listStandard IP access list softPC1重新ping PC2和服务器,可以ping通3、配置扩展ACL,使得主机1可以访问主机4的www服务,主机2不能访问主机4的www服务,4个主机间相互能够ping通。

实训八 标准ACL配置与调试

实训八 标准ACL配置与调试

实训八标准ACL配置与调试1.实训目标在这个实训中,我们将在思科路由器上配置标准ACL。

通过该实训我们可以进一步了解ACL的定义和应用,并且掌握标准ACL的配置和调试。

2.实训拓扑实训的拓扑结构如图1所示。

图1 ACL实训拓扑结构3.实训要求根据图1,设计标准ACL,首先使得PC1所在的网络不能通过路由器R1访问PC2所在的网络,然后使得PC2所在的网络不能通过路由器R2访问PC1所在的网络。

本实训各设备的IP地址分配如下:⑴路由器R1:s0/0:192.168.100.1/24fa0/0:10.1.1.1/8⑵计算机PC1:IP:10.1.1.2/8网关:10.1.1.1⑶路由器R2:s0/0:192.168.100.2/24fa0/0:172.16.1.1/16⑷计算机PC2:IP:172.16.1.2/16网关:172.16.1.14.实训步骤在开始本实训之前,建议在删除各路由器的初始配置后再重新启动路由器。

这样可以防止由残留的配置所带来的问题。

在准备好硬件以及线缆之后,我们按照下面的步骤开始进行实训。

⑴按照图1进行组建网络,经检查硬件连接没有问题之后,各设备上电。

⑵按照拓扑结构的要求,给路由器各端口配置IP地址、子网掩码、时钟(DCE端),并且用“no shutdown”命令启动各端口,可以用“show interface”命令查看各端口的状态,保证端口正常工作。

⑶设置主机A和主机B的 IP地址、子网掩码、网关,完成之后,分别ping自己的网关,应该是通的。

⑷为保证整个网络畅通,分别在路由器R1和R2上配置rip路由协议:在R1和R2上查看路由表分别如下:①R1#show ip routeGateway of last resort is not setR 172.16.0.0/16 [120/1] via 192.168.100.2, 00:00:08, Serial0/0C 192.168.100.0/24 is directly connected, Serial0/0C 10.0.0.0/8 is directly connected, FastEthernet0/0②R2#show ip routeGateway of last resort is not setC 192.168.100.0/24 is directly connected, Serial0/0R 10.0.0.0/8 [120/1] via 192.168.100.1, 00:00:08, Serial0/0C 172.16.0.0/16 is directly connected, FastEthernet0/0⑸ R1路由器上禁止PC2所在网段访问:①在路由器R1上配置如下:R1(config)#access-list 1 deny 172.16.0.0 0.0.255.255R1(config)# access-list 1 permit anyR1(config)#interface s0/0R1(config-if)#ip access-group 1 in【问题1】:为什么要配置“access-list 1 permit any”?②测试上述配置:此时在PC2上ping路由器R1,应该是不同的,因为访问控制列表“1”已经起了作用,结果如图2所示:图2 在PC2上ping路由器R1的结果【问题2】:如果在PC2上ping PC1,结果应该是怎样的?③查看定义ACL列表:R1#show access-listsStandard IP access list 1deny 172.16.0.0, wildcard bits 0.0.255.255 (26 matches) check=276permit any (276 matches)④查看ACL在s0/0作用的方向:R1#show ip interface s0/0Serial0/0 is up, line protocol is upInternet address is 192.168.100.1/24Broadcast address is 255.255.255.255Address determined by setup commandMTU is 1500 bytesHelper address is not setDirected broadcast forwarding is disabledMulticast reserved groups joined: 224.0.0.9Outgoing access list is not setInbound access list is 1Proxy ARP is enabled【问题3】:如果把ACL作用在R1的fa0/0端口,相应的配置应该怎样改动?【问题4】:如果把上述配置的ACL在端口s0/0上的作用方向改为“out”,结果会怎样?⑹成功后在路由器R1上取消ACL,转为在R2路由器上禁止PC1所在网段访问:①在R2上配置如下:R2(config)#access-list 2 deny 10.0.0.0 0.255.255.255R2(config)# access-list 2 permit anyR2(config)#interface fa0/0R2(config-if)#ip access-group 2 out②测试和查看结果的操作和步骤⑸基本相同,这里不再赘述。

网络安全之——ACL(访问控制列表)

网络安全之——ACL(访问控制列表)

网络安全之——ACL(访问控制列表)网络安全之——ACL(访问控制列表)【实验目的】1、掌握基本ACL的原理及配置方法。

2、熟悉高级ACL的应用场合并灵活运用。

【实验环境】H3C三层交换机1台,PC 3台,标准网线3根。

【引入案例1】某公司建设了Intranet,划分为经理办公室、档案室、网络中心、财务部、研发部、市场部等多个部门,各部门之间通过三层交换机(或路由器)互联,并接入互联网。

自从网络建成后麻烦不断,一会儿有人试图偷看档案室的文件或者登录网络中心的设备捣乱,一会儿财务部抱怨研发部的人看了不该看的数据,一会儿领导抱怨员工上班时候整天偷偷泡网,等等。

有什么办法能够解决这些问题呢?【案例分析】网络应用与互联网的普及在大幅提高企业的生产经营效率的同时也带来了许多负面影响,例如,数据的安全性、员工经常利用互联网做些与工作不相干的事等等。

一方面,为了业务的发展,必须允许合法访问网络,另一方面,又必须确保企业数据和资源尽可能安全,控制非法访问,尽可能的降低网络所带来的负面影响,这就成了摆在网络管理员面前的一个重要课题。

网络安全采用的技术很多,通过ACL (Access Control List,访问控制列表)对数据包进行过滤,实现访问控制,是实现基本网络安全的手段之一。

【基本原理】ACL是依据数据特征实施通过或阻止决定的过程控制方法,是包过滤防火墙的一种重要实现方式。

ACL是在网络设备中定义的一个列表,由一系列的匹配规则(rule)组成,这些规则包含了数据包的一些特征,比如源地址、目的地址、协议类型以及端口号等信息,并预先设定了相应的策略——允许(permint)或禁止(Deny)数据包通过。

基于ACL的包过滤防火墙通常配置在路由器的端口上,并且具有方向性。

每个端口的出站方向(Outbound)和入站方向(Inbound)均可配置独立的ACL 进行包过滤。

出方向过滤基于ACL的包过滤当路由器收到一个数据包时,如果进入端口处没有启动ACL包过滤,则数据包直接提交路由器转发进程处理,如果进入端口处启动了ACL包过滤,则数据交给入站防火墙进行过滤,其工作流程如图所示。

ACL访问控制列表

ACL访问控制列表

A C L访问控制列表集团企业公司编码:(LL3698-KKI1269-TM2483-LUI12689-ITT289-轻松学习理解A C L访问控制列表【独家特稿】任何企业网络系统在为创造价值的同时,对安全性也有很高的要求。

ACL(网络层访问控制列表)其实可以帮助企业实现网络安全策略,可以说ACL是一个很不错的解决工具或方案。

那什么是ACL呢?为了帮助企业网络运维人员深入理解ACL,可以根据以下几点看透ACL本质。

一、从名称解析ACLACL:AcessControlList,即访问控制列表。

这张表中包含了匹配关系、条件和查询语句,表只是一个框架结构,其目的是为了对某种访问进行控制。

信息点间通信,内外网络的通信都是企业网络中必不可少的业务需求,但是为了保证内网的安全性,需要通过安全策略来保障非授权用户只能访问特定的网络资源,从而达到对访问进行控制的目的。

简而言之,ACL可以过滤网络中的流量,控制访问的一种网络技术手段。

二、看透ACL的本质通常,很多企业都在使用NAT技术进行地址转换,而NAT技术中就包含了ACL的应用。

通过ACL,我们可以控制哪些私有地址能上外网(公网),哪些不能。

然后把这些过滤好的数据,进行NAT转换。

另外,企业也需要对服务器的资源访问进行控制,通过ACL过滤出哪些用户不能访问,哪些用户能访问。

从实际应用中,我们看到ACL能够区分不同的数据流。

这也意味着ACL的本质其实是一种流量分类技术,它是人为定义的一组或几组规则,目的是通过网络设备对数据流分类,以便执行用户规定的动作。

换句话说,ACL本身不能直接达到访问控制的目的,它间接辅助特定的用户策略,达到人们所需效果的一种技术手段。

在笔者看来,ACL是一种辅助型的技术或者说是工具。

三、玩转基本的ACL拓扑描述:某企业有100个信息点,分属五个部门。

用一台二层交换机和一台路由器作为网络层设备;局域网内部有一台OA服务器。

组网需求:五个部门分属5个VLAN,VLAN间不能互通。

一个超精彩的acl配置详解

来源:互联网作者:CEO发表日期:2006-11-15 14:17:35阅读次数:1025文章标题:网络硬件配置→一个超精彩的acl配置详解[精]查看权限:普通文章查看方式:查看:[ 大字中字小字 ] [双击滚屏]正文:一个超精彩的acl配置详解一个超精彩的acl配置详解--------------------------------------------------------------------------------看到一个超精彩的acl配置详解,不敢独享,大家一起学习:*****************************************************CISCO路由器的使用如果你正被领导指派,用路由器将公司接入互联网,那你赶紧将本文打印下来,回家好好研究一番。

第二天上班,你就可以象一个CISCO工程师那样在电脑前一通乱敲,然后顺利完成任务。

以下是抄来的,不是写不出来,有现成的写的不错的文章,为什么还要亲自写:)网络层访问权限控制技术ACL详解技术从来都是一把双刃剑,网络应用与互联网的普及在大幅提高企业的生产经营效率的同时,也带来了诸如数据的安全性,员工利用互联网做与工作不相干事等负面影响。

如何将一个网络有效的管理起来,尽可能的降低网络所带来的负面影响就成了摆在网络管理员面前的一个重要课题。

A公司的某位可怜的网管目前就面临了一堆这样的问题。

A公司建设了一个企业网,并通过一台路由器接入到互联网。

在网络核心使用一台基于IOS的多层交换机,所有的二层交换机也为可管理的基于IOS的交换机,在公司内部使用了VLAN技术,按照功能的不同分为了6个VLAN。

分别是网络设备与网管(VLAN1,10.1.1.0/24)、内部服务器(VLAN2)、Internet连接(VLAN3)、财务部(VLAN4)、市场部(VLAN5)、研发部门(VLAN6),出口路由器上Fa0/0接公司内部网,通过s0/0连接到Internet。

ACL


技术要点 (1)参数“log”会生成相应的日志信息,用来记录经过ACL 入口的数据 包的情况; (2)尽量考虑将扩展的访问控制列表放在靠近过滤源的位置上,这样创 建的过滤器就不会反过来影响其它接口上的数据流。另外,尽量使标准的 访问控制列表靠近目的,由于标准访问控制列表只使用源地址,如果将其 靠近源会阻止数据包流向其他端口。
15
ACL
(2)步骤2:配置路由器R2 R2(config)#no access-list 1 //删除ACL R2(config)#no access-list 2 R2(config)#ip http server //将路由器配置成WEB 服务器 R2(config)#line vty 0 4 R2(config-line)#password cisco R2(config-line)#login (3)步骤3:配置路由器R3
14
ACL
(1)步骤1:配置路由器R1
R1(config)#access-list 100 permit tcp 172.16.1.0 0.0.0.255 host 2.2.2.2 eq www R1(config)#access-list 100 permit tcp 172.16.1.0 0.0.0.255 host 192.168.12.2 eq www R1(config)#access-list 100 permit tcp 172.16.1.0 0.0.0.255 host 192.168.23.2 eq www R1(config)#access-list 100 permit tcp 172.16.1.0 0.0.0.255 host 2.2.2.2 eq telnet R1(config)#access-list 100 permit tcp 172.16.1.0 0.0.0.255 host 192.168.12.2 eq telnet R1(config)#access-list 100 permit tcp 172.16.1.0 0.0.0.255 host 192.168.23.2 eq telnet R1(config)#interface g0/1 R1(config-if)#ip access-group 100 in

网络互联设备高级ACL的配置


高级ACL的配置
高级ACL的配置
1.2 实验设备: 在华为eNSP模拟器中拖放1台S5700 三层交换机,2台Router 路由器,PC 2台(其中一台
作为机房实验室计算机,另一台作为教师办公室计算机),服务器2台,串口和直通线若干。
高级ACL的配置
1.3 实验拓扑图:
高级ACL的配置
1.4 实验步骤: 要实现所需的访问控制,有两种方法。 一种是通过在三层交换机的SVI口(Vlan 10)上配置高级访问控制列表,通过指定分组的源
高级ACL的配置
1.4 实验步骤: 放置ACL的一般原则是,尽可能把高级 ACL 放置在距离要被拒绝的通信流量最近的地方。
基本ACL由于不能指定目的地址,所以它们应该尽可能放置在距离目的地最近的地方。 (1)基本配置参照实验拓扑图配置好各网段 IP。测试配置访问控制列表前的网络互访。 三层交换机: <Huawei>sys [Huawei]sysname Center [Center]vlan 10 [Center-vlan10]vlan 20 [Center-vlan20]vlan 30
高级ACL的配置
1.4 实验步骤: [Center-vlan30]int g0/0/1 [Center-GigabitEthernet0/0/1]port link-type access [Center-GigabitEthernet0/0/1]port default vlan 10 [Center-GigabitEthernet0/0/1]int g0/0/2 [Center-GigabitEthernet0/0/2]port link-type ac [Center-GigabitEthernet0/0/2]po de vlan 20 [Center-GigabitEthernet0/0/2]int g0/0/3 [Center-GigabitEthernet0/0/3]po link-t ac [Center-GigabitEthernet0/0/3]po de vlan 30

2018软考网络工程师《华为基础实验》二十二 配置访问控制列表ACL

2018软考网络工程师《华为基础实验》二十二配置访问控制列表ACL一、ACL 基础概念1、访问控制列表根据源地址、目标地址、源端口或目标端口等协议信息对数据包进行过滤,从而达到访问控制的目的。

可以在路由器、三层交换机等设备上使用,目前部分新二层交换机也支持ACL。

2、ACL 由编号或名字标识,ACL 包含一组语句(规则)。

3、ACL 包括permit/deny 两种动作,表示允许/拒绝,匹配(命中规则)是指存在ACL,且在ACL 中查找到了符合条件的规则。

4、ACL 在系统视图模式下配置,生成的ACL 命令需要被应用才能起效。

5、ACL 的分类可当一个分组经过时,路由器按照一定的步骤找出与分组信息匹配的ACL 语句对其进行处理。

n 按配置顺序的匹配规则(config模式),ACL的默认匹配规则为config模式,以对ACL 语句的处理规则总结出以下要点。

(1)一旦发现匹配的语句,就不再处理列表中的其他语句。

(2)语句的排列顺序很重要。

(3)如果整个列表中没有匹配的语句,则分组被丢弃。

例如下面两条语句组成的一个基本ACLrule deny source 172.16.0.0 0.0.255.255rule permit source 172.16.1.0 0.0.0.255第二条语句就被忽略了。

要达到预想的结果—允许来自除主机172.16.1.1之外的、属于子网172.16.1.0/24的所有通信,则两条语句的顺序必须互换。

n 按照自动排序规则(auto模式)自动排序指系统使用“深度优先”的原则,将规则按照精确度从高到低进行排序,并按照精确度从高到低进行报文匹配。

规则中定义的匹配项限制越严格,规则的精确度就越高,即优先级越高,系统越优先匹配。

例如在auto 模式下的ACL 3001,如下:rule deny ip destination 172.16.0.0 0.0.255.255rule permit ip destination 172.16.10.0 0.0.0.255配置完上述两条规则后,ACL3001 的规则排序如下。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
当应用了专家 ACL 的接口接收或发送报文时,将根据接口配置的 ACL 规则对数据进行检 查,并采取相应的措施(允许通过或拒绝通过),从而达到访问控制的目的,提高网络安全性。
【实验步骤】
步骤 1 交换机基本配置。
Switch#configure terminal Switch(config)#vlan 2 Switch(config-vlan)#exit Switch(config)#interface range fastEthernet 0/1-3 Switch(config-if-range)#switchport access vlan 2 Switch(config-if-range)#exit Switch(config)#interface fastEthernet 0/12 Switch(config-if)#switchport access vlan 2 Switch(config-if)#exit
实验 22 配置专家 ACL
【实验名称】
配置专家 ACL。
【实验目的】
使用专家 ACL 实现高级的访问控制。
【背景描述】
某公司的一个简单局域网中,通过使用 1 台交换机提供主机及服务器的接入,并且所有主 机和服务器均属于同一个 VLAN(VLAN 2)中。网络中有 3 台主机和一台财务服务器(Accounting Server)。现在需要实现访问控制,只允许财务部主机(172.16.1.1)访问财务服务器上的财务持入方向(in)的专家 ACL,所以在配置和应用专家 ACL 时需要 考虑 ACL 规则的配置方式,以及应用专家 ACL 的接口。
【参考配置】
Switch#show running-config Building configuration... Current configuration : 1872 bytes ! hostname Switch ! ! ! vlan 1 ! vlan 2 ! ! ! ! ! ! expert access-list extended allow_to_accsrv5555 10 permit tcp host 172.16.1.1 host 000a.000a.000a host 172.16.1.254 any eq 5555
步骤 4 验证测试。 在财务部主机上 ping 财务服务器,可以 ping 通,并且可以访问服务器上的财务服务(TCP 5555),但是不能访问服务器上的其他 服务。在其他 两台非财务部主机上 ping 财务服务器, 无法 ping 通,说明其他两台主机到达财务服务器的流量被专家 ACL 拒绝。
【注意事项】
【需求分析】
专家 ACL 可以根据配置的规则对网络中的数据进行过滤。
【实验拓扑】
实验的拓扑图,如图 22-1 所示。
【实验设备】
图 22-1
交换机 1 台 PC 机 4 台
【预备知识】
交换机基本配置、专家 ACL 原理及配置。
【实验原理】
专家 ACL 是考虑到实际网络的复杂需求,将 ACL 的检测元素扩展到源 MAC 地址、目的 MAC 地址、源 IP 地址、目的 IP 地址、源端口、目的端口和协议,从而实现对数据的更精确的 过滤,满足网络的复杂需求。
interface FastEthernet 0/13 ! interface FastEthernet 0/14 ! interface FastEthernet 0/15 ! interface FastEthernet 0/16 ! interface FastEthernet 0/17 ! interface FastEthernet 0/18 ! interface FastEthernet 0/19 ! interface FastEthernet 0/20 ! interface FastEthernet 0/21 ! interface FastEthernet 0/22 ! interface FastEthernet 0/23 ! interface FastEthernet 0/24 ! interface GigabitEthernet 0/25 ! interface GigabitEthernet 0/26 ! interface GigabitEthernet 0/27 ! interface GigabitEthernet 0/28 ! ! ! ! ! line con 0 line vty 0 4 login ! ! end
将专家 ACL“allow_to_accsrv5555”应用到 F0/1 接口的入方向,以限制财务部主机访问财 务服务器的其他服务。
Switch(config)#interface fastEthernet 0/1 Switch(config-if)#expert access-group allow_to_accsrv5555 in Switch(config-if)#end
Switch(config-exp-nacl)#exit
步骤 3 应用 ACL。 将专家 ACL“deny_to_accsrv”应用到 F0/2 接口和 F0/3 接口的入方向,以限制非财务部主 机访问财务服务器。
Switch(config)#interface fastEthernet 0/2 Switch(config-if)#expert access-group deny_to_accsrv in Switch(config-if)#exit Switch(config)#interface fastEthernet 0/3 Switch(config-if)#expert access-group deny_to_accsrv in Switch(config-if)#exit
Switch(config)#expert access-list extended deny_to_accsrv Switch(config-exp-nacl)#deny any any host 172.16.1.254 host 000d.000d.000d !拒绝到达财务服务器的所有流量 Switch(config-exp-nacl)#permit any any any any !允许其他所有流量 Switch(config-exp-nacl)#exit
配置针对财务部主机的专家 ACL。
Switch(config)#expert access-list extended allow_to_accsrv5555 Switch(config-exp-nacl)#permit tcp host 172.16.1.1 host 000a.000a.000a host 172.16.1.254 any eq 5555 !允许财务部主机访问财务服务器上的特定服务 Switch(config-exp-nacl)#permit icmp host 172.16.1.1 host 000a.000a.000a host 172.16.1.254 host 000d.000d.000d !允许财务部主机到达财务服务器的 ICMP 报文,以便后续进行测试 Switch(config-exp-nacl)#deny any any host 172.16.1.254 any !拒绝到达财务服务器的所有流量 Switch(config-exp-nacl)#permit any any any any !允许其他 所有流量
实验 22 配置专家 ACL ·5·
实验 22 配置专家 ACL ·3·
20 permit icmp host 172.16.1.1 host 000a.000a.000a host 172.16.1.254 host 000d.000d.000d 30 deny ip host 172.16.1.1 host 000a.000a.000a host 172.16.1.254 any 40 permit ip any any any any ! ! expert access-list extended deny_to_accsrv 10 deny ip any any host 172.16.1.254 any 20 permit ip any any any any ! ! ! ! ! interface FastEthernet 0/1 switchport access vlan 2 expert access-group allow_to_accsrv5555 in ! interface FastEthernet 0/2 switchport access vlan 2 expert access-group deny_to_accsrv in ! interface FastEthernet 0/3 switchport access vlan 2 expert access-group deny_to_accsrv in ! interface FastEthernet 0/4 ! interface FastEthernet 0/5 ! interface FastEthernet 0/6 ! interface FastEthernet 0/7 ! interface FastEthernet 0/8 ! interface FastEthernet 0/9 ! interface FastEthernet 0/10 ! interface FastEthernet 0/11 ! interface FastEthernet 0/12 switchport access vlan 2 !
步骤 2 配置专家 ACL。 由于本例中使用的交换机不支持出方向(out)的专家 ACL,所以需要将专家 ACL 配置在 接入主机端口的入方向(in)。由于只允许财务部主机访问财务服务器的特定服务,所以需要在 接入其他主机接口的入方向禁止其访问财务服务器,并在接入财务部主机接口的入方向只允许 其访问财务服务器上的特定服务。 配置针对非财务部主机的专家 ACL。