当前位置:文档之家 › 课题四 访问控制列表(ACL)的配置

课题四 访问控制列表(ACL)的配置

  • 格式:ppt
  • 大小:237.00 KB
  • 文档页数:27

下载文档原格式

  / 27

合集下载

ACL实验配置的实验报告

ACL实验配置的实验报告

ACL实验配置的实验报告ACL实验配置的实验报告一、引言网络安全是当今互联网时代的重要议题之一。

为了保护网络资源的安全性,许多组织和个人采取了访问控制列表(Access Control List,简称ACL)的配置方法。

本文将介绍ACL实验配置的实验报告,探讨ACL在网络安全中的应用和效果。

二、实验目的本次实验旨在通过配置ACL来控制网络流量,实现对特定IP地址或端口的访问控制。

通过实验,我们将了解ACL的基本原理和配置方法,并评估ACL在网络安全中的实际效果。

三、实验环境本次实验使用了一台具备路由器功能的设备,该设备支持ACL功能。

我们将在该设备上进行ACL配置和测试。

四、实验步骤1. 配置ACL规则我们首先登录到设备的管理界面,进入ACL配置页面。

根据实验要求,我们配置了两条ACL规则:- 允许特定IP地址的访问:我们设置了一条允许来自IP地址为192.168.1.100的主机访问的规则。

- 阻止特定端口的访问:我们设置了一条阻止访问端口号为80的规则,以模拟对HTTP协议的限制。

2. 应用ACL规则配置完ACL规则后,我们将其应用到设备的出口接口上。

这样,所有经过该接口的流量都将受到ACL规则的限制。

3. 测试ACL效果为了验证ACL的效果,我们进行了以下测试:- 尝试从IP地址为192.168.1.100的主机访问设备,结果显示访问成功,符合我们的预期。

- 尝试从其他IP地址访问设备,结果显示访问被拒绝,ACL规则起到了限制作用。

- 尝试访问设备的80端口,结果显示访问被拒绝,ACL规则成功限制了对HTTP协议的访问。

五、实验结果与分析通过实验,我们成功配置了ACL规则,并验证了ACL在网络安全中的实际效果。

ACL能够限制特定IP地址或端口的访问,从而提高网络资源的安全性。

通过合理配置ACL规则,可以防止未经授权的访问和攻击,保护网络的机密性和完整性。

六、实验总结ACL在网络安全中起到了重要的作用。

如何设置网络防火墙的访问控制列表(ACL)?(四)

如何设置网络防火墙的访问控制列表(ACL)?(四)

如何设置网络防火墙的访问控制列表(ACL)?在当今互联网时代,网络安全已经成为了一个非常重要的话题。

无数的恶意代码、黑客攻击和网络犯罪威胁着我们的信息和数据的安全。

为了保护我们的网络免受这些威胁,使用网络防火墙已经成为了必不可少的一种手段。

而设置网络防火墙的访问控制列表(ACL)则是不可或缺的一部分。

访问控制列表(ACL)是用于规定网络中主机或者网络设备之间的通信权限的一种机制。

通过设置ACL,我们可以限制特定的IP地址、端口或者协议与我们的网络进行通信。

下面,我们将逐步讲解如何设置网络防火墙的ACL。

首先,我们需要明确网络防火墙的位置和作用。

一般来说,网络防火墙分为边界防火墙和内部防火墙。

边界防火墙一般位于整个网络的边缘,用于保护整个网络免受外部攻击。

而内部防火墙常常位于网络的内部,用于保护内部网络的安全。

因此,设置ACL的方法和策略也会有所不同。

接下来,我们需要确定需要进行通信限制的对象。

网络中的主机和设备众多,但并非每一个都需要设置ACL。

首先,我们应该确保所有重要的服务器和设备都设置了ACL,以保护其安全。

其次,我们还应该根据风险评估来决定是否需要对其他主机和设备进行限制。

例如,对于无线网络连接的用户,我们可能需要限制他们能够访问的资源和服务。

在设置ACL时,我们需要考虑的一个重要因素就是访问控制的粒度。

粒度越细,我们对网络通信的控制也就越精细。

但是,过于细粒度的ACL可能会导致配置复杂、维护困难。

因此,我们需要权衡控制粒度和网络管理的复杂性。

另一个需要考虑的因素是白名单和黑名单的使用。

白名单是只允许指定的网络对象进行通信,而黑名单则是禁止指定的网络对象进行通信。

一般来说,白名单的安全性更高,但管理也更加困难。

而黑名单则更加容易设置和维护,但需要及时更新。

根据实际情况和需求,我们可以选择合适的名单类型。

此外,设置网络防火墙的ACL时,我们还应该考虑到日志记录和审计的问题。

通过记录与网络通信相关的信息,我们可以追踪和分析网络活动,及时发现和处理异常和攻击行为。

计算机网络实验报告 访问控制列表ACL配置实验

计算机网络实验报告 访问控制列表ACL配置实验

一、实验项目名称访问控制列表ACL配置实验二、实验目的对路由器的访问控制列表ACL进行配置。

三、实验设备PC 3台;Router-PT 3台;交叉线;DCE串口线;Server-PT 1台;四、实验步骤标准IP访问控制列表配置:新建Packet Tracer拓扑图(1)路由器之间通过V.35电缆通过串口连接,DCE端连接在R1上,配置其时钟频率64000;主机与路由器通过交叉线连接。

(2)配置路由器接口IP地址。

(3)在路由器上配置静态路由协议,让三台PC能够相互Ping通,因为只有在互通的前提下才涉及到方控制列表。

(4)在R1上编号的IP标准访问控制。

(5)将标准IP访问控制应用到接口上。

(6)验证主机之间的互通性。

扩展IP访问控制列表配置:新建Packet Tracer拓扑图(1)分公司出口路由器与外路由器之间通过V.35电缆串口连接,DCE 端连接在R2上,配置其时钟频率64000;主机与路由器通过交叉线连接。

(2)配置PC机、服务器及路由器接口IP地址。

(3)在各路由器上配置静态路由协议,让PC间能相互ping通,因为只有在互通的前提下才涉及到访问控制列表。

(4)在R2上配置编号的IP扩展访问控制列表。

(5)将扩展IP访问列表应用到接口上。

(6)验证主机之间的互通性。

五、实验结果标准IP访问控制列表配置:PC0:PC1:PC2:PC0ping:PC1ping:PC0ping:PC1ping:扩展IP访问控制列表配置:PC0:Server0:六、实验心得与体会实验中对ACL的配置有了初步了解,明白了使用ACL可以拒绝、允许特定的数据流通过网络设备,可以防止攻击,实现访问控制,节省带宽。

其对网络安全有很大作用。

另外,制作ACL时如果要限制本地计算机访问外围网络就用OUT,如果是限制外围网络访问本地计算机就用IN。

两者的区别在于他们审核访问的时候优先选择哪些访问权限。

访问控制列表(ACL)配置

访问控制列表(ACL)配置

ACL(访问控制列表)一、基本:1、基本ACL表2、扩展ACL表3、基于时间的ACL表4、动态ACL表二、ACL工作过程1、自上而下处理1)、如果有一个匹配的ACL,后面的ACL表不再检查2)、如果所有的ACL都不匹配,禁止所有的操作(隐含)特例,创建一个空的ACL表,然后应用这个空的ACL表,产生禁止所有的操作。

3)、后添加的ACL表,放在尾部4)、ALC表放置的原则:如果是基本ACL表,尽量放在目的端,如果是扩展ACL表,尽量放在源端5)、语句的位置:一般具体ACL表放在模糊的ACL表前6)、3P原则:每一个协议每一个接口每一个方向只有一个ACL表。

(多个ACL表会引起干扰)7)、应用ACL的方向,入站和出站,应用在接口上三、基本ACL表(不具体)1、定义命令:access-list <</span>编号> permit/denny 源IP地址 [子网掩码反码]应用命令:ip access-group <</span>编号> in/out 查看命令:sh access-lists1)、编号:1-99和1300-19992)、可以控制一台计算机或控制一段网络3)、host:表示一台计算机4)、any:表示任何计算机四、ACL配置步骤:1、定义ACL表2、应用ACL表五、路由器在默认的情况下,对所有数据都是开放,而防火墙在默认情况下,对所有数据都禁止。

六:判断是流入还是流出,看路由器的数据流向七:注意:如果在写禁止,小心默认禁止所有1.控制一台计算机(禁止)Access-list 1 deny 172.16.2.100Access-list 1 permit anyInterface f0/0Ip access-group 1 out (应用到端口)2、控制一段网络(禁止)Access-list 1 deny 172.16.2.0 0.0.0.255Access-list 1 permit anyInterface f0/0Ip access-group 1 out(应用到端口)3、控制一台计算机(允许)Access-list 1 permit 172.16.1.1004、控制一个网段(允许)Access-list 1 permit 172.16.1.0 0.0.0.255telnet服务配置:1)、使能密码2)、登录密码控制telnet服务应用端口命令:access-class <</span>编号> in/out 实例:只允许172.16.1.100能够使用telnet服务access-list 1 permit 172.16.1.100 Line vty 0 4Access-class 1 in实例:。

ACL访问控制列表配置与优化

ACL访问控制列表配置与优化

ACL访问控制列表配置与优化ACL(Access Control List)访问控制列表是用于网络设备实现流量控制和网络安全的一种技术。

通过ACL,可以根据规则过滤和限制网络流量,以实现对网络资源的保护和管理。

本文将介绍ACL访问控制列表的配置和优化方法。

一、ACL基本概念ACL是一组用于控制网络流量的规则集合,它根据规则匹配和处理数据包。

ACL可以基于源IP地址、目的IP地址、传输层协议(如TCP或UDP)、传输层端口号等信息对数据包进行过滤和限制。

ACL规则由许多条目组成,每个条目包含一个或多个匹配条件和一个动作。

匹配条件可以根据需要自定义,动作决定如何处理匹配到的数据包,可以是允许通过、拒绝或执行其他操作。

二、ACL配置方法1. 确定访问控制目标:在配置ACL之前,需明确要保护的网络资源和限制的网络流量类型,以便针对性地配置ACL规则。

2. 创建ACL规则:根据网络资源的保护需求和限制要求,设置ACL规则。

可以使用命令行界面(CLI)或图形用户界面(GUI)进行配置。

3. 规则优先级:规则的顺序非常重要,ACL规则按照从上到下的顺序逐条匹配,匹配成功后立即执行相应的动作。

因此,应将最常见或最具限制性的规则放在前面。

4. 匹配条件:根据需要设置匹配条件,常见的条件有源IP地址、目的IP地址、传输层协议和端口号等。

更复杂的条件可结合使用。

5. 动作设置:根据匹配结果设置动作,可以是允许通过、拒绝或执行其他操作,如重定向、日志记录等。

6. 应用ACL:在需要进行流量控制和保护的设备上应用ACL配置,使其生效。

三、ACL优化方法1. 精简ACL规则:定期审查ACL规则,删除不必要的规则。

过多或冗余的规则会影响ACL匹配性能。

2. 规则合并:将具有相同动作和相似匹配条件的规则合并,减少规则数量,提高ACL处理效率。

3. 设置默认规则:通过设置默认规则,对未匹配到的数据包进行统一配置,避免未预期的情况。

访问控制列表(ACL)总结配置与应用

访问控制列表(ACL)总结配置与应用
………… interface FastEthernet0/0 ip address 192.168.1.1 255.255.255.0 ip access-group 101 in duplex auto speed auto
三、 命名访问控制列表
命名访问控制列表允许在标准和扩展访问控制列表中使用名称代替表号。 1、 命名访问控制列表的配置 Router(config)#ip access-list {standard | extended} access-list-name
扩展 ACL 配置实例
如图:配置允许主机 PC 访问 WEB 服务的 WWW 服务,而禁止主机 PC 访问 WEB 的其他 服务。
1、 分析哪个接口应用标准 ACL
应用在入站还是出站接口。 与标准 ACL 一样,应该尽量把 ACl 应用到入站方向
应用在哪台路由器上。 由于扩展 ACL 可以根据源 IP 地址。目的 IP 地址、指定协议、端口等过滤数据包,
3、 将 ACL 应用于接口
创建 ACL 后,只有将 ACL 应用于接口,ACL 才会生效。 Router(config)#ip access-group access-list-number {in | out }
参数 in|out 用来指示该 ACL 是应用到入站接口(in),还是初战接口(out)。 在接口上取消 ACL 的应用 Router(config)#no ip access-group acess-list-number (in | out)
access-llist-number:访问控制列表表号,对于扩展 ACL 来书是 100-199; permit | deny:如果满足条件,则允许|拒绝该流量; protocol:用于指定协议类型,如 IP、TCP、UDP、ICMP 等; source、destination:源和目的,分别用来表示源地址和目的地址; source-wildcard、destination-wildcard:反码。源地址和目标地址的反码; operator operan:lt(小于)、gt(大于)、eq(等于)、neq(不等于)和一个 端口。

ACL配置实例

ACL配置实例拓扑图如下:实验一:标准访问控制列表1、设置访问控制列表1,禁止192、168、2、2这台主机访问192、168、1、0/24这个网段中得服务器,而192、168、2、0/24这个网段中得其它主机可以正常访问。

设置访问控制列表如下:R1(config)#access-list 1 deny host 192、168、2、2R1(config)#access-list 1 permit any将访问控制列表应用到接口F0/0得出站方向上R1(config)#int f0/0R1(config-if)#ip access-group 1 out2、设置访问控制列表2,只允许192、168、2、0/24这个网段中得主机可以访问外网,192、168、1、0/24这个网段得主机则不可以。

设置访问控制列表R1(config)#access-list 2 permit 192、168、2、0 0、0、0、255将访问控制列表应用到S0/0得出站方向上R1(config)#int serial 0/0R1(config-if)#ip access-group 2 out3、设置访问控制列表3,只允许192、168、2、3这台主机可以使用telnet连接R1。

4、查瞧访问控制列表2 match(es)这些信息显示就是过滤包得数据,可以使用clear access-list counters命令来清除。

5、查瞧配置在接口上得访问控制列表6、删除访问控制列表删除访问控制列表要从两个方面入手,一就是删除访问控制列表,二就是取消访问控制列表有接口上得应用。

R1(config)#no access-list 1R1(config)#int f0/0R1(config-if)#no ip access-group 1 out实验二:扩展访问控制列表扩展访问控制列表得语法:access-list [100-199] [permit/deny] 协议源IP 源IP反码目标IP 目标IP 反码条件[eq] [具体协议/端口号]1、在SERVER上搭建、DNS服务如下:2、测试从三台PC中就是否可以正常访问各种服务。

网络安全之——ACL(访问控制列表)

网络安全之——ACL(访问控制列表)网络安全之——ACL(访问控制列表)【实验目的】1、掌握基本ACL的原理及配置方法。

2、熟悉高级ACL的应用场合并灵活运用。

【实验环境】H3C三层交换机1台,PC 3台,标准网线3根。

【引入案例1】某公司建设了Intranet,划分为经理办公室、档案室、网络中心、财务部、研发部、市场部等多个部门,各部门之间通过三层交换机(或路由器)互联,并接入互联网。

自从网络建成后麻烦不断,一会儿有人试图偷看档案室的文件或者登录网络中心的设备捣乱,一会儿财务部抱怨研发部的人看了不该看的数据,一会儿领导抱怨员工上班时候整天偷偷泡网,等等。

有什么办法能够解决这些问题呢?【案例分析】网络应用与互联网的普及在大幅提高企业的生产经营效率的同时也带来了许多负面影响,例如,数据的安全性、员工经常利用互联网做些与工作不相干的事等等。

一方面,为了业务的发展,必须允许合法访问网络,另一方面,又必须确保企业数据和资源尽可能安全,控制非法访问,尽可能的降低网络所带来的负面影响,这就成了摆在网络管理员面前的一个重要课题。

网络安全采用的技术很多,通过ACL (Access Control List,访问控制列表)对数据包进行过滤,实现访问控制,是实现基本网络安全的手段之一。

【基本原理】ACL是依据数据特征实施通过或阻止决定的过程控制方法,是包过滤防火墙的一种重要实现方式。

ACL是在网络设备中定义的一个列表,由一系列的匹配规则(rule)组成,这些规则包含了数据包的一些特征,比如源地址、目的地址、协议类型以及端口号等信息,并预先设定了相应的策略——允许(permint)或禁止(Deny)数据包通过。

基于ACL的包过滤防火墙通常配置在路由器的端口上,并且具有方向性。

每个端口的出站方向(Outbound)和入站方向(Inbound)均可配置独立的ACL 进行包过滤。

出方向过滤基于ACL的包过滤当路由器收到一个数据包时,如果进入端口处没有启动ACL包过滤,则数据包直接提交路由器转发进程处理,如果进入端口处启动了ACL包过滤,则数据交给入站防火墙进行过滤,其工作流程如图所示。

访问控制列表ACL的配置与使用

访问控制列表ACL的配置与使用访问控制列表,即Access Control List,以下简称ACL,是路由器、交换机等网络设备上最常用的功能之一。

可以说大多数的网络协议都跟ACL有着千丝万缕的联系,所以要弄清楚ACL的用法非常重要。

实际上,ACL的本质就是用于描述一个IP数据包、以太网数据帧若干特征的集合。

然后根据这些集合去匹配网络中的流量(由大量数据包组成),同时根据策略来“允许”或者“禁止”。

ACL的基本原理:1、ACL由若干条件,并按照一定的顺序而成,同时每个条件都对应了一个策略:允许或者禁止。

2、收到一个数据帧之后,ACL会按照从上到下的顺序逐一匹配:●一个条件不匹配就查看下一个;●任意一个条件匹配后就按照指定的策略执行,并跳出匹配;●所有条件都不匹配时,默认禁止,即deny。

根据条件描述的不同,我们通常可以将IP ACL分为基本型和扩展型两种。

其中基本型只能就数据包的源ip地址进行匹配;而扩展型ACL就可以对源IP、目的IP、协议号(判断tcp/udp/icmp等)、源端口号、目的端口号、QoS 参数(tos、precedence)等参数来进行定义,同时在匹配时,还可以根据路由器系统时间(time-range)来变化、还可以选择是否生成日志(log)等,功能非常强大。

显然标准型ACL功能非常简单,而扩展型ACL功能非常强大;但是功能越强大,匹配的越详细,对于路由器等网络设备的性能要求越高,或者对于网速的拖慢越明显。

组网时需要酌情使用。

不过有一点,两种类型的ACL在原理上是完全一致的。

标准型ACL只能匹配源IP地址,在实际操作中,有三种匹配方式:1、any,任意地址2、<net><mask>,指定ip网段3、src_range,指定ip地址范围配置模板:ip access-list standard <name> //建立一个标准型的ACL,名字自定{permit | deny} any{permit | deny} <network> <net-mask>{permit | deny} src_range <start-ip> <end-ip>例1:我们需要设置某局域网中只有192.168.1.0网段的用户能够上网(理论上有254个用户),那么应该是ip access-list standard testpermit 192.168.1.0 255.255.255.0deny any(隐含生效,无需配置)例2:我们需要设置某局域网中只有192.168.1.2~192.168.1.80的用户能够上网(理论上有79个用户),本网段的其他用户无法上网,那么应该是ip access-list standard testpermit src_range 192.168.1.2 192.168.1.80deny any(隐含生效)例3:我们需要让某局域网中只有192.168.1.0网段用户上网,但是192.168.1.33这个ip地址的用户要禁止(财务禁止上网)(理论上有253个用户),那么应该是ip access-list standard testdeny 192.168.1.33 255.255.255.255permit 192.168.1.0 255.255.255.0deny any(隐含生效)注意:例3中,要表示单个主机的话,掩码必须是4个255,即32位掩码;同时所有的例子中,各个条目的先后顺序不能搞错,想想看为什么?扩展型ACL可匹配的条目比较多,前面已经说过,但世纪上最常用的项目也就是源、目的IP,源、目的端口号,以及ip协议号(种类)这5种,这5种就可以用来满足绝大多数的应用。

访问控制列表(ACL)配置实验

实验四:访问控制列表(ACL)配置实验一、实验原理1、ACL的定义和作用路由器为了过滤数据包,需要配置一系列的规则,以决定什么样的数据包能够通过,这些规则就是通过访问控制列表ACL定义的。

访问控制列表是偶permit/deny语句组成的一系列有顺序的规则,这些规则根据数据包的源地址、目的地址、端口号等来描述。

2、访问控制列表的分类:1. 基本的访问控制列表(basic acl)2.高级的访问控制列表(advanced acl)3.基于接口的访问控制列表(interface-based acl)4. 基于MAC的访问控制列表(mac-basedacl)三、实验方法和步骤1、按照拓扑图连线2、没有配如ACL访问控制列表的操作3、在AR28-1上配置高级访问控制列表四、实验结果测试一:试从AR18-1端的PC机向对端使用”飞鸽传书“传输数据,和使用PING与对方通信。

实验效果:可以飞鸽传书,可以PING通对方IP实验结果截图如下测试二:试从AR18-1端的PC机向对端使用”飞鸽传书“传输数据,和使用PING与对方通信。

实验效果:Router A/B这一组是通过配置AR28-1的ACL,使用与Router C/D这一组的PC机的飞鸽传书不能传输数据,可以发送聊天信息,可以PING通对方IP.实验结果截图如下五.思考题试分析交换机中ACL 配置信息的内容和作用答:ACL通过对网络资源进行访问输入和输出控制,确保网络设备不被非法访问或被用作攻击跳板。

ACL是一张规则表,交换机按照顺序执行这些规则,并且处理每一个进入端口的数据包。

每条规则根据数据包的属性(如源地址、目的地址和协议)要么允许、要么拒绝数据包通过。

由于规则是按照一定顺序处理的,因此每条规则的相对位置对于确定允许和不允许什么样的数据包通过网络至关重要。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

4.4 标准访问控制列表在路由接口应用 ACL的实例
2、验证标准ACL 配置完IP访问控制列表后,如果想知道是否正确,可以使用 show access-lists、show ip interface等命令进行验证。
2、验证标准ACL
①show access-lists命令 该命令用来查看所有访问控制列表的内容。 RTB# show access-lists Standard ip access list 1 10 permit 172.16.10.20 20 deny 172.16.10.0, wildcard bits 0.0.0.255 (16 matches) 30 permit any (18 matches)
4.2.1 标准ACL的工作过程
图4-2-1 标准ACL的工作过程
4.2.2 配置标准ACL
一、在路由器上RTB上配置如下: RTB(config)# access-list 1 permit host 172.16.10.10 RTB(config)# access-list 1 deny 172.16.10.0 0.0.0.255 RTB(config)# access-list 1 permit any RTB(config)# interface s0/0 RTB(config-if)# ip access-group 1 in
4.6 实训1 配置标准ACL
一、实训目的
掌握ACL设计原则和工作过程;掌握配置标准ACL; 掌握配置命名ACL; 掌握ACL的调试
二、实训任务
配置标准ACL。要求拒绝PC2所在网段访问路由器RTB,同时只允许主机 PC3访问路由器RTB的Telnet服务。整个网络配置EIGRP保证IP的连通性。 删除内容1所定义的标准ACL,配置扩展ACL。要求只允许PC2所在网段的 主机访问路由器RTB的WWW和Telnet服务,并拒绝PC3所在的网段ping路 由器RTB。 用命名ACL来实现(1)和(2)的要求。
三、实训设备 路由器Cisco 2611三台,带有网卡的工作站PC三台,线缆若干
四、实训环境
五、实训步骤
在完成本实训之前,先按以下步骤保证网络的连通性。 以下步骤在三组路由器中同时进行。 (1) 配置路由器各端口的IP地址,启用相应端口,并确 认上述操作成功; (2) 配置PC的IP地址,并确认操作正确; (3) 在PC中分别ping本组路由器的端口,并能ping通; (4) 在路由器中设置EIGRP,保证到其他网络的连通性;
4.1.2 ACL的工作原理
二、ACL匹配性检查
到达访问控制组接 口的数据包 非 匹配第一步 非 匹配第二步 非
……
是 是
匹配最后一步 非

允许? 非
是 目的接口
数据包垃圾桶
图4-1-2 ACL匹配性检查
4.2 配置标准访问控制列表
最广泛使用的访问控制列表是IP访问控制 列表,IP访问控制列表工作于TCP/IP协议组。 按照访问控制列表检查IP数据包参数的不同, 可以将其分成标准ACL和扩展ACL两种类型。 此外Cisco IOS 11.2版本中还引入了IP命名ACL 类型。从本节开始分别介绍各种ACL的配置方 法。
4.4.1访问控制列表概述
二、组成
访问控制列表 Internet
图4-1-1 网络中使用ACL
4.4.1访问控制列表概述
三、 ACL的作用 ACL的作用主要表现在两个方面:一方面保护资 源节点,阻止非法用户对资源节点的访问;另一 方面限制特定的用户节点所能具备的访问权限。 (1)检查和过滤数据包。 (2)限制网络流量,提高网络性能。 (3)限制或减少路由更新的内容。 (4)提供网络访问的基本安全级别。
4.1.2 ACL的工作原理
一、工作原理 当一个数据包进入路由器的某一个接口时,路由 器首先检查该数据包是否可路由或可桥接。然后路由 器检查是否在入站接口上应用了ACL。如果有ACL,就 将该数据包与ACL中的条件语句相比较。如果数据包被 允许通过,就继续检查路由器选择表条目以决定转发 到的目的接口。ACL不过滤由路由器本身发出的数据包, 只过滤经过路由器的数据包。下一步,路由器检查目 的接口是否应用了ACL。如果没有应用,数据包就被直 接送到目的接口输出。
2、验证标准ACL
②show ip interface命令 该命令用于查看ACL作用在IP接口上的信息,并指出ACL是 否正确设置。 RTB# show ip interface Serial 0/0/0 is up,line protocol is up Internet address is 12.12.12.12/24 Broadcast address is 255.255.255.255 Address determined by setup command MTU is 1500 bytes Helper address is not set Directed broadcast forwarding is disabled Outgoing access list is not set Inbound access list is 1
二、呼入Telnet会话管理
参 数
access-list-number Deny Permit Source source-wildcard Log

ห้องสมุดไป่ตู้

访问控制列表表号,用来指定入口属于哪一个访问控制列表。对于标 准ACL来说,是一个从1到99或1300到1999之间的数字 如果满足测试条件,则拒绝从该入口来的通信流量 如果满足测试条件,则允许从该入口来的通信量 数据包的源地址,可以是网络地址或是主机IP地址 可选项)通配符掩码,又称反掩码,用来跟源地址一起决定哪些位需 要匹配 (可选项)生成相应的日志消息,用来记录经过ACL入口的数据包的 情况
三、在通配符掩码中有两种比较特殊,分别是any和host。 any可以表示任何IP地址,例如:
Router( config ) # access-list 10 permit 0.0.0.0 255.255.255.255 等同于: Router ( config ) # access-list 10 permit any host表示一台主机,例如: Router ( config ) # access-list 10 permit 172. 16. 30.22 0.0.0.0 等同于: Router ( config ) # access-list 10 permit host 172. 16. 30.22 另外,可以通过在access-list命令前加no的形式,来删除一个已经建立的 标准ACL,使用语法格式如下: Router ( config ) # no access-list access-list-number 例如: Router ( config ) # no access-list 10
4.5 扩展访问控制列表在路由接口应 用ACL的实例
下面以一个实例来说明扩展ACL的配置和验证过程。 如图4-5-1所示,某企业销售部的网络和财务部的网络通过路由器RTA和RTB 相连,整个网络配置RIPv2路由协议,保证网络正常通信。 要求在RTA上配置扩展ACL,实现以下4个功能: (1)允许销售部网络172.16.10.0的主机访问WWW Server 192.168.1.10; (2)拒绝销售部网络172.16.10.0的主机访问FTP Server 192.168.1.10; (3)拒绝销售部网络172.16.10.0的主机Telnet路由器RTB; (4)拒绝销售部主机172.16.10.10 Ping路由器RTB。
课题四 访问控制列表 (ACL)的配置
本课题主要内容
使用标准访问控制列表和扩展访问控制列表控 制网络流量的方法 标准访问控制列表和扩展访问控制列表以及在 路由接口应用ACL的实例。
4.1 访问控制列表 4.4.1访问控制列表概述
一、概念 访问控制列表简称 ACL( Access Control Lists),它使用包过滤技术,在路由器上读取 第3层或第4层包头中的信息,如源地址、目的 地址、源端口、目的端口以及上层协议等,根 据预先定义的规则决定哪些数据包可以接收、 哪些数据包需要拒绝,从而达到访问控制的目 的。配置路由器的访问控制列表是网络管理员 一件经常性的工作。
4.4 标准访问控制列表在路由接口应用 ACL的实例 1、配置标准ACL 在路由器上RTB上配置如下: RTB(config)# access-list 1 permit host 172.16.10.10 RTB(config)# access-list 1 deny 172.16.10.0 0.0.0.255 RTB(config)# access-list 1 permit any RTB(config)# interface s0/0/0 RTB(config-if)# ip access-group 1 in
4.4 标准访问控制列表在路由接口应用 ACL的实例
如图8-4所示,某企业销售部、市场部的网络和财务部的网络通过路由器RTA 和RTB相连,整个网络配置RIPv2路由协议,保证网络正常通信。要求在RTB 上配置标准ACL,允许销售部的主机PC1访问路由器RTB,但拒绝销售部的其 他主机访问RTB,允许销售部、市场部网络上所有其他流量访问RTB。 RTB RTB
4.3 配置扩展访问控制列表 4.3.1 扩展ACL的工作过程
图4-3-1
扩展ACL的工作过程
4.3.2 配置扩展ACL
Router(config)# access-list access-list-number {deny | permit} protocol source [source-wildcard destination destination-wildcard] [operator operand] [established] Router(config)# no access-list access-list-number