下载文档原格式
标准IP访问控制列表的配置及应用一、拓扑结构图;二、访问控制列表的概念;1.访问控制列表(Access Control List,ACL)是应用在路由器(或三层交换机)端口上的控制列表。
ACL可以允许(permit)或拒绝(deny)进入或离开路由器的数据包(分组),通过设置可以允许或拒绝网络用户使用路由器的某些端口,对网络系统起到安全保护作用。
访问控制列表(ACL)实际上是一系列允许和拒绝匹配准则的集合。
2.IP访问控制列表可以分为两大类:标准IP访问控制列表,只对数据包的源IP地址进行检查。
其列表号为1~99或者1300~1999。
扩展IP访问控制列表,对数据包的源和目标IP地址、源和目标端口号等进行检查,可以允许或拒绝部分协议。
其列表号为100~199或2000~2699。
3.访问控制列表对每个数据包都以自上向下的顺序进行匹配。
如果数据包满足第一个匹配条件,那么路由器就按照该条语句所规定的动作决定是拒绝还是允许;如果数据包不满足第一个匹配条件,则继续检测列表的下一条语句,以此类推。
数据包在访问控制列表中一旦出现了匹配,那么相应的操作就会被执行,并且对此数据包的检测到此为止。
后面的语句不可能推翻前面的语句,因此访问控制列表的过滤规则的放置顺序是很讲究的,不同的放置顺序会带来不同的效果。
三、技术原理;假设某公司的经理部,销售部和财务部分别属于不同的网段,出于安全考虑,公司要求经理部的网络可以访问财务部,而销售部无法访问财务部的网络,其他网络之间都可以实现互访。
访问控制列表一般是布局于需要保护的网络与其他网络联接的路由器中,即为距离被保护网络最接近的路由器上。
配置标准IP访问控制列表:1.定义标准IP访问控制列表;Router (config)#access-list access-list-number deny/permit source-address source-wildcard/*source-wildcard为数据包源地址的通配符掩码。
访问控制列表AccessList路由器使用访问控制列表(ACL)来识别数据流,然后对其进行过滤、加密、分类或转换,以更好地管理和控制网络的功能。
标准访问列表:编号1-99或1300-1999,只检查分组的源地址,允许或禁止整个协议簇的分组通过。
扩展访问列表:编号100-199或2000-2699,检查分组的源地址、目标地址、协议、端口号和其他参数。
重点:1、入站访问列表的效率比出站访问列表高;2、路由器按顺序自上而下地处理访问列表中的语句;3、将具体条件放在一般性条件前,将常发生的条件放在不常发生的条件前;4、访问列表的最后有一条隐式的deny语句(access-list 1 deny any),分组将被禁止通过;5、新添的语句总被放在访问列表末尾,隐式的前面;6、使用编号访问列表时不能有选择性的删除其中一条语句,但使用名称访问列表可以(IOS11.2以上);7、在每个接口的每个方向上针对每种协议的访问列表只能有一个,同一个接口上可以有多个访问列表,但必须是针对不同协议的。
等价写法:access-list 1 deny 172.16.4.3 0.0.0.0 = access-list 1 deny host 172.16.4.3 access-list 1 permit 0.0.0.0 255.255.255.255 = access-list permit any拒绝172.16.1.1访问192.168.1.1上的telnet服务,其余主机可以:rt(config)#access-list 101 deny tcp host 172.16.1.1 host 192.168.1.1 eq telnet rt(config)#access-list 101 permit ip any any172.16.x.y,当x为偶数,y为奇数时允许,其他拒绝:rt(config)#access-list 1 permit 172.16.0.1 0.0.254.254rt(config)#access-list 1 deny 172.16.0.0 0.0.255.255命名列表:rt(config)#ip access-list standard list_namert(config-std-nacl)#permit 1.1.0.1 0.0.254.254rt(config-std-nacl)#deny 1.1.0.0 0.0.255.255access-list 有关收藏Chapter9 Managing Traffic with Access ListsIntroduction to Access Lists访问列表(access list,ACL)的主要作用是过滤你不想要的数据包.设置ACL的一些规则:1.按顺序的比较,先比较第一行,再比较第二行..直到最后1行2.从第一行起,直到找到1个符合条件的行;符合以后,其余的行就不再继续比较下去3.默认在每个ACL中最后1行为隐含的拒绝(deny),如果之前没找到1条许可(permit)语句,意味着包将被丢弃.所以每个ACL必须至少要有1行permit语句,除非你想想所有数据包丢弃2种主要的访问列表:1.标准访问列表(standard access lists):只使用源IP地址来做过滤决定2.扩展访问列表(extended access lists):它比较源IP地址和目标IP地址,层3的协议字段,层4端口号来做过滤决定利用ACL来过滤,必须把ACL应用到需要过滤的那个router的接口上,否则ACL是不会起到过滤作用的.而且你还要定义过滤的方向,比如是是想过滤从Internet到你企业网的数据包呢还是想过滤从企业网传出到Internet的数据包呢?方向分为下面2种:1.inbound ACL:先处理,再路由2.outbound ACL:先路由,再处理一些设置ACL的要点:1.每个接口,每个方向,每种协议,你只能设置1个ACL2.组织好你的ACL的顺序,比如测试性的最好放在ACL的最顶部3.你不可能从ACL从除去1行,除去1行意味你将除去整个ACL,命名访问列表(named access lists)例外(稍后介绍命名访问列表)4.默认ACL结尾语句是deny any,所以你要记住的是在ACL里至少要有1条permit语句5.记得创建了ACL后要把它应用在需要过滤的接口上6.ACL是用于过滤经过router的数据包,它并不会过滤router本身所产生的数据包7.尽可能的把IP标准ACL放置在离目标地址近的地方;尽可能的把IP扩展ACL放置在离源地址近的地方Standard Access Lists介绍ACL设置之前先介绍下通配符掩码(wildcard masking).它是由0和255的4个8位位组组成的.0代表必须精确匹配,255代表随意,比如:172.16.30.0 0.0.0.255,这个告诉router前3位的8位位组必须精确匹配,后1位8位位组的值可以为任意值.如果你想指定172.16.8.0到172.16.15.0,则通配符掩码为0.0.7.255(15-8=7)配置IP标准ACL,在特权模式下使用access-lists [范围数字] [permit/deny] [any/host]命令.范围数字为1到99和1300到1999;permit/deny分别为允许和拒绝;any为任何主机,host为具体某个主机(需要跟上IP地址)或某1段我们来看1个设置IP标准ACL的实例:router有3个LAN的连接1个Internet的连接.现在,销售部的用户不允许访问金融部的用户,但是允许他们访问市场部和Internet连接.配置如下:Router(config)#access-list 10 deny 172.16.40.0 0.0.0.255Router(config)#access-list 10 permit any注意隐含的deny any,所以末尾这里我们要加上permit any,any等同于0.0.0.0 255.255.255.255.接下来把ACL应用在接口上,之前说过了尽可能的把IP标准ACL放置在离目标地址近的地方,所以使用ip access-group命令把ACL 10放在E1接口,方向为出,即out.如下:Router(config)#int e1Router(config-if)#ip access-group 10 outControlling VTY(Telnet) Access使用IP标准ACL来控制VTY线路的访问.配置步骤如下:1.创建个IP标准ACL来允许某些主机可以telnet2.使用access-class命令来应用ACL到VTY线路上实例如下:Router(config)#access-list 50 permit 172.16.10.3Router(config)#line vty 0 4Router(config-line)#access-class 50 in如上,进入VTY线路模式,应用ACL,方向为进来,即in.因为默认隐含的deny any,所以上面的例子,只允许IP地址为172.16.10.3的主机telnet到router上Extended Access Lists扩展ACL:命令是access-list [ACL号] [permit/deny] [协议] [源地址] [目标地址] [操作符] [端口] [log].ACL号的范围是100到199和2000到2699;协议为TCP,UDP等,操作符号有eq(表等于),gt(大于),lt(小于)和neq(非等于)等等;log为可选,表示符合这个ACL,就记录下这些日志来看1个配置扩展ACL的实例:假如要拒telnet和FTP到绝位于金融部的主机172.16.30.5,配置如下:Router(config)#access-list 110 deny tcp any host 172.16.30.5 eq 21Router(config)#access-list 110 deny tcp any host 172.16.30.5 eq 23Router(config)#access-list 110 permit ip any any记住默认隐含的deny all.应用到E1接口,注意方向为out,如下:Router(config)#int e1Router(config-if)#ip access-group 110 outNamed Access Lists命名访问列表是创建标准和扩展访问列表的另外1种方法.它允许你使用命名的方法来创建和应用标准或者扩展访问列表.使用ip access-list命令来创建,如下:Router(config)#ip access-list ?extended Extended Acclogging Control access list loggingstandard Standard Access ListRouter(config)#ip access-list standard ?<1-99> Standard IP access-list numberWORD Access-list nameRouter(config)#ip access-list standard BlockSalesRouter(config-std-nacl)#?Standard Access List configuration commands:default Set a command to its defaultsdeny Specify packets to rejectexit Exit from access-list configuration modeno Negate a command or set its defaultpermit Specify packets to forwardRouter(config-std-nacl)#deny 172.16.40.0 0.0.0.255Router(config-std-nacl)#permit anyRouter(config-std-nacl)#exitRouter(config)#^ZRouter#sh run(略)!ip access-list standard BlockSalesdeny 172.16.40.0 0.0.0.255permit any!(略)接下来应用到接口上,如下:Router(config)#int 1Router(config-if)#ip access-group BlockSales outRouter(config-if)#^ZRouter#Monitoring Access Lists一些验证ACL的命令,如下:1.show access-list:显示router上配置了的所有的ACL信息,但是不显示哪个接口应用了哪个ACL的信息2.show access-list [number]:显示具体第几号ACL信息,也不显示哪个接口应用了这个ACL3.show ip interface:只显示IP访问列表信息4.show ip interface:显示所有接口的信息和配置的ACL信息5.show ip interface [接口号]:显示具体某个接口的信息和配置的ACL信息6.show running-config:显示DRAM信息和ACL信息,以及接口对ACL的应用信息.关于RIP路由选择信息协议(Routing Information Protocol)是一种距离矢量路由选择协议,使用跳数作为度量值来选择路径,最大跳数15跳,最多6条路径间负载均衡。
ip标准访问控制列表的规则序号范围IP标准访问控制列表(StandardAccessControlList,简称SACL)是一种按照特定格式编制的访问控制规则,可以实施不同程度的访问控制方案。
SACL的核心在于按照规则序号进行序列化编码,从而将访问控制规则的设置一步步的添加、修改、删除进行有序的操作。
规则序号是访问控制规则的主要分类标准。
IP标准访问控制列表规则序号范围是0-99,每条规则最多可以有99条。
每条规则序号代表一个确切的意义,每条规则序号的设置及其排列顺序决定了访问控制规则的最终形成,是进行访问控制的核心依据。
在IP标准访问控制列表规则数量上,SACL一般可以设置接近100条规则,但是有时候当用户尝试设置规则超过99条时,系统会出现错误。
这是因为SACL规则序号范围是0-99,用户最多只能设置99条规则,而超过99条则会超出序号范围,导致系统报错。
IP标准访问控制列表规则序号设置范围一定要严格遵守,以避免不必要的错误发生,特别是当用户尝试设置规则超过99条时,要特别注意不要超出序号范围,以免出现意料之外的系统错误。
同时,用户在设置SACL时,应当特别注意规则序号的顺序,以免出现访问控制规则实现时规则未正确生效的情况。
SACL的规则及其序号设置是路由网络中最重要的一项功能,它控制了数据包的流向,能够有效的实施网络的安全管理,有效的提升网络的安全性。
因此,设置SACL时,一定要严格按照规则序号范围,其范围为0-99,每条规则最多可以设置99条,使用者一定要注意规则序号的设置顺序,以免出现访问控制规则未正确生效等情况。
同时,当用户尝试设置规则超过99条时,一定要注意不要超出序号范围,以免出现意料之外的系统错误。
第2章访问控制列表(一)➢TCP和UDP协议TCP/IP协议族的传输层协议主要有两个:TCP(Transmission ,传输控制协议)和UDP(User Datagram Protocol,用户数据抱协议)。
➢TCP协议TCP是面向连接的、可靠的进程到进程通信的协议。
TCP提供全双工服务,即数据可在同一时间双向传输,每一个TCP都有发送缓存和接受缓存,用来临时存储数据。
1.TCP报文段TCP将若干个字节构成一个分组,叫做报文段(Segment)。
TCP报文段封装在IP数据段中。
首部长度为20-60字节,以下是各个字段的含义:➢源端口:它是16位字段,为发送方进程对应的端口号➢目标端口号:它是16位字段,对应的是接收端的进程,接收端收到数据段后,根据这个端口号来确定把数据送给哪个应用程序的进程。
➢序号:当TCP从进程接收数据字节时,就把它们存储在发送缓存中,并对每一个字节进行编号。
编号的特点如下所述:◆编号不一定从0开始,一般会产尘一个随机数作为第1个字节的编号,称为初始序号(ISN),范围是0~232-1。
◆TCP每一个方向的编号是互相独立的。
◆当字节都被编上号后,TCP就给每一个报文段指派一个序号,序号就是该报文段中第1个字节的编号。
当数据到达目的地后,接收端会按照这个序号把数据重新排列,保证数据的正确性。
➢确认号:确认号是对发送端的确认信息,用它来告诉发送端这个序号之前的数据段都已经收到,比如确认号是X,就是表示前X-1个数据段都已经收到。
➢首部长度:用它可以确定首部数据结构的字节长度。
一般情况下TCP首部是20字节,但首部长度最大可以扩展为60字节。
➢保留:这部分保留位作为今后扩展功能用,现在还没有使用到。
➢控制位:这六位有很重要的作用,TCP的连接、传输和断开都是受六个控制为的指挥。
各位含义如下:◆URG:紧急指针有效位。
(指定一个包快速传送(重要数据优先传送))◆ACK:只有当ACK=1时,确认序列号字段才有效。
ACL访问控制1. 什么是访问控制列表指根据事先设定好的一系列的规则,对进出路由器或者三层交换机的数据包进行检测,实现对网络的访问控制管理、流量管理等。
访问控制列表的种类2. 目前主要有三种访问控制列表(ACL):标准ACL扩展ACL命名ACL主要动作为允许(Permit)和拒绝(deny)。
主要应用方法:入栈(In)和出栈(Out)应用。
2.1 标准ACL标准访问控制列表匹配IP包中的源地址或源地址中的一部分,可对匹配的包采取拒绝或允许两个操作。
编号范围是从1到99。
Route(config)#access-list 1 deny 192.168.1.0 0.0.0.2552.2 扩展ACL扩展IP访问控制列表比标准IP访问控制列表具有更多的匹配项,包括协议类型、源地址、目的地址、源端口、目的端口、建立连接的和IP优先级等。
编号范围是从100到199。
Route(config)#access-list 101 deny 192.168.1.0 0.0.0.255 202.114.254.0 0.0.0.2552.3 命名的访问控制列表所谓命名的访问控制列表是以列表名代替列表编号来定义IP访问控制列表。
(1). 标准的命名访问控制列表Route(config)#ip access-list standard list-nameRoute(config-std-nacl)#(2). 扩展的命名访问控制列表route(config)ip access-list extended list-nameroute(config-ext-nacl)#2.4 基于时间的访问控制列表基于时间的访问控制列表由两部分组成,第一部分是定义时间段,第二部分是用扩展访问控制列表定义规则。
这里我们主要讲解下定义时间段,具体格式如下:time-range 时间段名称absolute start [小时:分钟] [日月年] [end] [小时:分钟] [日月年] 例如:time-range softerabsolute start 0:00 1 may 2005 end 12:00 1 june 2005 意思是定义了一个时间段,名称为softer,并且设置了这个时间段的起始时间为2005年5月1日零点,结束时间为2005年6月1日中午12点。
ACL1.访问控制列表的类型标准访问控制列表:根据数据包的源IP地址来允许或拒绝。
(标号1—99)扩展访问控制列表:根据数据包的源IP地址、目的IP地址、指定协议、端口和标志(100-199)命名访问控制列表:允许在标准和扩展访问控制列表中使用命名来代替标号定时访问控制列表:提供基于时间的附加访问控制。
2.标准的ACL配置语法:Router(config)#access-list (1—99) {permit|deny} 源ip的网段反掩码1.允许192.168.1.0/24和192.168.1.2 的流量通过Router(config)#access-list 1 permit 192.168.1.0 0.0.0.255Router(config)#access-list 1 permit 192.168.1.2 0.0.0.0.0或Router(config)#access-list 1 host 192.168.1.12.拒绝访问任何网段 Router(config)#access-list 2 deny any3.删除以建立的ACL Router(config)# no access-list 14.将ACl应用到端口 Router(config-if)#ip access-group (1——99){in | out }3.扩展访问ACL 配置Router(config)#access-list (100-199){permit | deny} protocol {原地址反掩码目标地址反掩码} [operator operan ]Operator:lt-小于;gt—大于;eq—等于;neq-不等于Protocol:TCP;UDP;IP;ICMP1.允许网络192.168.1.0/24访问网络192.168.2.0/24的ip流量通过。
而拒绝其他的任何流量Router(config)#access-list 100 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 Router(config)#access-list 100 deny ip any any2. 拒绝网络192.168.1.0/24访问FTP服务器192.168.2.2。
标准访问控制列表1 实验目标✓在路由器上配置标准访问控制列表✓保护路由的Telnet安全2 试验要求✓定义访问控制列表20✓将访问控制列表绑定到VTY端口2.1试验拓扑3 实验过程:3.1在Router0上定义标准访问控制列表Router>Router>enRouter#confi tRouter(config)#line vty 0 4Router(config-line)#password aaa 配置Telnet密码Router(config-line)#exitRouter(config)#access-list 20 permit 192.168.1.3 0.0.0.0 定义访问控制Router(config)#line vty 0 4Router(config-line)#access-class 20 in将访问控制列表绑定VTY端口Router(config-line)#注意:在接口配置绑定访问控制列表,Router(config-if)#ip access-group 10 out 3.2查看访问控制列表Router#show access-listsStandard IP access list 20permit host 192.168.1.2Router#4 验证4.1在PC3上测试到Router0的telnetPacket Tracer PC Command Line 1.0PC>telnet 192.168.1.1Trying 192.168.1.1 ...User Access VerificationPassword: Telnet成功Router>Router>4.2在PC2上测试到Router0的TelnetPacket Tracer PC Command Line 1.0PC>telnet 192.168.1.1Trying 192.168.1.1 ...% Connection refused by remote host 拒绝PC>。
Tutorial 07: 标准IP访问控制列表ACL【实验名称】标准IP访问控制列表ACL【实验目的与要求】目的:掌握路由器上编号的标准IP访问列表规则及配置。
要求:用交换机模拟公司的经理部,财务部门和销售部门,他们分属不同的3个网段,三部门之间用路由器进行信息传递,为了安全起见,要求销售部门不能对财务部门进行访问,但经理部可以对财务部门进行访问。
PCA代表经理部的主机,PCB代表销售部门的主机、PCC代表财务部门的主机。
【实现功能】实现网段间互相访问的安全控制。
【实验设备及台套数】每组试验需要以下器材:PC机六台、锐捷路由器(R1762)2台、V35线缆1条、双绞线若干【实验原理】IP ACL(IP访问控制列表或IP访问列表)是实现对流经路由器或交换机的数据包根据一定的规则进行过滤,从而提高网络可管理性和安全性。
IP ACL分为两种:标准IP访问列表和扩展IP访问列表。
标准IP访问列表可以根据数据包的源IP定义规则,进行数据包的过滤。
扩展IP访问列表可以根据数据包的源IP、目的IP、源端口、目的端口、协议来定义规则,进行数据包的过滤。
IP ACL的配置有两种方式:按照编号的访问列表,按照命名的访问列表。
标准IP访问列表编号范围是1~99、1300~1999,扩展IP访问列表编号范围是100~199、2000~2699.【实验拓扑】【实验步骤】一、路由器的基本配置1、路由器A的基本配置RouterA(config)#interface fastEthernet 1/0RouterA(config-if)#ip address 172.16.1.1 255.255.255.0RouterA(config-if)#no shutdownRouterA(config)#interface fastEthernet 1/1RouterA(config-if)#ip address 172.16.2.1 255.255.255.0RouterA(config-if)#no shutdownRouterA(config)#interface serial 1/2RouterA(config-if)#ip address 172.16.3.1 255.255.255.0RouterA(config-if)#clock rate 64000RouterA(config-if)#no shutdown验证测试:RouterA#show ip interface briefInterface IP-Address(Pri) OK? Status serial 1/2 172.16.3.1/24 YES UP serial 1/3 no address YES DOWN FastEthernet 1/0 172.16.1.1/24 YES UP FastEthernet 1/1 172.16.2.1/24 YES UPNull 0 no address YES UP2、路由器B的基本配置RouterB(config)#interface fastEthernet 1/0RouterB(config-if)#ip address 172.16.4.1 255.255.255.0RouterB(config-if)#no shutdownRouterB(config)#interface serial 1/2RouterB(config-if)#ip address 172.16.3.2 255.255.255.0RouterB(config-if)#no shutdown验证测试:RouterB#show ip interface briefInterface IP-Address(Pri) OK? Status serial 1/2 172.16.3.2/24 YES UPserial 1/3 no address YES DOWN FastEthernet 1/0 172.16.4.1/24 YES UP FastEthernet 1/1 no address YES DOWN Null 0 no address YES UP二、配置静态路由RouterA(config)#ip route 172.16.4.0 255.255.255.0 172.16.3.2RouterB(config)#ip route 172.16.1.0 255.255.255.0 172.16.3.1RouterB(config)#ip route 172.16.2.0 255.255.255.0 172.16.3.1验证测试:RouterA#show ip routeCodes: C – connected, S – static, R – RIPO – OSPF, IA – OSPF inter areaN1 – OSPF NSSA external type 1, N2 – OSPF NSSA external type 2 E1 – OSPF external type 1, E2 – OSPF external type 2* - candidate defaultGateway of last resort is no setC 172.16.1.0/24 is directly connected, FastEthernet 1/0C 172.16.1.1/32 is local host.C 172.16.2.0/24 is directly connected, FastEthernet 1/1C 172.16.2.1/32 is local host.C 172.16.3.0/24 is directly connected, serial 1/2C 172.16.3.1/32 is local host.S 172.16.4.0/24 is directly connected, serial 1/2RouterB#show ip routeCodes: C – connected, S – static, R – RIPO – OSPF, IA – OSPF inter areaN1 – OSPF NSSA external type 1, N2 – OSPF NSSA external type 2E1 – OSPF external type 1, E2 – OSPF external type 2* - candidate defaultGateway of last resort is no setS 172.16.1.0/24 is directly connected, serial 1/2S 172.16.2.0/24 is directly connected, serial 1/2C 172.16.3.0/24 is directly connected, serial 1/2C 172.16.3.2/32 is local host.C 172.16.4.0/24 is directly connected, FastEthernet 1/0C 172.16.4.1/32 is local host.三、配置标准IP访问控制列表RouterB(config)#access-list 1 deny 172.16.2.0 0.0.0.255!拒绝来自172.16.2.0网段的流量通过RouterB(config)#access-list 1 permit 172.16.1.0 0.0.0.255!允许来自172.16.1.0网段的流量通过验证测试:RouterB#show access-lists 1Standard IP access-list 1 includes 2 items:deny 172.16.2.0,wildcard bits 0.0.0.255permit 172.16.1.0,wildcard bits 0.0.0.255四、把访问控制列表在接口下应用RouterB(config)#interface f1/0RouterB(config-if)#ip access-group 1 out !在接口下访问控制列表出栈流量调用验证测试:RouterB#show ip interface fastEthernet 1/0FastEthernet 1/0IP interface state is:UPIP interface type is:BROADCASTIP interface MTU is:1500IP address is:172.16.4.1/24(primary)IP address negotiate is :OFFForward direct-boardcast is:ONICMP mask reply is:ONSend ICMP redirect is:ONSend ICMP unreachabled is:ONDHCP relay is:OFFFast switch is:ONRoute horizontal-split is:ONHelpaddress is:0.0.0.0Proxy ARP is:ONOutgoing access list is 1. !查看访问列表在接口上的应用Inbound access list not set。
ACL 是交换机实现的一种数据包过滤机制,通过允许或拒绝特定的数据包进出网络,可以对网络访问进行控制,有效保证网络的安全运行。
ACL 是一个有序的语句集,每一条语句对应一条特定的规则(rule)。
每条rule包括了过滤信息及匹配此rule时应采取的动作。
Rule包含的信息可以包括源MAC、目的MAC、源IP、目的IP、IP协议号、tcp端口等条件的有效组合。
根据不同的标准,ACL可以有如下分类:根据过滤信息:ip access-list (三层以上信息),mac access-list (二层信息),mac-ip access-list (二层以上信息)。
根据配置的复杂程度:标准(standard)和扩展(extended),扩展方式可以指定更加细致过滤信息。
根据命名方式:数字(numbered)和命名(named)要求:PC1(192.168.10.1)不能访问服务器server1(192.168.20.1)和server2(192.168.20.2),PC2(192.168.10.2)可以访问。
PC1接在端口1上,PC2接在端口2上;server1接在端口23上,server2接在端口24上。
switch#confSwitch(config)# ip access-list standard pc1toserver1# deny host-source 192.168.10.1#exit#int e0/0/23#ip access-group pc1toserver1 outSwitch(config)# ip access-list standard pc1toserver2# deny host-source 192.168.10.1#exit#int e0/0/24#ip access-group pc1toserver2 out。
标准访问控制列表1 实验目标✓在路由器上配置标准访问控制列表✓能够确定标准访问控制列表绑定的路由器接口2 试验要求✓创建标准访问控制列表10✓只允许市场部访问Internet,但PC7例外✓销售部财务部市场部三个部门之间需要相互访问✓请考虑访问控制列表放在Router0的那个接口?2.1试验拓扑3 实验过程:3.1在Router0上定义标准访问控制列表Router>Router>enRouter#confi tRouter(config)#access-list 10 deny 192.168.2.2 0.0.0.0Router(config)#access-list 10 permit 192.168.2.0 0.0.0.255Router(config)#Router(config)#interface serial 3/0Router(config-if)#ip access-group 10 out 将访问控制列表绑定到S3/0出口3.2查看访问控制列表Router#show access-listsStandard IP access list 10deny host 192.168.2.2permit 192.168.2.0 0.0.0.255Router#3.3查看当前配置Router#show running-configBuilding configuration...Current configuration : 665 bytesversion 12.2no service password-encryptionhostname Routerip ssh version 1interface FastEthernet0/0ip address 192.168.0.1 255.255.255.0duplex autospeed autointerface FastEthernet1/0ip address 192.168.1.1 255.255.255.0duplex autospeed autointerface FastEthernet2/0ip address 192.168.2.1 255.255.255.0duplex autospeed autointerface Serial3/0ip address 172.16.0.1 255.255.255.252ip access-group 10 out 可以看到Serial3/0接口绑定的访问控制列表clock rate 64000ip classlessip route 0.0.0.0 0.0.0.0 172.16.0.2access-list 10 deny host 192.168.2.2 可以看到访问控制列表access-list 10 permit 192.168.2.0 0.0.0.255no cdp runline con 0line vty 0 4loginend4 测试访问控制列表4.1在PC7上Packet Tracer PC Command Line 1.0PC>ping 10.0.0.3Pinging 10.0.0.3 with 32 bytes of data:Request timed out.Request timed out.Request timed out.Request timed out.Ping statistics for 10.0.0.3:Packets: Sent = 4, Received = 0, Lost = 4 (100% loss), PC>4.2在PC4上Packet Tracer PC Command Line 1.0PC>ping 10.0.0.3Pinging 10.0.0.3 with 32 bytes of data:Request timed out.Reply from 10.0.0.3: bytes=32 time=21ms TTL=126Reply from 10.0.0.3: bytes=32 time=19ms TTL=126Reply from 10.0.0.3: bytes=32 time=22ms TTL=126Ping statistics for 10.0.0.3:Packets: Sent = 4, Received = 3, Lost = 1 (25% loss), Approximate round trip times in milli-seconds:Minimum = 19ms, Maximum = 22ms, Average = 20ms PC>Ip access-group 10 outACL列表的顺序应该先配置具体的网段的默认拒绝所有Access-list 10 permit anyAny=0.0.0.0 255.255.255.255任何一个地址都满足Host 192.168.1.2=192.168.1.2 0.0.0.0使用标准的ACL 保护路由器的访问离目标网络较近的路由器上将扩展的ACL放到距离源网较近的路由器上。
任务12 配置标准访问控制列表(ACL)一、【技术原理】ACL 定义了一组规则,用于对进入入站接口的数据包、通过路由器中继的数据包,以及从路由器出站接口输出的数据包施加额外的控制。
入站ACL 传入数据包经过处理之后才会被路由到出站接口。
入站ACL 非常高效,如果数据包被丢弃,则节省了执行路由查找的开销。
当测试表明应允许该数据包后,路由器才会处理路由工作。
最后一条隐含的语句适用于不满足之前任何条件的所有数据包。
这条最后的测试条件与这些数据包匹配,并会发出“拒绝”指令。
此时路由器不会让这些数据进入或送出接口,而是直接丢弃它们。
最后这条语句通常称为“隐式deny any 语句”或“拒绝所有流量”语句。
由于该语句的存在,所以ACL 中应该至少包含一条permit 语句,否则ACL 将阻止所有流量。
二、【任务描述】某公司财务部、销售部分属同一个路由器下两个不同的网段,用来两个部门可以互相通信,现要求销售部不能访问财务部的计算机,在路由器上作适当的配置,满足上述要求。
三、【任务实现】1、规划拓扑结构实验教学要求所需的最简设备:1台路由器、2台PC机、连线。
运行Packet Tracer,在Packet Tracer桌面的工作区绘制网络拓扑图,将选择的设备和线缆拖动到工作区里。
如网络拓扑图所示。
2、完成ACL的配置(1)路由器:Router>enableRouter#configure terminal1)配置端口Router(config)#interface fastEthernet 0/0Router(config-if)#ip address 192.168.1.1 255.255.255.0Router(config-if)#no shutdownRouter(config-if)#exitRouter(config)#interface fastEthernet 0/1Router(config-if)#ip address 192.168.2.1 255.255.255.0Router(config-if)#no shutdownRouter(config-if)#exit2)创建访问列表Router(config)#access-list 1 deny 192.168.1.0 0.0.0.255!建立标准访问列表,编号取值:1~99。
13.标准访问列表的实现一.实训目的1.理解标准访问控制列表的概念和工作原理。
2.掌握标准访问控制列表的配置方法。
3.掌握对路由器的管理位置加以限制的方法。
二.实训器材及环境1.安装有packet tracer5.0模拟软件的计算机。
2.搭建实验环境如下:三.实训理论基础1.访问列表概述访问列表是由一系列语句组成的列表,这些语句主要包括匹配条件和采取的动作(允许或禁止)两个内容。
访问列表应用在路由器的接口上,通过匹配数据包信息与访问表参数来决定允许数据包通过还是拒绝数据包通过某个接口。
数据包是通过还是拒绝,主要通过数据包中的源地址、目的地址、源端口、目的端口、协议等信息来决定。
访问控制列表可以限制网络流量,提高网络性能,控制网络通信流量等,同时ACL也是网络访问控制的基本安全手段。
2.访问列表类型访问列表可分为标准IP访问列表和扩展IP访问列表。
1d标准访问列表:其只检查数据包的源地址,从而允许或拒绝基于网络、子网或主机的IP地址的所有通信流量通过路由器的出口。
扩展m访问列表:它不仅检查数据包的源地址,还要检查数据包的目的地址、特定协议类型、源端口号、目的端口号等。
3. ACL的相关特性每一个接口可以在进入(1班。
3(1)和离开(outbound)两个方向上分别应用一个ACL,且每个方向上只能应用一个ACL。
ACL语句包括两个动作,一个是拒绝(deny)即拒绝数据包通过,过滤掉数据包,一个是允许(permi伽允许数据包通过,不过滤数据包。
在路由选择进行以前,应用在接口进入方向的]ACL起作用。
在路由选择决定以后,应用在接口离开方向的]ACL起作用。
每个ACL的结尾有一个隐含的拒绝的所有数据包(deny all的语句。
32位的1时地址与32位的通配符掩码逐位进行比较,通配符掩码为0的位要求中地址的对应位必须匹配,通配符掩码为1的位所对应的I P地址位不必匹配。
1.1附件1:ace与GBT19011-2008标准主要差异性分析通配符掩码掩码的两种特殊形式:一个是host表示一种精确匹配,是通配符掩码掩码0.0.0.0的简写形式;一个是any表示全部不进行匹配,是通配符掩码掩码255.255.255.255的简写形式。
问控制列表:分类:1、标准访问控制列表:过滤的是第三层的流量2、扩展访问控制列表:过滤的是第三层和第四层的流量3、自反访问控制列表:过滤的是3--5层的流量(RACL)4、动态访问控制列表:过滤的是3--5层的流量5、基于上下文的访问控制列表(CBAC):过滤7层的流量(最好的ACL)6、基于时间的访问控制列表7、命名的访问控制列表(可以修改命令执行的顺序,而标准和扩展ACL不能修改执行顺序)外部网络企业路由企业内网R1-----S1/1---------S1/0----------R2-------S1/1----------S1/0反射ACL,也叫做自反ACL。
内网访问外网的时候,在企业路由上,触发生成一个临时的ACL条目,允许外部网络传数据到企业内网。
这个临时条目,倒计时删除(时间见下面试验)我测试下,只能在命名ACL上来实现。
网络基本连通性配置;R1:Router>enRouter#confi tEnter configuration commands, one per line. End with CNTL/Z. Router(config)#host R1R1(config)#int s1/1R1(config-if)#ip add 192.168.12.1 255.255.255.0R1(config-if)#no shutR1(config-if)#exitR1(config)#router ripR1(config-router)#net 192.168.12.0R1(config-router)#endR1(config)#line vty 0 4R1(config-line)#password 123R1(config-line)#loginR1(config-line)#exitR1(config)#enable password 123R2:Router>enRouter#confi tRouter(config)#host R2R2(config)#int s1/0R2(config-if)#ip add 192.168.12.2 255.255.255.0R2(config-if)#no shutR2(config-if)#int s1/1R2(config-if)#ip add 192.168.23.1 255.255.255.0R2(config-if)#no shutR2(config-if)#exitR2(config)#router ripR2(config-router)#R2(config-router)#net 192.168.12.0R2(config-router)#net 192.168.23.0R2(config-router)#endR2#R3:R3(config)#int s1/0R3(config-if)#ip add 192.168.23.2 255.255.255.0R3(config-if)#no shutR3(config-if)#exitR3(config)#router ripR3(config-router)#net 192.168.23.0R3(config-router)#endR3(config)#enable password 123R3(config)#line vty 0 4R3(config-line)#password 123R3(config-line)#loginR3(config-line)#endR3#测试:R1#ping 192.168.23.2Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 192.168.23.2, timeout is 2 seconds: !!!!!Success rate is 100 percent (5/5), round-trip min/avg/max = 28/41/64 ms R1#telnet 192.168.23.2Trying 192.168.23.2 ... OpenUser Access V erificationPassword:R3>enPassword:R3#R3:R3#ping 192.168.12.1Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 192.168.12.1, timeout is 2 seconds: !!!!!Success rate is 100 percent (5/5), round-trip min/avg/max = 40/50/60 ms R3#R3#telnet 192.168.12.1Trying 192.168.12.1 ... OpenUser Access V erificationPassword:R1>enPassword:R1#下面试验反射ACL(自反ACL)R2(config)#ip access-list extended outacl 建立访问控制列表(名称的)内网出去的R2(config-ext-nacl)#permit ip any any reflect out-ip (建立该控制列表的自反控制列表)R2(config-ext-nacl)#exitR2(config)#ip access-list extended inacl 建立外网到内网的访问控制列表R2(config-ext-nacl)#evaluate out-ip 评估自反访问控制列表------就是调用自反访问控制列表R2(config-ext-nacl)#int s1/0 放置到接口下R2(config-if)#ip access-group outacl out 内网到外网的数据流:outR2(config-if)#ip access-group inacl in 外网到内网的数据流:in测试:R3:R3#ping 192.168.12.1Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 192.168.12.1, timeout is 2 seconds:!!!!!Success rate is 100 percent (5/5), round-trip min/avg/max = 8/16/24 msR3#telnet 192.168.12.1Trying 192.168.12.1 ... OpenUser Access V erificationPassword:R1>enPassword:R1:R1#ping 192.168.23.2Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 192.168.23.2, timeout is 2 seconds:U.U.USuccess rate is 0 percent (0/5)R1#telnet 192.168.23.2Trying 192.168.23.2 ...% Destination unreachable; gat反射访问控制列表是成功的。
