项目五配置访问控制列表(ACL)V

《项目五配置访问控制列表(ACL)V》由会员分享，可在线阅读，更多相关《项目五配置访问控制列表(ACL)V（11页珍藏版）》请在装配图网上搜索。

1、项目五配置访问控制列表（ACL ）项目内容如图 5.1 所示的网络拓扑，要求实现以下任务：1配置 EIGRP 路由协议，保证网络通信正常；2在 R1 配置 ACL ，要求完成以下功能：（1） 拒绝主机 A 所在的网络访问Web 服务器；（2） 拒绝主机 A 所在的网络 ping 到外部网络的任何地址。3配置 R2，使得只允许主机C telnet 到路由器 R2；图 5.1 网络拓扑操作步骤一 EIGRP 路由协议的配置1搭建网络环境绘制如图 5.1 所示的网络拓扑并配置好路由器和计算机的端口及IP 地址。2配置 EIGRP 路由协议（1）配置 R1R1(config)#router eigrp

2、 1001R1(config-router)#no auto-summary（2）配置 R2R2(config)#router eigrp 100R2(config-router)#no auto-summary（3）配置 R3R3(config)#router eigrp 100R3(config-router)#no auto-summary3 认证R1#show ip routeGateway of last resort is not setC10.0.0.0/24 is subnetted, 1 subnets10.1.1.0 is directly connected, FastE

3、thernet0/0矚慫润厲钐瘗睞枥庑赖。12.0.0.0/24 is subnetted, 1 subnetsC12.12.12.0 is directly connected, Serial1/0聞創沟燴鐺險爱氇谴净。23.0.0.0/24 is subnetted, 1 subnetsD23.23.23.0 90/21024000 via 12.12.12.2, 00:47:41, Serial1/0残骛楼諍锩瀨濟溆塹籟。172.16.0.0/24 is subnetted, 1 subnetsD172.16.1.0 90/20514560 via 12.12.12.2, 00:47:4

4、1, Serial1/0酽锕极額閉镇桧猪訣锥。D192.168.1.0/24 90/21026560 via 12.12.12.2, 00:47:41, Serial1/0彈贸摄尔霁毙攬砖卤庑。R2#show ip routeGateway of last resort is not set10.0.0.0/24 is subnetted, 1 subnetsD10.1.1.0 90/20514560 via 12.12.12.1, 00:49:02, Serial1/0謀荞抟箧飆鐸怼类蒋薔。12.0.0.0/24 is subnetted, 1 subnetsC12.12.12.0 is d

5、irectly connected, Serial1/0厦礴恳蹒骈時盡继價骚。23.0.0.0/24 is subnetted, 1 subnetsC23.23.23.0 is directly connected, Serial1/1茕桢广鳓鯡选块网羈泪。C172.16.0.0/24 is subnetted, 1 subnets172.16.1.0 is directly connected, FastEthernet0/0D鹅娅尽損鹌惨歷茏鴛賴。192.168.1.0/24 90/20514560 via 23.23.23.3, 00:49:07, Serial1/1籟丛妈羥为贍偾蛏练淨

6、。2R3#show ip routeGateway of last resort is not set10.0.0.0/24 is subnetted, 1 subnetsD10.1.1.0 90/21026560 via 23.23.23.2, 00:51:11, Serial1/1預頌圣鉉儐歲龈讶骅籴。12.0.0.0/24 is subnetted, 1 subnetsD12.12.12.0 90/21024000 via 23.23.23.2, 00:51:16, Serial1/1渗釤呛俨匀谔鱉调硯錦。23.0.0.0/24 is subnetted, 1 subnetsC23.23

7、.23.0 is directly connected, Serial1/1铙誅卧泻噦圣骋贶頂廡。172.16.0.0/24 is subnetted, 1 subnetsD172.16.1.0 90/20514560 via 23.23.23.2, 00:51:16, Serial1/1擁締凤袜备訊顎轮烂蔷。C192.168.1.0/24 is directly connected, FastEthernet0/0贓熱俣阃歲匱阊邺镓騷。二、在 R1 配置 ACL1. 配置坛摶乡囂忏蒌鍥铃氈淚。蜡變黲癟報伥铉锚鈰赘。R1(config)#access-list 101 permit ip an

8、y anyR1(config)#int f0/0R1(config)#ip access-group 101 in2. 认证R1#show access-listExtended IP access list 101買鲷鴯譖昙膚遙闫撷凄。permit ip any anyR1#show ip interfaceFastEthernet0/0 is up, line protocol is up (connected)綾镝鯛駕櫬鹕踪韦辚糴。Address determined by setup commandMTU is 1500 bytesHelper address is not setDi

9、rected broadcast forwarding is disabledOutgoing access list is not setInbound access list is 1013如图 5.2 所示，主机 A 无法访问 Web 服务器。图 5.2 主机 A 访问 Web 服务器如图 5.3 所示，主机 A 无法 ping 通主机 C。图 5.3 主机 A ping 主机 C三在 R2 配置 ACL1配置驅踬髏彦浃绥譎饴憂锦。猫虿驢绘燈鮒诛髅貺庑。锹籁饗迳琐筆襖鸥娅薔。構氽頑黉碩饨荠龈话骛。輒峄陽檉簖疖網儂號泶。尧侧閆繭絳闕绚勵蜆贅。R2(config)# access-list

10、100 permit ip any anyR2(config)#int s1/0R2(config)#ip access-group 100 inR2(config)#int s1/1R2(config)#ip access-group 100 inR2(config)#int f0/0R2(config)#ip access-group 100 in42认证R2#show ip interfaceFastEthernet0/0 is up, line protocol is up (connected)识饒鎂錕缢灩筧嚌俨淒。Outgoing access list is not setInb

11、ound access list is 100Serial1/0 is up, line protocol is up (connected)Outgoing access list is not setInbound access list is 100Serial1/1 is up, line protocol is up (connected)Outgoing access list is not setInbound access list is 100R2telnetR2(config)#line vty 0 4R2(config-line)#password ciscoR2(con

12、fig-line)#loginCtelnetR2:User Access VerificationPassword:R2AtelnetR2:5% Connection timed out; remote host not responding PC知识链接一什么是ACL?访问控制列表 Access control List 简称为 ACL ，访问控制列表使用包过滤技术，在路由器上读取第三层及第四层包头中的信息如源地址， 目的地址，源端口，目的端口等， 根据预先定义好的规则对包进行过滤， 从而达到访问控制的目的。 该技术初期仅在路由器上支持， 近些年来已经扩展到三层交换机，部分最新的二层交换机也

13、开始提供 ACL 的支持。 凍鈹鋨劳臘锴痫婦胫籴。二访问控制列表使用原则由于 ACL 涉及的配置命令很灵活，功能也很强大，所以我们不能只通过一个小小的例子就完全掌握全部 ACL 的配置。在介绍例子前为大家将ACL 设置原则罗列出来， 方便各位读者更好的消化 ACL 知识。 恥諤銪灭萦欢煬鞏鹜錦。1最小特权原则只给受控对象完成任务所必须的最小的权限。 也就是说被控制的总规则是各个规则的交集， 只满足部分条件的是不容许通过规则的。 鯊腎鑰诎褳鉀沩懼統庫。2最靠近受控对象原则所有的网络层访问权限控制。 也就是说在检查规则时是采用自上而下在ACL 中一条条检测的，只要发现符合条件了就立刻转发，而不继续

14、检测下面的ACL 语句。 硕癘鄴颃诌攆檸攜驤蔹。3、默认丢弃原则在 CISCO 路由交换设备中默认最后一句为 ACL 中加入了 DENY ANY ANY ，也就是丢弃所有不符合条件的数据包。 这一点要特别注意， 虽然我们可以修改这个默认， 但未改前一定要引起重视。阌擻輳嬪諫迁择楨秘騖。由于 ACL 是使用包过滤技术来实现的，过滤的依据又仅仅只是第三层和第四层包头中的部分6信息，这种技术具有一些固有的局限性，如无法识别到具体的人， 无法识别到应用内部的权限级别等。因此，要达到端到端的权限控制目的，需要和系统级及应用级的访问权限控制结合使用。氬嚕躑竄贸恳彈瀘颔澩。三 ACL 工作过程图 5.4AC

15、L 对数据包检查过程7图 5.5ACL 工作过程四标准访问列表访问控制列表 ACL 分很多种，不同场合应用不同种类的 ACL 。其中最简单的就是标准访问控制列表，标准访问控制列表是通过使用 IP 包中的源 IP 地址进行过滤， 使用的访问控制列表号 1 到99 来创建相应的 ACL 釷鹆資贏車贖孙滅獅赘。1标准访问控制列表的格式标准访问控制列表是最简单的ACL 。它的具体格式如下：access-listACL 号 permit | denytest-condition如：将所有来自网段的数据包丢弃 怂阐譜鯪迳導嘯畫長凉。将所有来自地址的数据包丢弃 谚辞調担鈧谄动禪泻類。access-list

16、10 permit anytest-condition 中有三种情况：（1） 网段地址反掩码（2） host ip 地址（3） any ，表示任何 ip 地址对于标准访问控制列表来说，默认的命令是 HOST，也就是说表示的是拒绝这台主机数据包通讯，可以省去我们输入 host 命令。 嘰觐詿缧铴嗫偽純铪锩。注意，一旦添加了访问控制列表， 最后默认为 deny any，所以，一般，在 ACL 最后要加上 permitany 规则。 熒绐譏钲鏌觶鷹緇機库。2将访问控制列表应用到某一接口上例如：int e1 / 进入 E1 端口。ip access-group 10 in / 将 ACL 1 宣告8标

17、准 ACL 占用路由器资源很少，是一种最基本最简单的访问控制列表格式。应用比较广泛，经常在要求控制级别较低的情况下使用。 如果要更加复杂的控制数据包的传输就需要使用扩展访问控制列表了，他可以满足我们到端口级的要求。 鶼渍螻偉阅劍鲰腎邏蘞。五扩展访问控制列表上面我们提到的标准访问控制列表是基于 IP 地址进行过滤的，是最简单的 ACL 。那么如果我们希望将过滤细到端口怎么办呢 ?或者希望对数据包的目的地址进行过滤。这时候就需要使用扩展访问控制列表了。使用扩展 IP 访问列表可以有效的容许用户访问物理 LAN 而并不容许他使用某个特定服务 (例如 WWW ，FTP 等)。扩展访问控制列表使用的AC

18、L 号为 100 到 199。纣忧蔣氳頑莶驅藥悯骛。扩展访问控制列表是一种高级的ACL ，配置命令的具体格式如下：access-list ACL 号 permit|deny 协议 定义过滤源主机范围 定义过滤源端口 定义过滤目的主机访问 定义过滤目的端口 颖刍莖蛺饽亿顿裊赔泷。例如：这句命令是将所有主机访问这个地址网页服务 (WWW)TCP 连接的数据包丢弃。 濫驂膽閉驟羥闈詔寢賻。同样在扩展访问控制列表中也可以定义过滤某个网段， 当然和标准访问控制列表一样需要我们使用反向掩码定义 IP 地址后的子网掩码。 銚銻縵哜鳗鸿锓謎諏涼。表 5-1 常见端口号扩展 ACL 有一个最大的好处就是可以保护

19、服务器，例如很多服务器为了更好的提供服务都是暴露在公网上的， 这时为了保证服务正常提供所有端口都对外界开放，很容易招来黑客和病毒的攻击，通过扩展 ACL 可以将除了服务端口以外的其他端口都封锁掉，降低了被攻击的机率。挤貼綬电麥结鈺贖哓类。扩展 ACL 功能很强大，他可以控制源 IP，目的 IP，源端口，目的端口等，能实现相当精细的控制，扩展 ACL 不仅读取 IP 包头的源地址 /目的地址，还要读取第四层包头中的源端口和目的端口的 IP。不过他存在一个缺点，那就是在没有硬件ACL 加速的情况下，扩展 ACL 会消耗大量的路由器 CPU 资源。所以当使用中低档路由器时应尽量减少扩展ACL 的条目

20、数，将其简化为标准ACL 或将多条扩展 ACL 合一是最有效的方法。 赔荊紳谘侖驟辽輩袜錈。9六基于名称的访问控制列表不管是标准访问控制列表还是扩展访问控制列表都有一个弊端，那就是当设置好ACL 的规则后发现其中的某条有问题，希望进行修改或删除的话只能将全部ACL 信息都删除。也就是说修改一条或删除一条都会影响到整个ACL 列表。这一个缺点影响了我们的工作，为我们带来了繁重的负担。不过我们可以用基于名称的访问控制列表来解决这个问题。塤礙籟馐决穩賽釙冊庫。基于名称的访问控制列表的格式：ip access-list standard|extended ACL名称 例如： ip access-lis

21、t standard softer就建立了一个名为softer 的标准访问控制列表。 裊樣祕廬廂颤谚鍘羋蔺。当我们建立了一个基于名称的访问列表后就可以进入到这个ACL 中进行配置了。例如我们添加三条ACL 规则：如果我们发现第二条命令应该是而不是，如果使用不是基于名称的访问控制列表的话，使用后整个 ACL 信息都会被删除掉。 正是因为使用了基于名称的访问控制列表，我们使用no permit 2.2.2.2 0.0.0.0 后第一条和第三条指令依然存在。仓嫗盤紲嘱珑詁鍬齊驁。如果设置 ACL 的规则比较多的话，应该使用基于名称的访问控制列表进行管理，这样可以减轻很多后期维护的工作，方便我们随时进

22、行调整 ACL 规则。 绽萬璉轆娛閬蛏鬮绾瀧。七反向访问控制列表我们使用访问控制列表除了合理管理网络访问以外还有一个更重要的方面，那就是防范病毒，我们可以将平时常见病毒传播使用的端口进行过滤，将使用这些端口的数据包丢弃。这样就可以有效的防范病毒的攻击。 骁顾燁鶚巯瀆蕪領鲡赙。不过即使再科学的访问控制列表规则也可能会因为未知病毒的传播而无效， 毕竟未知病毒使用的端口是我们无法估计的， 而且随着防范病毒数量的增多会造成访问控制列表规则过多， 在一定程度上影响了网络访问的速度。 这时我们可以使用反向控制列表来解决以上的问题。 瑣钋濺暧惲锟缟馭篩凉。反向访问控制列表格式非常简单，只要在配置好的扩展访问

23、列表最后加上established即可。例如：鎦诗涇艳损楼紲鯗餳類。定义 ACL101 ，容许所有来自网段的计算机访问网段中的计算机，前提10是 TCP 连接已经建立了的。当 TCP 连接没有建立的话是不容许访问的。 栉缏歐锄棗鈕种鵑瑶锬。八基于时间的访问控制列表上面我们介绍了标准ACL 与扩展 ACL ，实际上我们数量掌握了这两种访问控制列表就可以应付大部分过滤网络数据包的要求了。不过实际工作中总会有人提出这样或那样的苛刻要求，这时我们还需要掌握一些关于ACL 的高级技巧。基于时间的访问控制列表就属于高级技巧之一。辔烨棟剛殓攬瑤丽阄应。九动态 ACL动态 ACL 是对传统访问表的一种重要功能增强。动态 ACL 是能够自动创建动态访问表项的访问列表。传统的标准访问列表和扩展的访问列表不能创建动态访问表项。 一旦在传统访问列表中加入了一个表项， 除非手工删除， 该表项将一直产生作用。而在动态访问表中， 读者可以根据用户认证过程来创建特定的、临时的访问表项， 一旦某个表项超时，就会自动从路由器中删除。 峴扬斕滾澗辐滠兴渙藺。11