目录
引言
随着网络的不安全因数越来越多,借助于访问控制列表,可以有效地控制用户对网络的访问,从而最大程度地保障网络安全。
一、访问控制列表概述
1、读取第三层(针对IP协议或者ICMP协议)、第四层(针对TCP协议的某些端口或者针对UDP协议的某些端口)包头信息(禁用流量端口的策略)
根据预先定义好的规则对包进行过滤
2、访问控制列表利用4个元素定义的规则
①IP报头:源地址、目的地址;
②TCP报头:源端口、目的地址。
二、访问控制列表的工作原理
1、访问控制列表在接口应用的方向
出:已经过路由器的处理,正离开路由器接口的数据包
入:已到达路由器接口的数据包,将被路由器处理
列表应用到接口的方向与数据方向
2、访问控制列表的处理过程
按顺序匹配(至少放行一条流量)
三、访问控制列表的类型
1、标准访问控制列表(靠近目标的地方调用)
①基于源IP地址过滤数据包;
②标准访问控制列表的访问控制列表号是2000—2999。
2、扩展访问控制列表(更精确)(靠近源地方调用)
①基于源IP地址、目的IP地址,指定协议、端口和标指来过滤数据包;
②扩展访问控制列表的访问控制列表号是3000—3999。
四、基本配置
SW1配置:
[SW1]vlan batch 10 20(创建vlan)
[SW1]interface Ethernet0/0/1(进入接口)
[SW1-Ethernet0/0/1]port link-type access(接口accsee类型)
[SW1-Ethernet0/0/1]port default vlan 10(将接口划分到VLAN里)
[SW1]interface Ethernet0/0/2(进入接口)
[SW1-Ethernet0/0/2]port link-type access(接口accsee类型)
[SW1-Ethernet0/0/2]port default vlan 20(将接口划分到VLAN里)
[SW1]interface Ethernet0/0/3(进入接口)
[SW1-Ethernet0/0/3]port link-type access(接口accsee类型)
[SW1-Ethernet0/0/3]port default vlan 10(将接口划分到VLAN里)
[SW1]interface Ethernet0/0/4(进入接口)
[SW1-Ethernet0/0/4]port link-type access(接口accsee类型)
[SW1-Ethernet0/0/4]port default vlan 20(将接口划分到VLAN里)
[SW1]interface GigabitEthernet0/0/1(进入接口)
[SW1-GigabitEthernet0/0/1]port link-type trunk(接口trunk类型)
[SW1-GigabitEthernet0/0/1]port trunk allow-pass vlan 10 20(端口上允许通过的VLAN )
R1配置:
[R1]interface GigabitEthernet0/0/0(进入接口)
[R1-GigabitEthernet0/0/0]undo shutdown(开启接口)
[R1]interface GigabitEthernet0/0/0.10(进入子接口)
[R1-GigabitEthernet0/0/0.10]dot1q termination vid 10(子接口封装VLAN)
[R1-GigabitEthernet0/0/0.10]ip address 192.168.10.1 255.255.255.0(子接口设置IP地址)
[R1-GigabitEthernet0/0/0.10]arp broadcast enable(ARP广播启用)
[R1]interface GigabitEthernet0/0/0.20(进入子接口)
[R1-GigabitEthernet0/0/0.20]dot1q termination vid 20(子接口封装VLAN)
[R1-GigabitEthernet0/0/0.20]ip address 192.168.20.1 255.255.255.0(子接口设置IP地址)
[R1-GigabitEthernet0/0/0.20]arp broadcast enable(ARP广播启用)
[R1]interface GigabitEthernet0/0/1(进入接口)
[R1-GigabitEthernet0/0/1]ip address 10.1.1.1 255.255.255.0(设置IP地址)
[R1-GigabitEthernet0/0/1]undo shutdown(开启接口)
[R1]ip route-static 10.1.2.0 255.255.255.0 10.1.1.2(配置静态路由)
[R1]acl number 2000(创建标准列表)
[R1-acl-basic-2000]rule 5 deny source 192.168.10.0 0.0.0.255(规则5拒绝源192.168.10.0 0.0.0.255)
[R1-acl-basic-2000]rule 10 permit source any(规则10允许源任何地址)
[R1]interface GigabitEthernet0/0/0.20(进入子接口)
[R1-GigabitEthernet0/0/0.20]traffic-filter outbound acl 2000(流量筛选启用acl 2000)
[R1]acl number 3000(创建扩展列表)
[R1-acl-adv-3000]rule 5 deny tcp source 192.168.10.10 0 destination 202.10.100.100 0 destination-port eq ftp(规则5拒绝tcp源192.168.10.10 0目标202.10.100.100 0目标端口eq ftp)
[R1-acl-adv-3000]rule 10 permit ip source any destination any(规则10允许ip源任何地址目标任何地址)
[R1]interface GigabitEthernet0/0/0.10(进入子接口)
[R1-GigabitEthernet0/0/0.10]traffic-filter inbound acl 3000(流量筛选启用acl 3000)
R2配置:
[R2]interface GigabitEthernet0/0/0(进入接口)
[R2-GigabitEthernet0/0/0]ip address 10.1.1.2 255.255.255.0 (设置IP地址)
[R2-GigabitEthernet0/0/0]undo shutdown(开启接口)
[R2]interface GigabitEthernet0/0/1(进入接口)
[R2-GigabitEthernet0/0/1]ip address 10.1.2.2 255.255.255.0(设置IP地址)
[R2-GigabitEthernet0/0/1]undo shutdown(开启接口)
[R2]ip route-static 192.168.10.0 255.255.255.0 10.1.1.1(配置静态路由)
[R2]ip route-static 192.168.20.0 255.255.255.0 10.1.1.1(配置静态路由)
总结
限制网络流量、提高网络性能;提供对通信流量的控制手段;提供网络访问的基本安全手段。