目录
1.要求:用标准访问控制列表,vlan10客户机不能访问vlan20客户机
2.要求:用扩展访问控制列表,禁止client1客户机访问ftp服务器
一、ACL概述
1.ACL访问控制列表作用
读取三层、四层头部信息,根据预先定义好的规则对流量进行筛选和过滤。
三层头部信息:源、目IP
四层头部信息:源、目端口号
?
2.ACL访问控制列表工作原理
入方向:流量将要进入本地路由器,将要被本地路由器处理
出方向:已经被本地路由器处理过,流量将离开本地路由器
?策略做好后,在入接口和出接口调用的区别:
入接口调用的话是对本地路由器生效,出接口调用的话,对本地路由器不生效,流量将在数据发过程中的下一台路由器生效。
3.ACL访问控制列表处理过程原则
- 路由条目只会被匹配一次
- 路由条目在ACL访问控制列表中匹配的顺序是从上往下匹配的
- 路由条目在ACL访问控制列表隐含一个拒绝所有
- ACL访问控制列表至少要放行一条路由条目
?
?
二、ACL访问控制列表类型
1.标准访问控制列表
- 只能基于源地址进行过滤
- 标准访问控制列表号是2000-2999
- 调用原则:靠近目标
2.扩展访问控制列表
- 可以根据源、目IP,TCP/UDP协议,源、目端口号进行过滤
- 相比较标准访问控制列表,流量控制的更精准
- 调用原则:靠近源
三、配置实例
1.要求:用标准访问控制列表,vlan10客户机不能访问vlan20客户机
1)拓扑
2、L2-SW1配置:
[L2-SW1]vlan bat 10 20 //创建多个vlan
[L2-SW1]int e0/0/1 //进入接口e0/0/1
[L2-SW1-Ethernet0/0/1]port link-type access //设置接口链路类型为access
[L2-SW1-Ethernet0/0/1]port default vlan 10 //将接口e0/0/1 划分进vlan10
[L2-SW1-Ethernet0/0/1]int e0/0/2 //进入接口e0/0/2
[L2-SW1-Ethernet0/0/2]port link-type access //设置接口链路类型为access
[L2-SW1-Ethernet0/0/2]port default vlan 20 //将接口e0/0/2 划分进vlan20
[L2-SW1-Ethernet0/0/2]int e0/0/3 //进入接口e0/0/3
[L2-SW1-Ethernet0/0/3]port link-type access//设置接口链路类型为access
[L2-SW1-Ethernet0/0/3]port default vlan 10//将接口e0/0/3 划分进vlan10
[L2-SW1-Ethernet0/0/3]int e0/0/4 //进入接口e0/0/4
[L2-SW1-Ethernet0/0/4]port link-type access //设置接口链路类型为access
[L2-SW1-Ethernet0/0/4]port default vlan 20 //将接口e0/0/4 划分进vlan20
[L2-SW1-Ethernet0/0/4]int g0/0/1 //进入接口g0/0/1
[L2-SW1-GigabitEthernet0/0/1]port link-type trunk //设置接口链路类型为trunk
[L2-SW1-GigabitEthernet0/0/1]port trunk allow-pass vlan all //设置白名单,通行所有vlan?3、R1配置
[R1]int g0/0/0 //进入接口g0/0/0
[R1-GigabitEthernet0/0/0]undo shutdown //开启物理接口
[R1-GigabitEthernet0/0/0]int g0/0/0.1 //进入子接口g0/0/0.1
[R1-GigabitEthernet0/0/0.1]dot1q termination vid 10 //封装方式为802.1q,接口g0/0/0.1划分进vlan10
[R1-GigabitEthernet0/0/0.1]ip add 192.168.10.1 24 //设置IP地址及子网掩码长度
[R1-GigabitEthernet0/0/0.1]arp broadcast enable //开启ARP广播功能
[R1-GigabitEthernet0/0/0.1]int g0/0/0.2//进入子接口g0/0/0.2
[R1-GigabitEthernet0/0/0.2]dot1q termination vid 20 //封装方式为802.1q,接口g0/0/0.2划分进vlan20
[R1-GigabitEthernet0/0/0.2]ip add 192.168.20.1 24 //设置IP地址及子网掩码长度
[R1-GigabitEthernet0/0/0.2]arp broadcast enable //开启ARP广播功能4)客户机配置IP地址及子网掩码长度
?
?
?
?
5)此时client客户机之间相互都可以ping通测试一下,到这一步单臂路由实现了不同vlan间通信
client1:ping 192.168.20.10
client1:ping 192.168.10.20
client1:ping 192.168.20.20
client2:ping 192.168.10.20
client2:ping 192.168.20.20
client3:ping 192.168.20.20
6)再继续再R1上用ACL标准访问控制列表实现vlan10客户机不能访问vlan20客户机
[R1]acl 2000 //创建标准访问控制列表,列表号为2000
[R1-acl-basic-2000]rule deny source 192.168.10.0 0.0.0.255 //拒绝192.168.10.0网段的路由条目(子网掩码为反掩码)
[R1-acl-basic-2000]rule permit source any //放行其他路由条目
[R1]int g0/0/0.2 //进入子接口g0/0/0.2
[R1-GigabitEthernet0/0/0.2]traffic-filter outbound acl 2000 //选择在子接口g0/0/0.2出接口上调用列表20007)测试是否成功,如果不同,则成功
?client1:ping 192.168.20.10
client1:ping 192.168.20.20
client3:ping 192.168.20.20
2.要求:用扩展访问控制列表,禁止client1客户机访问ftp服务器
1.拓扑图
2.L2-SW2
[L2-SW1]vlan bat 10 20 //创建多个vlan
[L2-SW1]int e0/0/1 //进入接口e0/0/1
[L2-SW1-Ethernet0/0/1]port link-type access //设置接口链路类型为access
[L2-SW1-Ethernet0/0/1]port default vlan 10 //将接口e0/0/1 划分进vlan10
[L2-SW1-Ethernet0/0/1]int e0/0/2 //进入接口e0/0/2
[L2-SW1-Ethernet0/0/2]port link-type access //设置接口链路类型为access
[L2-SW1-Ethernet0/0/2]port default vlan 20 //将接口e0/0/2 划分进vlan20
[L2-SW1-Ethernet0/0/2]int e0/0/3 //进入接口e0/0/3
[L2-SW1-Ethernet0/0/3]port link-type access//设置接口链路类型为access
[L2-SW1-Ethernet0/0/3]port default vlan 10//将接口e0/0/3 划分进vlan10
[L2-SW1-Ethernet0/0/3]int e0/0/4 //进入接口e0/0/4
[L2-SW1-Ethernet0/0/4]port link-type access //设置接口链路类型为access
[L2-SW1-Ethernet0/0/4]port default vlan 20 //将接口e0/0/4 划分进vlan20
[L2-SW1-Ethernet0/0/4]int g0/0/1 //进入接口g0/0/1
[L2-SW1-GigabitEthernet0/0/1]port link-type trunk //设置接口链路类型为trunk
[L2-SW1-GigabitEthernet0/0/1]port trunk allow-pass vlan all //设置白名单,通行所有vlan?3.R1配置:
[R1]int g0/0/0 //进入接口g0/0/0
[R1-GigabitEthernet0/0/0]undo shutdown //开启物理接口
[R1-GigabitEthernet0/0/0]int g0/0/0.1 //进入子接口g0/0/0.1
[R1-GigabitEthernet0/0/0.1]dot1q termination vid 10 //封装方式为802.1q,接口g0/0/0.1划分进vlan10
[R1-GigabitEthernet0/0/0.1]ip add 192.168.10.1 24 //设置IP地址及子网掩码长度
[R1-GigabitEthernet0/0/0.1]arp broadcast enable //开启ARP广播功能
[R1-GigabitEthernet0/0/0.1]int g0/0/0.2//进入子接口g0/0/0.2
[R1-GigabitEthernet0/0/0.2]dot1q termination vid 20 //封装方式为802.1q,接口g0/0/0.2划分进vlan20
[R1-GigabitEthernet0/0/0.2]ip add 192.168.20.1 24 //设置IP地址及子网掩码长度
[R1-GigabitEthernet0/0/0.2]arp broadcast enable //开启ARP广播功能
[R1]ip route-static 202.10.10.0 24 12.1.1.2 //配置静态路由,添加目的网段 202.10.10.0,子网掩码长度,下一跳入接口12.1.1.24.R2配置:
[R2]int g0/0/0 //进入接口 g0/0/0
[R2-GigabitEthernet0/0/0]ip add 12.1.1.2 24 //设置IP地址及子网掩码长度
[R2-GigabitEthernet0/0/0]int g0/0/1 //进入接口 g0/0/1
[R2-GigabitEthernet0/0/1]ip add 202.10.10.2 24 //设置IP地址及子网掩码长度
[R2]ip route-static 0.0.0.0 0 12.1.1.1 //设置静态路由,默认路由,下一跳入接口12.1.1.1?5.PC配置与标准访问控制列表一样
6.ftp服务器配置:
端口号21,选择一个文件用于上传下载,设置后点击启动
?7.测试客户机和服务器是否能连通,能联通后继续下一步做策略
client1:ping 202.10.10.100
client2:ping 202.10.10.100
client3:ping 202.10.10.100
client4:ping 202.10.10.100
8.R1配置:
[R1]acl 3000//创建扩展访问列表,列表号3000
[R1-acl-adv-3000]rule deny tcp source 192.168.10.10 0.0.0.0 destination 202.10.10.100 0.0.0.0 destination-port eq 21
//禁止client访问ftp服务器
[R1-acl-adv-3000]rule permit tcp source any destination any destination-port eq 21
//放行其他客户机访问ftp服务器
[R1-acl-adv-3000]rule permit ip source any destination any //放行其他客户机网络流量
[R1]int g0/0/0.1 //进入接口g0/0/0.1
[R1-GigabitEthernet0/0/0.1]traffic-filter inbound acl 3000 //选择在入接口上调用列表30009.此时在让client1去ping服务器,是ping不通的,也不可以上传和下载文件
client1:ping?? 202.10.10.100
四、总结
- 路由条目在ACL访问控制列表隐含一个拒绝所有
- 标准访问控制列表调用原则靠近目标,扩展访问列表调用原则靠近源