1.ACL的简介
ACL——访问控制列表(Access Control list,ACL)是应用在路由器接口的指令列表(即规则),它读取的是TCP/IP五层模型的第三层、第四层的报文头信息,根据预先定义好的规则对报文进行过滤。
IP数据报报文结构
TCP报文结构
?ACL根据IP报头中的源地址、协议号、目标地址和TCP报头中的源端口、目标端口这5个元素来定义规则
2.ACL的作用?
作用:读取三层、四层头部信息,根据预先定义好的规则对流量进行筛选、过滤。
三层头部信息:源、目IP
四层头部信息:TCP/UDP协议,源、目端口号
3.ACL的调用方向
访问控制列表的调用方向:入:流量将要进入本地路由器,将被本地路由器处理。
出:已经被本地路由器处理过了,流量将离开本地路由器。
策略做好后,在入接口调用和出接口调用的区别:
入接口调用的话,是对本地路由器生效。
出接口调用的话,对本地路由器不生效,对流量将在数据转发过程中的下一台路由器生效。
注:所谓的接口的出和入的方向由流量走向决定
4.ACL的处理过程原则
访问控制列表的处理过程原则:
1.路由条目只会被匹配一次
2.路由条目在ACL访问列表中匹配的顺序是从上往下匹配
3.ACL访问控制列表隐含一个拒绝所有
4.ACL访问控制列表至少要放行一条路由条目
5.ACL的类型
1.标准控制列表
只能基于源IP地址进行过滤
标准访问控制列表的列表号是2000-2999
调用原则:靠近目标
2.扩展访问控制列表
可以根据源、目IP,TCP/UDP协议,源、目端口号进行过滤。
相比较标准访问控制列表,流量控制的更加精准。
扩展访问控制列表的列表号是:3000-3999
调用原则:靠近源
注:目前有两种主要的ACL:标准ACL和扩展ACL。
这两种ACL的区别是:标准ACL只检查数据包的源地址;扩展ACL既检查数据包的源地址,也检查数据包的目的地址,同时还可以检查数据包的特定协议类型、端口号等。
在路由器配置中,标准ACL和扩展ACL的区别是由ACL的表号来体现的,上表指出了每种协议所允许的合法表号的取值范围。
6.ACL的配置
配置标准ACL
Client1:IP:192.168.10.10/24 网关:192.168.10.1
设置IP地址为192.168.10.10,子网掩码长度为24,网关为192.168.10.1
Client2:IP:192.168.20.10/24 ?网关:192.168.20.1
设置IP地址为192.168.20.10,子网掩码长度为24,网关为192.168.20.1
Client3:IP:192.168.10.20/24 网关:192.168.10.1
设置IP地址为192.168.10.20,子网掩码长度为24,网关为192.168.10.1
Client4:IP:192.168.20.20/24 ?网关:192.168.20.1
设置IP地址为192.168.20.20,子网掩码长度为24,网关为192.168.20.1
二层交换
[ ]vlan bat 10 20 创建vlan 10 20
[ ]int e0/0/1 进入接口e0/0/1
[ ]port link-type access ?设置接口链路类型为access
[ ]port default vlan 10 将接口划分进对应vlan10
[ ]int e0/0/2 进入接口e0/0/2
[ ]port link-type access 设置接口链路类型为access
[ ]port default vlan 20 将接口划分进对应vlan20
[ ]int e0/0/3 进入接口e0/0/3
[ ]port link-type access 设置接口链路类型为access
[ ]port default vlan 10 将接口划分进对应vlan10
[ ]int e0/0/4 进入接口e0/0/4
[ ]port link-type access 设置接口链路类型为access
[ ]port default vlan 20 将接口划分进对应vlan20
[ ]int g0/0/1 进入接口g0/0/1
[ ]port link-type trunk 设置接口链路类型为trunk
[ ]port trunk allow-pass vlan all 设置白名单
路由
[ ]int g0/0/0 进入接口g0/0/0
[ ]undo shut 打开接口
[ ]int g0/0/0.1 进入子接口g0/0/0.1
[ ]dot1q termination vid 10 封装方式为802.1q,将子接口划分进vlan10
[ ]ip add 192.168.10.1 24 设置ip地址,子网掩码长度为24
[ ]arp broadcast enable 开启arp广播功能
[ ]int g0/0/0.2 ?进入子接口g0/0/0.2
[ ]dot1q termination vid 20 封装方式为802.1q,将子接口划分进vlan10
[ ]ip add 192.168.20.1 24 设置ip地址,子网掩码长度为24
[ ]arp broadcast enable 开启arp广播功能
[ ]acl 2000 创建标准访问控制列表,列表号2000
[ ]rule deny source 192.168.10.0 0.0.0.255 拒绝192.168.10.10网段(子网掩码为反掩码)
[ ]rule permit source any 放行其他路由条目
[ ]int g0/0/0.2 进入子接口g0/0/0.2
[ ]traffic-filter outbound acl 2000 选择在出接口上调用列表2000
验证:
Client1pingClient2 失败
Client1pingClient3 失败
Client1pingClient4 失败
配置扩展ACL?
Client1:192.168.10.10/24 网关:192.168.10.1
设置IP地址为192.168.10.10,子网掩码长度为24,网关为192.168.10.1
Client2:192.168.20.10/24 ?网关:192.168.20.1
设置IP地址为192.168.20.10,子网掩码长度为24,网关为192.168.20.1
Client3:192.168.10.20/24 网关:192.168.10.1
设置IP地址为192.168.10.20,子网掩码长度为24,网关为192.168.10.1
Client4:192.168.20.20/24 ?网关:192.168.20.1
设置IP地址为192.168.20.20,子网掩码长度为24,网关为192.168.20.1
服务器:202.10.100.100/24 ?网关:202.10.100.2
设置IP地址为202.10.100.100,子网掩码长度为24,网关为202.10.100.2
设置FTPserver端口号21,并且开启
二层SW1:
[ ]vlan bat 10 20创建vlan 10 20
[ ]int e0/0/1进入接口e0/0/1
[ ]port link-type access设置接口链路类型为access
[ ]port default vlan 10将接口划分进对应vlan10
[ ]int e0/0/2进入接口e0/0/2
[ ]port link-type access设置接口链路类型为access
[ ]port default vlan 20将接口划分进对应vlan20
[ ]int e0/0/3进入接口e0/0/3
[ ]port link-type access设置接口链路类型为access
[ ]port default vlan 10将接口划分进对应vlan10
[ ]int e0/0/4进入接口e0/0/4
[ ]port link-type access设置接口链路类型为access
[ ]port default vlan 20将接口划分进对应vlan20
[ ]int g0/0/1进入接口g0/0/1
[ ]port link-type trunk设置接口链路类型为trunk
[ ]port trunk allow-pass vlan all设置白名单
R1:
[ ]int g0/0/0进入接口g0/0/0
[ ]undo shut打开接口
[ ]int g0/0/0.1进入子接口g0/0/0.1
[ ]dot1q termination vid 10封装方式为802.1q,将子接口划分进vlan10
[ ]ip add 192.168.10.1 24设置ip地址,子网掩码长度为24
[ ]arp broadcast enable开启arp广播功能
[ ]int g0/0/0.2进入子接口g0/0/0.2
[ ]dot1q termination vid 20封装方式为802.1q,将子接口划分进vlan10
[ ]ip add 192.168.20.1 24设置ip地址,子网掩码长度为24
[ ]arp broadcast enable开启arp广播功能
[ ]int g0/0/1进入接口g0/0/1
[ ]ip add 12.1.1.1 24设置ip地址,子网掩码长度为24
[ ]undo shut打开接口
[ ]ip route-static 0.0.0.0 0 12.1.1.2设置静态路由,目的网段0.0.0.0子网掩码长度为0,下一跳入接口IP12.1.1.2
[ ]acl 3000创建访问控制列表,列表号3000
[ ]rule deny tcp source 192.168.10.10 0 destination 202.10.100.100 0 destination-port eq 21禁止PC1访问FTP服务
[ ]rule permit tcp source any destination any destination-port eq 21放行其他客户机访问FTP
[ ]rule permit ip source any destination any放行其他客户机的网络流量
[ ]int g0/0/0.1进入子接口g0/0/0.1
[ ]traffic-filter inbound acl 3000选择在入接口上调用列表3000
R2:
[ ]int g0/0/0进入接口g0/0/0
[ ]ip add 12.1.1.2 24设置ip地址,子网掩码长度为24
[ ]undo shut打开接口
[ ]int g0/0/1进入接口g0/0/1
[ ]ip add 202.10.100.2 24设置ip地址,子网掩码长度为24
[ ]undo shut打开接口
[ ]ip route-static 0.0.0.0 0 12.1.1.1设置静态路由,目的网段0.0.0.0子网掩码长度为0,下一跳入接口IP12.1.1.1
服务器
开启FTP服务
验证:
Client1登录服务器 失败
Client2登录服务器 成功
Client3登录服务器 成功
Client4登录服务器 成功