目录
一、ACL技术
????????
? ? ? ? 1.1?ACL技术介绍
????????访问控制列表(ACL)是一种基于包过滤的访问控制技术,它可以根据设定的条件对接口上的数据包进行过滤,允许其通过或丢弃。访问控制列表被广泛地应用于路由器和三层交换机,借助于访问控制列表,可以有效地控制用户对网络的访问,从而最大程度地保障网络安全。
? ? ? ? 作用:读取三层、四层头部信息,根据预先定义好的规则对流量进行筛选、过滤。
? ? ? ? 1.2?ACL调用方向
? ? ? ? 入:流量将要进入本地路由器,将本地路由器处理。
? ? ? ? 出:已经被本地路由器处理过了,流量将离开本地路由器。
? ? ? ? 策略做好后,在入接口调用和出接口调用的区别:
? ? ? ? 1.入接口调用的话,是对本地路由器生效。
? ? ? ? 2.出接口调用的话,对本地路由器不生效,流量将在数据转发过程中的下一台路由器生效。
? ? ? ? 1.3?ACL处理原则
? ? ? ? 访问控制列表处理原则:
? ? ? ? 1.路由条目只会匹配一次
? ? ? ? 2.路由条目在ACL访问1列表中匹配的顺序是从上往下的匹配
? ? ? ? 3.ACL访问控制列表至少要放行一条条目
? ? ? ? 1.4?ACL列表类型
? ? ? ? 访问控制列表类型:
? ? ? ? 1、标准访问控制列表(只能基于源IP地址进行过滤,标准访问控制列表的列表号是2000——2999,其调用的原则靠近目标)
? ? ? ? 2、扩展访问控制列表(可以根据源、目标IP、TCP/UDP协议,源,目表端口号进行过滤,相比较标准访问控制列表,流量控制的更加精准。调用原则:靠近源。扩展访问控制列表号是3000——3999)
? ? ? ? ?二、模拟配置ACL
? ? ? ? 2.1 配置标准访问控制列表
? ? ? ? 配置要求(client1不能被访问)
? ? ? ? 配置前准备:一台二层交换机和一台三层交换机,四台客户机
? ? ? ? ? ? ? ? ?在二层交换机中配置
[sw1]vlan bat 10 20 //创建虚拟接口
[sw1]int e0/0/1 //进入接口
[sw1-Ethernet0/0/1]port link-type access? ?//设置接口链路类型
[sw1-Ethernet0/0/1]port default vlan 10? //将接口划分进虚拟接口
[sw1-Ethernet0/0/1]int e0/0/2? ?//进入接口
[sw1-Ethernet0/0/2]port link-type access? //设置接口链路类型
[sw1-Ethernet0/0/2]port default vlan 20? //将接口划分进虚拟接口
[sw1-Ethernet0/0/2]int e0/0/3? //进入接口
[sw1-Ethernet0/0/3]port link-type access? //设置接口链路类型
[sw1-Ethernet0/0/3]port default vlan 10? ? //将接口划分进虚拟接口
[sw1-Ethernet0/0/3]int e0/0/4? //进入接口
[sw1-Ethernet0/0/4]port link-type access? //设置接口链路类型
[sw1-Ethernet0/0/4]port default vlan 20? //将接口划分进虚拟接口
[sw1-Ethernet0/0/4]int g0/0/1? ? //进入接口
[sw1-GigabitEthernet0/0/1]port link-type trunk? //设置接口链路类型
[sw1-GigabitEthernet0/0/1]port trunk allow-pass vlan all //设置白名单
? ? ? ? 三层交换机配置
?[r1]int g0/0/0? //进入接口?
[r1-GigabitEthernet0/0/0]undo shutdown //开启接口
[r1-GigabitEthernet0/0/0]int g0/0/0.1 //进入子接口??
[r1-GigabitEthernet0/0/0.1]dot1q termination vid 10 //子接口封装为802.1q类型并划分进vlan
[r1-GigabitEthernet0/0/0.1]ip add 192.168.10.1 24? ?//配置子接口的IP和子网掩码长度
[r1-GigabitEthernet0/0/0.1]arp broadcast enable //开启ARP广播
[r1-GigabitEthernet0/0/0.1]q //返回上一层
[r1]int g0/0/0.2 //进入子接口
[r1-GigabitEthernet0/0/0.2]dot1q termination vid 20?//子接口封装为802.1q类型并划分进vlan
[r1-GigabitEthernet0/0/0.2]ip add 192.168.20.1 24?//配置子接口的IP和子网掩码长度
[r1-GigabitEthernet0/0/0.2]arp broadcast enable?//开启ARP广播
[r1-GigabitEthernet0/0/0.2]q?//返回上一层
[r1]acl 2000 //创建标准控访问列表,列表号为2000
[r1-acl-basic-2000]rule deny source 192.168.10.0 0.0.0.255 拒绝192.168.10.0网段通信
[r1-acl-basic-2000]int g0/0/0.2 进入子接口
[r1-GigabitEthernet0/0/0.2]traffic-filter outbound acl 2000 放行其他路由
????????验证:在客户机上验证目标 ip发送失败则为成功
? ? ? ? ?2.2 扩展访问控制列表
? ? ? ? 配置要求:禁止client5客户机访问ftp服务
? ? ? ? 配置前设备准备:二层交换机,四台客户机,两台路由器和服务器
?
? ? ? ? ?二层交换机配置
[sw1]vlan bat 10 20 //创建虚拟接口
[sw1]int e0/0/1 //进入接口
[sw1-Ethernet0/0/1]port link-type access? ?//设置接口链路类型
[sw1-Ethernet0/0/1]port default vlan 10? //将接口划分进虚拟接口
[sw1-Ethernet0/0/1]int e0/0/2? ?//进入接口
[sw1-Ethernet0/0/2]port link-type access? //设置接口链路类型
[sw1-Ethernet0/0/2]port default vlan 20? //将接口划分进虚拟接口
[sw1-Ethernet0/0/2]int e0/0/3? //进入接口
[sw1-Ethernet0/0/3]port link-type access? //设置接口链路类型
[sw1-Ethernet0/0/3]port default vlan 10? ? //将接口划分进虚拟接口
[sw1-Ethernet0/0/3]int e0/0/4? //进入接口
[sw1-Ethernet0/0/4]port link-type access? //设置接口链路类型
[sw1-Ethernet0/0/4]port default vlan 20? //将接口划分进虚拟接口
[sw1-Ethernet0/0/4]int g0/0/1? ? //进入接口
[sw1-GigabitEthernet0/0/1]port link-type trunk? //设置接口链路类型
[sw1-GigabitEthernet0/0/1]port trunk allow-pass vlan all //设置白名单
?路由器r1配置
[r1]int g0/0/0? //进入接口?
[r1-GigabitEthernet0/0/0]undo shutdown //开启接口
[r1-GigabitEthernet0/0/0]int g0/0/0.1 //进入子接口??
[r1-GigabitEthernet0/0/0.1]dot1q termination vid 10 //子接口封装为802.1q类型并划分进vlan
[r1-GigabitEthernet0/0/0.1]ip add 192.168.10.1 24? ?//配置子接口的IP和子网掩码长度
[r1-GigabitEthernet0/0/0.1]arp broadcast enable //开启ARP广播
[r1-GigabitEthernet0/0/0.1]q //返回上一层
[r1]int g0/0/0.2 //进入子接口
[r1-GigabitEthernet0/0/0.2]dot1q termination vid 20?//子接口封装为802.1q类型并划分进vlan
[r1-GigabitEthernet0/0/0.2]ip add 192.168.20.1 24?//配置子接口的IP和子网掩码长度
[r1-GigabitEthernet0/0/0.2]arp broadcast enable?//开启ARP广播
[r1-GigabitEthernet0/0/0.2]q?//返回上一层[r1]int g0/0/1 进入接口
[r1-GigabitEthernet0/0/1]ip add 12.1.1.1 24? 配置IP地址和子网掩码[r1]ip route-static 0.0.0.0 0 12.1.1.2? ?配置默认路由下一跳指向12.1.1.2
路由器r2配置
[r2]int g0/0/0 进入接口i
[r2-GigabitEthernet0/0/0]ip add 12.1.1.2 24 配置IP地址和子网掩码
[r2-GigabitEthernet0/0/0]int g0/0/1 进入接口
[r2-GigabitEthernet0/0/1]ip add 202.10.10.2 24 配置IP地址和子网掩码长度
[r2-GigabitEthernet0/0/1]q 返回上一层
[r2]ip route 0.0.0.0 0 12.1.1.1??配置默认路由下一跳指向12.1.1.1
?客户机可以测试服务器IP
?服务器设置IP和服务
??
? ? ? ? ?此时客户机client5可以访问ftp服务器
? ? ? ? ?配置r1限制客户机client5
[r1]acl 3000? 创建扩展访问列表,列表号3000
[r1-acl-adv-3000]rule deny tcp source 192.168.10.10 0.0.0.0 destination 202.10.1
0.100 0.0.0.0 destination-port eq 21? 禁止这个地址的客户机访问服务器
[r1-acl-adv-3000]rule permit tcp source any destination-port eq 21 放行其他客户机
[r1-acl-adv-3000]rule permit tcp source any destination any 放行其他客户机流量
[r1-acl-adv-3000]int g0/0/0.1? 进入子接口
[r1-GigabitEthernet0/0/0.1]traffic-filter inbound acl 3000 选择在接口调用列表3000
?
? ? ? ? ?验证client5上不可以登录
? ? ? ? 三、总结
????????访问控制列表具有许多作用,如限制网络流量、提高网络性能;通信流量的控制,例如ACL可以限定或简化路由更新信息的长度,从而限制通过路由器某一网段的通信流量;提供网络安全访问的基本手段;在路由器端口处决定哪种类型的通信流量被转发或被阻塞,例如,用户可以允许E-mail通信流量被路由,拒绝所有的 Telnet通信流量等。