ACL原理及配置实例

1、上次回顾：广域网接口配置 配置ppp协议 ppp协议的验证方式,2,本次内容（补充,理解acl的基本原理 会配置标准acl 会配置扩展acl 会配置acl对网络进行控制 理解nat 会配置napt,需求,需求1,作为公司网络管理员，当公司领导提出下列要求时你该怎么办？ 为了提高工作效率，不允许员工上班时间进行qq聊天、msn聊天等，但需要保证正常的访问internet，以便查找资料了解客户及市场信息等。 公司有一台服务器对外提供有关本公司的信息服务，允许公网用户访问，但为了内部网络的安全，不允许公网用户访问除信息服务器之外的任何内网节点,需求2,访问控制列表(acl,acl概述 基本acl配置

2、 扩展acl配置,7,访问控制列表概述,访问控制列表（acl） 读取第三层、第四层包头信息 根据预先定义好的规则对包进行过滤,ip报头,tcp报头,数据,源地址 目的地址,源端口 目的端口,访问控制列表利用这4个元素定义的规则,8,访问控制列表的工作原理,访问控制列表在接口应用的方向 访问控制列表的处理过程,9,访问控制列表类型,标准访问控制列表 扩展访问控制列表 命名访问控制列表 定时访问控制列表,10,标准访问控制列表配置3-1,创建acl router(config)#access-list access-list-number permit | deny source source-w

3、ildcard 删除acl router(config)# no access-list access-list-number,允许数据包通过应用了访问控制列表的接口,拒绝数据包通过,11,标准访问控制列表配置3-2,应用实例 router(config)# access-list 1 permit 55 router(config)# access-list 1 permit 允许/24和主机的流量通过 隐含的拒绝语句 router(config)# access-lis

4、t 1 deny 55 关键字 host any,host any,host = any= 55 r1(config)# access-list 1 deny r1config)# access-list 1 permit 55 与 r1(config)# access-list 1 deny host r1(config)# access-list

5、 1 permit any 相同,13,标准访问控制列表配置3-3,将acl应用于接口 router(config-if)# ip access-group access-list-number in |out 在接口上取消acl的应用 router(config-if)# no ip access-group access-list-number in |out,标准访问控制列表配置实例,实验 编号的标准ip访问列表,实验目的】掌握路由器上编号的标准ip访问列表规则及配置。【背景描述】你是一个公司的网络管理员，公司的经理部、财务部门和销售部门分属不同的3个网段，三部门之间用路由器进行信息传递

6、，为了安全起见，公司领导要求销售部门不能对财务部门进行访问，但经理部可以对财务部门进行访问。pc1代表经理部的主机，pc2代表销售部门的主机、pc3代表财务部门的主机,技术原理】ip acl（ip访问控制列表或ip访问列表）是实现对流经路由器或交换机的数据包根据一定的规则进行过滤，从而提高网络可管理性和安全性。标准ip访问列表可以根据数据包的源ip地址定义规则，进行数据包的过滤,ip acl基于接口进行规则的应用，分为：入栈应用和出栈应用。入栈应用是指由外部经该接口进行路由器的数据包进行过滤。出栈应用是指路由器从该接口向外转发数据时进行数据包的过滤。ip acl的配置有两种方式：按照编号的访问

7、列表，按照命名的访问列表。标准ip访问列表编号范围是199、13001999，扩展ip访问列表编号范围是100199、20002699,实现功能】实现网段间互相访问的安全控制。【实验设备】rsr10路由器（两台）、v.35线缆（1条）、交叉线（3条,实验拓扑,实验步骤,步骤1： router1、 router2 基本配置 ip地址等 步骤2： 路由表 步骤3： 访问控制列表 访问控制列表应用在接口 步骤4： 测试,配置静态路由router1(config)#ip route serial 1/2router2(config)#ip route

8、 serial 1/2router2(config)#ip route serial 1/2测试命令：show ip route,步骤2 配置标准ip访问控制列表。 router2(config)#access-list 1 permit 55 ! 允许来自网段的流量通过router2(config)#access-list 1 deny 55 ! 拒绝来自网段的流量通过验证测试：rou

9、ter2#show access-lists 1standard ip access list 1 includes 2 items: deny , wildcard bits 55 permit , wildcard bits 55,步骤3 把访问控制列表在接口下应用。router2(config)# interface fastethernet 1/0router2(config-if)#ip access-group 1 out ! 在接口下访问控制列表出栈流量调用,验证测试,router2#show ip interf

10、ace fastethernet 1/0,步骤4. 验证测试。ping（网段的主机不能ping通网段的主机；网段的主机能ping通网段的主机）。 【注意事项】 1、注意在访问控制列表的网络掩码是反掩码。 2、标准控制列表要应用在尽量靠近目的地址的接口,参考配置,router1#show running-config !查看路由器1的全部配置,27,扩展访问控制列表配置2-1,创建acl router(config)# access-list access-list-number permit | deny prot

11、ocol source source-wildcard destination destination-wildcard operator operan 删除acl router(config)# no access-list access-list-number 将acl应用于接口 router(config-if)# ip access-group access-list-number in |out 在接口上取消acl的应用 router(config-if)# no ip access-group access-list-number in |out,28,扩展访问控制列表配置2-2,

12、应用实例1 router(config)# access-list 101 permit ip 55 55 router(config)# access-list 101 deny ip any any 应用实例2 router(config)# access-list 101 deny tcp 55 host eq 21 router(config)# access-list 101 permit ip any any 应用实例3 router(confi

13、g)# access-list 101 deny icmp 55 host echo router(config)# access-list 101 permit ip any any,扩展acl的编号为100 199，扩展acl增强了标准acl的功能 增强acl可以基于下列参数进行网络传输的过滤 目的地址 ip协议 可以使用协议的名字来设定检测的网络协议或路由协议，例如：icmp、tcp和udp等等 tcp/ip协议族中的上层协议 可以使用名称来表示上层协议，例如：“ftp”或“www” 也可以使用操作符eq、gt、lt和neq

14、(equal to, greater than, less than和not equal to)来处理部分协议 例如：希望允许除了http之外的所有通讯，其语句是permit tcp any any neq 80,请复习tcp和udp的端口号 也可以使用名称来代替端口号，例如：使用telnet来代替端口号23,端口号,放置扩展acl的正确位置,在下图中，需要设定网络中的所有节点不能访问地址为4服务器 在哪个路由器的哪个接口上放置acl? 在router c的e0接口上放置 这将防止中的所有机器访问4

15、，但是他们可以继续访问internet,由于扩展acl可以控制目的地地址，所以应该放置在尽量接近数据发送源的路由器上。减少网络资源的浪费,放置扩展acl的正确位置,router-c(config)#access-list 100 deny ip 55 4 router-c(config)#access-list 100 permit ip any any router-c(config)#int e0 router-c(config-if)#ip access-group 100 in,使用acl,配置练习,pc1

16、不能对server0进行www访问,扩展访问控制列表例,如上图， 网络中部门经理使用的ip地址为,部门经理可以访问内网server及与内网结点通信，并访问internet，员工不能访问server，但可以和内网其他节点通信，只允许员工访问internet的www的服务和收发邮件,答案 access-list 100 permit ip host any access-list deny ip 0.0.255 host 4 access-list permit ip 221

17、.23.123.0 55 55 access-list permit tcp 55 any eq www(或80) access-list permit tcp 55 any eq pop3(或110) access-list permit tcp 55 any eq smtp(或25,扩展访问控制列表例,扩展访问控制列表例,如上图，允许server ping网络内的节点，但是不允许该网络内节点pi

18、ng server。允许其他所有访问。 答案： access-list 100 permit icmp 55 host 4 echo-reply access-list 100 deny icmp 55 host 4 echo access-list 100 permit ip any any,38,命名访问控制列表配置5-1,创建acl router(config)# ip access-list standard | extended access-list-na

19、me 配置标准命名acl router(config-std-nacl)# sequence-number permit | deny source source-wildcard 配置扩展命名acl router(config-ext-nacl)# sequence-number permit | deny protocol source source-wildcard destination destination-wildcard operator operan,标准命名acl,扩展命名acl,sequence-number决定acl语句在acl列表中的位置,39,命名访问控制列表配置5

20、-2,标准命名acl应用实例,查看acl配置信息 router#show access-lists standard ip access list cisco 10 permit 20 deny any,router(config)# ip access-list standard cisco router(config-std-nacl)# permit host router(config-std-nacl)# deny any 允许来自主机/24的流量通过,更改acl,又允许来自主机/24的流量通

21、过 router(config)# ip access-list standard cisco router(config-std-nacl)#15 permit host ,router#show access-lists standard ip access list cisco 10 permit 15 permit 20 deny any,添加序列号为15的acl语句,acl语句添加到了 指定的acl列表位置,40,命名访问控制列表配置5-3,扩展命名acl应用实例 router(config)# ip access

22、-list extended cisco router(config-ext-nacl)# deny tcp 55 host eq 21 router(config-ext-nacl)# permit ip any any,41,命名访问控制列表配置5-4,删除整组acl router(config)# no ip access-list standard | extended access-list-name 删除组中单一acl语句 no sequence-number no acl语句,创建acl router(config)#

23、 ip access-list standard cisco router(config-std-nacl)# permit host router(config-std-nacl)#end router#show access-lists standard ip access list cisco 10 permit 删除组中单一acl语句 router(config-std-nacl)# no 10 或 router(config-std-nacl)#no permit host ,42,命名访问控制列表配置5-5,将a

24、cl应用于接口 router(config-if)# ip access-group access-list-name in |out 在接口上取消acl的应用 router(config-if)# no ip access-group access-list-name in |out,43,命名访问控制列表配置实例,公司添加服务器，要求如下 可以访问服务器 /24中除上述地址外都不能访问服务器 其他公司网段都可以访问服务器 公司人员调整，更改服务器访问权限 不允许和主机访问服务器 允

25、许0主机访问服务器,44,定义时间范围,定义时间范围的名称 router(config)# time-range time-range-name 指定该时间范围何时生效 定义一个时间周期 router(config-time-range)# periodic days-of-the-week hh:mm to days-of-the-week hh:mm 定义一个绝对时间 router(config-time-range)# absolute start hh:mm day month year end hh:mm day month year,参数days-of-the

26、-week的取值,45,定时访问控制列表配置2-1,扩展acl中引入时间范围 router(config)# access-list access-list-number permit | deny protocol source source-wildcard destination destination-wildcard operator operan time-range time-range-name 将acl应用于接口 router(config-if)# ip access-group access-list-number in |out,46,定时访问控制列表配置2-2,应用实

27、例1 router(config)# time-range mytime router(config-time-range)# periodic weekdays 8:30 to 17:30 router(config-time-range)# exit router(config)# access-list 101 permit ip any any time-range mytime router(config)# int f0/0 router(config-if)# ip access-group 101 in 应用实例2 router(config)# time-range mytime router(config-time-range)# absolute start 8:00 10 may 2009 end 18:00 20 may 2009 router(config-time-range)# exit router(config)# access-list 101 permit ip any any time-range mytime router(config)# int f0/0 router(config-if)# ip access-group 101 in,47,小结,请思考 acl的作用是什么？ acl通过哪几个参