网络设备安装与调试技术 课件 第9章-网络间的访问控制( 华三版-01基础篇 )

第9章

网络间的访问控制编著：

秦燊劳翠金

之前已经实现了公司总部与分部间、公司各部门间的互联互访，但考虑到网络安全的需求，各子网间的互访需要进行一些控制，如禁止公司分部访问总部的财务部门、禁止公司总部的市场部门访问分部、只允许网络管理人员远程访问和管理网络设备等。这些子网间访问控制的需求可以通过ACL（AccessControlList，访问控制列表）实现。ACL是应用在路由器接口的指令规则列表，这些列表可根据数据包的源地址、目的地址、源端口、目的端口等信息，控制路由器放行这些数据包还是拦截这些数据包，达到对子网间访问控制的目的。9.1标准和基础ACL1.标准ACL也叫基本ACL，它只根据报文的源IP地址来允许或拒绝数据包，不考虑目的地址、端口等信息。2.ACL创建好后，需要在接口上应用才会生效。在接口应用ACL时，要指明是应用在路由器的入方向还是出方向上。对于进入路由器的数据包，路由器会先检查入方向的ACL，只有ACL允许通行才查询路由表；对于从路由器外出的数据包则先查询路由表，明确出接口后才查看出方向的ACL。可见把ACL应用到入站接口比应用到出站接口效率更高。3.应用ACL时，还要考虑应用到哪台路由器上更好。由于标准ACL只能根据源地址过滤数据包，为了避免过早拒绝导致拒绝范围被扩大，标准ACL应该应用到离目的地最近的路由器上。4.ACL被应用在路由器接口的入或出方向后，方向一致的数据包流经接口时，就会被从ACL的第一个表项开始、自上而下的进行检查，一旦当前被检查的数据包匹配某一表项的条件，就停止对后续表项的检查，并执行当前表项的动作。动作有两个，一个是允许通过permit，另一个的拒绝通过deny。9.1.1思科设备配置标准ACL

思科设备规定了一条默认表项，会自动添加到所有ACL表项的后面，内容是拒绝所有数据包通过，即denyany，若当前数据包与之前的ACL表项都不匹配，就会被拒绝通过。思科设备的标准ACL编号是1~99。

在PacketTracer中搭建如图9-1所示拓扑，通过配置标准ACL实现只允许PC0访问路由器R1、R2、R3的Telnet服务；拒绝PC1所在网段访问Server0（0）。图9-1思科设备配置标准ACL的拓扑

1.各路由器的基本配置，命令如下：R1(config)#interfacegigabitEthernet0/0//R1的配置R1(config-if)#ipaddressR1(config-if)#noshutdownR1(config-if)#exitR1(config)#interfacegigabitEthernet0/1R1(config-if)#ipaddressR1(config-if)#noshutdownR1(config-if)#exitR1(config)#interfaceserial0/0/0R1(config-if)#ipaddress52R1(config-if)#noshutdownR2(config)#interfaceSerial0/0/0//R2的配置R2(config-if)#ipaddress52R2(config-if)#noshutdownR2(config-if)#exitR2(config)#interfaceserial0/0/1R2(config-if)#ipaddress52R2(config-if)#noshutdownR3(config)#interfaceserial0/0/0//R3的配置R3(config-if)#ipaddress52R3(config-if)#noshutdownR3(config-if)#exitR3(config)#interfacegigabitEthernet0/0R3(config-if)#ipaddressR3(config-if)#noshutdown

2.配置单区域OSPF使全网互通，命令如下：R1(config)#routerospf1//R1的配置R1(config-router)#router-idR1(config-router)#network55area0R1(config-router)#network55area0R1(config-router)#networkarea0R2(config)#routerospf1//R2的配置R2(config-router)#router-idR2(config-router)#networkarea0R2(config-router)#networkarea0R3(config)#routerospf1//R3的配置R3(config-router)#router-idR3(config-router)#networkarea0R3(config-router)#network55area03.查看R1、R2、R3的OSPF路由表，命令如下：R1#showiprouteospf//查看R1的OSPF路由表R2#showiprouteospf//查看R2的OSPF路由表R3#showiprouteospf//查看R3的OSPF路由表4.为R1、R2、R3开启telnet服务，允许管理员通过密码“123”对这些设备进行telnet远程管理。通过ACL实现只允许PC0访问路由器R1、R2、R3的Telnet服务；拒绝PC1所在网段访问Server0（0）。命令如下：R1(config)#access-list1permithost0//为R1定义ACL1的第一个表项，允许PC0通过，默认表项“拒绝所有”将自动添加在最后，成为ACL1的第二个表项R1(config)#linevty04//进入0~4这五个远程虚拟终端的配置界面R1(config-line)#access-class1in//将ACL1应用在远程连接的入方向，此处access-class命令只对标准ACL有效R1(config-line)#password123//远程连接验证时的密码R1(config-line)#login//远程连接时需要密码验证R2(config)#access-list1permithost0//为R2定义ACL1第一个表项，允许PC0通过，默认表项“拒绝所有”将自动添加在最后，成为ACL1的第二个表项R2(config)#linevty04R2(config-line)#access-class1in//将ACL1应用在远程连接的入方向R2(config-line)#password123R2(config-line)#loginR3(config)#access-list1permithost0//为R3定义ACL1的第一个表项，允许PC0通过，默认表项“拒绝所有”将自动添加在最后，成为ACL1的第二个表项R3(config)#access-list2deny55//ACL2第一个表项拒绝PC1所在网段R3(config)#access-list2permitany//ACL2第二个表项允许所有网段通过，默认表项“拒绝所有”将自动添加在最后，成为ACL1的第三个表项，由于第二个表项已经允许所有，所有第三个表项将不会被用到R3(config)#linevty04R3(config-line)#access-class1in//将ACL1应用在远程连接的入方向R3(config-line)#password123R3(config-line)#loginR3(config-line)#exitR3(config)#interfaceserial0/0/0R3(config-if)#ipaccess-group2in//将ACL2应用在当前接口的入方向

5.测试方法如下：（1）在PC0上进行连接R1的telnet测试，命令如下：C:\>ipconfig//查看PC0的IP地址C:\>telnet//远程连接R1Password://输入密码123R1>exit//成功连接到R1，输入命令返回

（2）在PC0上进行连接R2的telnet测试，命令如下：C:\>telnet//远程连接R2Password://输入密码123R2>exit//成功连接到R2，输入命令返回（3）在PC0上进行连接R3的telnet测试，命令如下：C:\>telnet//远程连接R3Password://输入密码123R3>exit//成功连接到R3，输入命令返回（4）在PC0上ping服务器Server0，测试它们之间的连通性，命令如下：C:\>ping0//可以ping通（5）在PC1上telnetR1，命令如下：C:\>ipconfig//查看PC1的IP地址C:\>telnet//远程连接R1%Connectionrefusedbyremotehost//提示连接被拒绝

（6）在PC1上telnetR2C:\>telnet//远程连接R2%Connectionrefusedbyremotehost//提示连接被拒绝（7）在PC1上telnetR3，命令如下：C:\>telnet//远程连接R3%Connectiontimedout;remotehostnotresponding//提示超时（8）在PC1ping服务器Server0，命令如下：C:\>ping0//通过ping测试PC1与服务器Server0的连通性，ping不通

（9）在R3上查看访问控制列表，命令如下：R3#showipaccess-listsStandardIPaccesslist110permithost0(2match(es))//ACL1表项1的匹配量StandardIPaccesslist210deny55(28match(es))

//ACL2表项1的匹配量20permitany(136match(es))//ACL2表项2的匹配量

（10）在R3上清空ACL各表项的匹配，命令如下：R3#clearaccess-listcounters//清空ACL各表项的匹配R3#showipaccess-lists//查看访问控制列表，可以看到各表项的匹配量被清空StandardIPaccesslist110permithost0StandardIPaccesslist210deny5520permitany（11）在R3上查看接口s0/0/0的信息，命令如下：R3#showipinterfaceserial0/0/0OutgoingaccesslistisnotsetInboundaccesslistis2//表明接口的入方向上应用了ACL29.2扩展和高级ACL

扩展ACL-也称为高级ACL，扩展ACL可根据数据包的源IP地址、目的IP地址、指定协议、源端口、目的端口和标志来允许或拒绝数据包。9.2.1思科设备配置扩展ACL

思科扩展ACL的列表号范围是100~199。下面，我们使用扩展ACL实现以下功能：

（1）只允许PC1所在网段访问R3的Telnet服务；

（2）拒绝PC0所在网段pingServer0（0）；

（3）拒绝PC0所在网段访问Server0（0）的Web服务和FTP服务；

（4）单向ping限制：不允许PC1pingServer0，但允许Server0pingPC1。

在PacketTracer中搭建如图9-6所示的拓扑。图9-6思科设备配置扩展ACL的拓扑

1.开启R3的telnet服务，命令如下：R3(config)#linevty04R3(config-line)#transportinputtelnetR3(config-line)#password123R3(config-line)#login

2.在R1上进行扩展ACL的配置，方法如下：

（1）定义扩展ACL，命令如下：R1(config)#access-list100permittcp55hosteq23//此命令定义了ACL100的第一个列表项。列表号100表示当前ACL是扩展ACL；permit表示符合条件则允许通过；tcp表示根据tcp协议的端口号来进行是否符合条件的判断；条件的前半部分55省略了源端口号，指的是“55+任意源端口号”，表示PC2所在网段作为源IP，且对源端口号不做限制；条件的后半部分hosteq23等价于eq23，指的是目标地址为，即R3的IP地址，且目标TCP端口号eq23，即等于23，指的是目标TCP端口号等于23，即telnet服务R1(config)#access-list100permittcp55hosteq23//此命令定义了ACL100的第二个列表项，此处目标地址是R3另一个接口的地址R1(config)#access-list100denytcpanyhosteq23//此命令定义了ACL100的第三个列表项，拒绝了任意源IP地址、任意源端口号访问地址、且TCP端口号等于23的目标R1(config)#access-list100denytcpanyhosteq23//此命令定义了ACL100的第四个列表项，此处目标地址是R3另一个接口的地址以上4条ACL100的列表项实现了只允许PC2所在网段访问R3的telnet服务。R1(config)#access-list100denyicmp55host0

//此命令定义了ACL100的第五个列表项，拒绝PC0所在网段（）pingServer0（0）R1(config)#access-list100denytcp55host0eq80

//此命令定义了ACL100的第六个列表项，拒绝PC0所在网段（）访问Server0（0）的tcp80端口，即Web服务R1(config)#access-list100denytcp55host0eq21

//此命令定义了ACL100的第七个列表项，拒绝PC0所在网段（）访问Server0（0）的tcp21端口，即FTP服务的控制通道R1(config)#access-list100denytcp55host0eq20//此命令定义了ACL100的第八个列表项，拒绝PC0所在网段（）访问Server0（0）的tcp20端口，即FTP服务的数据通道以上3条ACL100的列表项拒绝了PC0所在网段访问Server0（0）的Web服务和FTP服务。R1(config)#access-list100denyicmphost0host0echo//此命令定义了ACL100的第九个列表项，作用是不允许PC1（0）pingServer0（0），但不拒绝Server0pingPC1。P