路由交换技术与实践（第2版）（微课版） 课件 项目12 部署ACL限制网络流量

部署ACL限制网络流量刘道刚董良新主编项12目路由交换技术与实践RoutingandSwitching工业和信息化精品系列教材目录CONTENTS12.1用户需求12.2知识梳理12.3方案设计12.4项目实施12.1用户需求网络拓扑图如图12-1所示，怎样实现/24网络中的设备无法telnet路由器R2？目录CONTENTS12.1用户需求12.2知识梳理12.3方案设计12.4项目实施12.2.1扩展访问控制列表扩展访问控制列表（扩展ACL）根据多种属性过滤IP数据包，过滤控制范围更广，可以更加精确地控制流量，提升安全性。扩展ACL可以根据数据包源地址、目的地址、协议类型、源及目的TCP和UDP端口号对数据进行访问控制。扩展ACL的编号在100到199以及2000到2699之间。12.2.2端口号1．公认端口TCP/UDP端口端口号服务和应用程序TCP端口21FTPTCP端口23TelnetTCP端口25SMTPTCP端口80HTTPTCP端口143IMAPTCP端口194Internet中继聊天（IRC）TCP端口443HTTPsUDP端口69TFTPUDP端口520RIPTCP/UDP端口53DNSTCP/UDP端口161SNMPTCP/UDP端口531AOLInstantMessenger，IRC表12-1常用的公认端口已注册端口动态或私有端口0203已注册端口（端口号：1024到49151）将分配给用户进程或应用程序。动态或私有端口（端口号：49152到65535）也称为临时端口，动态端口往往在开始连接时被动态分配给客户端应用程序。12.2.2端口号12.2.3扩展ACL的放置位置扩展ACL应尽可能靠近控制流量的源，这样才能在不需要的流量流经网络之前将其过滤掉。12.2.4基于时间的ACL基于时间的ACL允许根据时间执行访问控制。要使用基于时间的ACL，需要创建一时间范围，指定一周和一天内的时段。可以为时间范围命名，然后对相应功能应用此范围。时间限制会应用到该功能本身。1．配置扩展编号ACL2．配置扩展命名ACLRouter(config)#access-listaccess-list-number{deny|permit|remark}protocolsource[source-wildcard][operator

operand][portport-numberorname]destination[destination-wildcard][operatoroperand][portport-numberorname][established]Router(config)#ipaccess-listextendednameRouter(config-std-nacl)#{deny|permit|remark}protocolsource[source-wildcard][operatoroperand][portport-numberorname]destination[destination-wildcard][operatoroperand][portport-numberorname][time-rangetime-range-name][established]12.2.5配置命令3．在接口应用ACLRouter(config)#interfacetypenumberRouter(config-if)#ipaccess-group{access-list-number|name}{in|out}4．查看ACL5．查看接口的配置Router#showaccess-listsRouter#showipinterface6．清除ACL的统计信息Router#clearaccess-listcounters[access-list-number|name]12.2.5配置命令目录CONTENTS12.1用户需求12.2知识梳理12.3方案设计12.4项目实施12.3方案设计在如图12-1所示的网络拓扑图中，因为telnet用的是TCP端口号23，要实现/24网络中的设备无法telnet路由器R2，可以采用扩展ACL，根据源地址、目的地址、协议和端口号进行数据包的访问控制。因为扩展ACL的放置位置要尽量靠近数据流量的源，所以需要在路由器R1上配置扩展ACL。目录CONTENTS12.1用户需求12.2知识梳理12.3方案设计12.4项目实施12.4.1扩展编号ACL的配置步骤1：在路由器R2的全局配置模式下输入以下代码，配置静态路由。R2(config)#iprouteR2(config)#iproute步骤2：在路由器R2的全局配置模式下输入以下代码，配置远程登录。R2(config)#linevty04R2(config-line)#password123R2(config-line)#loginR2(config-line)#enablesecret123步骤3：进入“控制面板”窗口，如图12-2所示。步骤4：单击“程序”选项，弹出“程序”窗口，如图12-3所示。12.4.1扩展编号ACL的配置步骤5：单击“程序和功能”选项中的“启用或关闭Windows功能”链接，弹出“Windows功能”窗口，如图12-4所示。12.4.1扩展编号ACL的配置步骤6：在“启用或关闭Windows功能”界面的列表框中勾选“Telnet客户端”复选框，然后单击“确定”按钮，弹出“Windows已完成请求的更改”提示界面，如图12-5所示，启用Telnet客户端完成。12.4.1扩展编号ACL的配置步骤7：在计算机PC2的命令行界面输入telnet命令，运行结果如图12-6所示。12.4.1扩展编号ACL的配置步骤8：在路由器R1的全局配置模式下输入以下代码，配置ACL。R1(config)#access-list100denytcp55hosteq23R1(config)#access-list100permitipanyany步骤9：在路由器R1的全局配置模式下输入以下代码，应用ACL。R1(config)#interfacef0/1R1(config-if)#ipaccess-group100in步骤10：在计算机PC2的命令行界面输入telnet命令，运行结果如图12-7所示。12.4.1扩展编号ACL的配置步骤1：在路由器R2的全局配置模式下输入以下代码，配置远程登录。R2(config)#linevty04R2(config-line)#password123R2(config-line)#loginR2(config-line)#enablesecret123步骤2：在计算机PC2的命令行界面输入telnet命令，运行结果如图12-8所示。12.4.2扩展命名ACL的配置12.4.2扩展命名ACL的配置步骤3：在路由器R1的全局配置模式下输入以下代码，配置ACL。R1(config)#ipaccess-listextendeddenytelnetR1(config-ext-nacl)#denytcp55hosteq23R1(config-ext-nacl)#permitipanyany步骤4：在路由器R1的全局配置模式下输入以下代码，在接口上应用ACL。R1(config)#interfacef0/1R1(config-if)#ipaccess-group100in步骤5：在计算机PC2的命令行界面输入telnet命令，运行结果如下图所示。网络拓扑图如图12-10所示，计算机PC1位于学生网络、计算机PC2位于办公网络，路由器R2和计算机PC3位于学校外网，路由器R1和R2的接口以及计算机PC1、PC2和PC3的IP地址已经配置完成，要求完成基于时间ACL的配置，实现学生网络在凌晨0点到早晨6点之间无法访问网络资源。12.4.3基于时间ACL的配置12.4.3基于时间ACL的配置步骤1：在路由器R1的全局配置模式下输入以下代码，配置RIP。R1(config)#routerripR1(config-router)#version2R1(config-router)#networkR1(config-router)#networkR1(config-router)#noauto-summary步骤2：在路由器R2的全局配置模式下输入以下代码，配置RIP。R2(config)#routerripR2(config-router)#version2R2(config-router)#networkR2(config-router)#networkR2(config-router)#noauto-summary步骤3：在计算机PC1的命令行界面输入ping命令检验连通性，如图12-11所示。步骤4：在计算机PC1的命令行界面输入ping命令检验连通性，如图12-12所示。12.4.3基于时间ACL的配置步骤5：在路由器R1的全局配置模式下输入以下代码，定义ACL起作用的时间段。R1(config)#time-rangedenystudentR1(config-time-range)#periodicdaily0:0to6:0步骤6：在路由器R1的全局配置模式下输入以下代码，配置ACL。R1(config)#access-list100denyip55anytime-rangedenystudentR1(config-time-range)#access-list100permitipanyany12.4.3基于时间ACL的配置步骤7：在路由器R1的全局配置模式下输入以下代码，在接口上应用ACL。R1(config)#interfacef0/0R1(config-if)#ipaccess-group100in步骤8：在路由器R1的特权执行模式下查看系统当前时间，如图12-13所示。12.4.3基于时间ACL的配置步骤9：在计算机PC1的命令行界面输入ping命令检验连通性，如图12-14所示。步骤10：在计算机PC1的命令行界面输入ping命令检验连通性，如图12-15所示。12.4.3