《锐捷RCNA路由与交换技术实战》 课件 项目13 基于扩展ACL的网络访问控制

项目13基于扩展ACL的网络访问控制项目描述相关知识项目规划设计项目实施项目验证项目拓展目录项目描述项目描述Jan16公司财务部计算机若干台，并架设了专用的财务系统服务器，进行局域网组建，通过路由器连接至互联网。出于财务系统数据安全的考虑，需要在路由器配置访问控制策略，只能财务部PC1能够访问财务系统前端网站。同时，服务器不可访问外部网络。项目拓扑如图13-1所示。具体要求如下：（1）仅允许财务部PC1访问财务系统服务器网站。（2）财务系统服务器仅在内网使用，不允许访问外部网络。（3）测试计算机、路由器的IP和接口信息如拓扑所示。项目描述图13-1网络拓扑图相关知识13.2.1ACL的规则ACL负责管理用户配置的所有规则，并提供报文匹配规则的算法。ACL规则管理的基本思想如下。①每个ACL作为一个规则组，一般可以包含多个规则。②ACL中的每一条规则通过规则ID（rule-id）来标识，规则ID可以自行设置，也可以由系统根据步长自动生成，即设备会在创建ACL的过程中自动为每一条规则分配一个ID。③默认情况下，ACL中的所有规则均按照规则ID从小到大的顺序与规则进行匹配。13.2.1ACL的规则④规则ID之间会留下一定的间隔。如果不指定规则ID时，具体间隔大小由“ACL的步长”来设定。例如，将规则编号的步长设定为10（注：规则编号的步长的默认值为5），则规则编号将按照10、20、30、40…这样的规律自动进行分配。如果将规则编号的步长设定为2，则规则编号将按照2、4、6、8…这样的规律自动进行分配。步长的大小反映了相邻规则编号之间的间隔大小。间隔的存在，实际上是为了方便在两个相邻的规则之间插入新的13.2.2ACL的规则匹配配置了ACL的设备在接收到一个报文之后，会将该报文与ACL中的规则逐条进行匹配。如果不能匹配上当前这条规则，则会继续尝试去匹配下一条规则。一旦报文匹配上了某条规则，则设备会对该报文执行这条规则中定义的处理动作（permit或deny），并且不再继续尝试与后续规则进行匹配。如果报文不能匹配上ACL的任何一条规则，则设备会对该报文执行“permit”这个处理动作。在将一个数据包和访问控制列表的规则进行匹配的时候，由规则的匹配顺序决定规则的优先级。锐捷设备支持以下匹配顺序。匹配顺序按照用户配置ACL规则的先后序列进行匹配，先配置的规则先匹配。根据ACL中语句的顺序，把数据包和判断条件进行比较。一旦匹配，就采用语句中的动作并结束比较过程，不再检查以后的其他条件判断语句。如果没有任何语句匹配，数据包将被放行。13.2.3扩展ACL的命令格式扩展ACL可以根据IP报文的源IP地址、IP报文的目的IP地址、IP报文的协议字段的值、IP报文的优先级的值、IP报文的长度值、TCP报文的源端口号、TCP报文的目的端口号、UDP报文的源端口号、UDP报文的目的端口号等信息来定义规则。基本ACL的功能只是扩展ACL的功能的一个子集，扩展ACL可以比基本ACL定义出更精准、更复杂、更灵活的规则。扩展ACL中规则的配置比基本ACL中规则的配置要复杂得多，且配置命令的格式也会因IP报文的载荷数据的类型不同而不同。例如，针对ICMP报文、TCP报文、UDP报文等不同类型的报文，其相应的配置命令的格式也是不同的。下面是针对所有IP报文的一种简化了的配置命令格式。13.2.3扩展ACL的命令格式其中，各项参数说明如下：（1）access-list-number：扩展ACL编号，编号为100-199和2000-2699。（2）deny|permit：符合规则数据包处理方式，deny为拒绝，permit为允许。（3）protocol：协议，如IP、ICMP、UDP、TCP等。（4）any:表示任何地址。access-listaccess-list-number{deny|permit}protocol{any|sourcesource-wildcard}{operatorport}{any|destinationdestination-wildcard}[operatorport][precedenceprecedence][tostos][time-rangetime-range-name][dscpdscp][frament]rule[rule-id]{permit|deny}ip[destination{destination-addressdestination-wildcard|any}][source{source-addresssource-wildcard|any}]13.2.3扩展ACL的命令格式（5）Source：数据包的源IP地址。（6）Source-wildcard：源IP地址的反向子网掩码。（7）Operator：操作符，lt表示小于，eq表示等于，gt表示大于，neg表示不等于，range表示范围。只有协议为TCP或UDP时，才会有次选项。（8）Port：源端口号，可以使用数字表示，也可以使用服务名称，如www、ftp等。（9）Destination：数据包的目的IP地址。使用any表示任何目的地址。（10）Destination-wildcard：目的IP地址的反向子网掩码。（11）Precedenceprecedence：报文的IP优先级别，取值为0-7。13.2.3扩展ACL的命令格式（12）Tostos:报文的服务类型，取值为0-15。（13）Time-rangetime-range-name：规则生效的时间范围，并指定时间范围的名称。（14）Dscpdscp:数据包的区分服务码点（differentiatedservicescodepoint，DSCP）值，取值为0-64。（15）Fragment:表示非初始分段数据包。使用这个参数后，此ACL规则将只会对非初始分段的数据包进行检查，而不检查初始分段数据包。项目规划设计项目规划设计本项目的IP地址规划、端口规划见表13-1~表13-2。设备接口IP地址网关R1G0/06/24

R1G0/154/24

R1G0/254/24

财务系统服务器SW1-/2454财务部PC1-/2454表13-1IP地址规划项目规划设计本端设备本端接口对端设备对端接口R1G0/0Internet-R1G0/1SW1G0/3R1G0/2SW2G0/3SW1G0/3R1G0/1SW1G0/1财务系统服务器SW1-SW2G0/1财务部PC1-SW2G0/2财务部PC2-SW2G0/3R1G0/2表13-2端口规划项目实施任务13-1配置路由器接口任务描述根据项目规划设计对路由器R1进行基础配置。任务实施在路由器R1上进行基础配置，配置命令如下。Ruijie>enable//进入特权模式Ruijie#configure//进入全局模式Router(config)#hostnameR1//将路由器名称更改为R1R1(config)#interfacegigabitEthernet0/0//进入G0/0接口R1(config-if-GigabitEthernet0/0)#ipaddress6//配置IP地址为6，子网掩码24位R1(config-if-GigabitEthernet0/0)#exitR1(config)#interfacegigabitEthernet0/1R1(config-if-GigabitEthernet0/1)#ipaddress54R1(config-if-GigabitEthernet0/1)#exitR1(config)#interfacegigabitEthernet0/2R1(config-if-GigabitEthernet0/2)#ipaddress54任务13-1配置路由器接口任务验证在R1上使用【showipinterfacebrief】命令查看接口IP信息，配置命令如下。可以看到已经在接口上配置了IP地址。R1(config-if-GigabitEthernet0/2)#showipinterfacebriefInterfaceIP-Address(Pri)IP-Address(Sec)StatusProtocolGigabitEthernet0/06/24noaddressupupGigabitEthernet0/154/24noaddressupupGigabitEthernet0/254/24noaddressupup……省略部分内容……任务13-2配置扩展ACL控制访问任务描述根据项目规划设计对R1进行扩展ACL控制访问配置。任务实施（1）在路由器上配置扩展ACL规则，允许财务部PC1对服务器80端口的访问。将规则应用到G0/1的接口上，配置命令如下。R1(config)#ipaccess-listextended100//创建一个编号100的扩展ACLR1(config-ext-nacl)#10permittcpeq80//允许源地址网段为/24，目的地址为、目的端口为80端口的TCP报文访问R1(config-ext-nacl)#exitR1(config)#interfacegigabitEthernet0/1R1(config-if-GigabitEthernet0/1)#ipaccess-group100out//在接口出方向基于ACL2000进行报文过滤任务13-2配置扩展ACL控制访问（2）在路由器上配置扩展ACL规则，拒绝财务系统服务器对外网的访问。将规则应用到G0/0的接口上，配置命令如下。R1(config)#ipaccess-listextended101R1(config-ext-nacl)#10denyip5555R1(config-ext-nacl)#20permitipanyanyR1(config-ext-nacl)#exitR1(config)#interfacegigabitEthernet0/0R1(config-if-GigabitEthernet0/0)#ipaccess-group101out任务13-2配置扩展ACL控制访问任务验证在R1上使用【showaccess-lists】查看访问控制列表配置，配置命令如下。可以看到已经根据规划配置了访问控制列表。R1(config)#showaccess-listsipaccess-listextended10010permittcphosthosteqwwwipaccess-listextended10110denyip555520permitipanyany任务13-3配置各部门计算机的IP地址任务描述根据项目规划设计对各台计算机进行IP地址配置。任务实施财务系统服务器的IP地址配置结果如图13-2所示，同理完成其他的PC的IP地址配置。图13-2财务系统服务器IP配置图任务13-3配置各部门计算机的IP地址任务验证（1）在财务部服务器SW1上使用【ipconfig】命令查看IP地址，配置命令如下。可以看到接口已配置了IP地址。（2）在其他PC上同样使用【ipconfig】命令确认IP地址是否正确配置。C:\Users\Administrator>ipconfig//显示本机IP地址配置的信息本地连接:连接特定的DNS后缀.......:IPv4地址............:(首选)子网掩码............:默认网关.............:54项目验证项目验证1.测试财务部PC与服务器80端口的连通性①配置财务系统服务器HttpServer，启用80端口。如图13-3所示。图13-3财务系统服务器HttpServer配置项目验证

②使用财务部PC1访问财务系统服务器Http服务，如图13-4所示。结果显示可以访问。图13-4财务部PC1访问Http项目验证③使用财务部PC2访问财务系统服务器Http服务，如图13-5所示。结果显示不可以访问。图13-5财务部PC2访问Http项目验证2.测试服务器与外部网络的连通性①使用财务系统服务器Ping测试外部网络，配置命令如下。C:\Users\Administrator>ping6正在Ping6具有32字节的数据:请求超时。请求超时。请求超时。请求超时。6的Ping统计信息:数据包:已发送=4，已接收=0，丢失=4(100%丢失)，结果显示不可以ping通。项目验证②使用财务部PC1Ping测试外部网络，配置命令如下。C:\Users\Administrator>ping6正在Ping6具有32字节的数据:来自6的回复:字节=32时间=1msTTL=64来自6的回复:字节=32时间=1msTTL=64来自6的回复:字节=32时间=1msTTL=64来自6的回复:字节=32时间=1msTTL=646的Ping统计信息:数据包:已发送=4，已接收=4，丢失=0(0%丢失)，往返行程的估计时间(以毫秒为单位):最短=1ms，最长=1ms，平均=1ms结果显示可以ping通。项目拓展1.关于访问控制列表编号与类型的对应关系，下面描述正确的是（）。

A.标准的访问控制列表编号范围是1000-2999B.扩展的访问控制列表编号范围是2000C.基于MAC的访问控制列表编号范围是4000-4999D.标准的访问控制列表编号范围是1000-20002.ACL(访问控制列表)的类型包括有()。A.基于时间段的包过滤 B.标准ACL C.扩展ACL D.基于MAC的ACL一、理论题3.路由器某个ACL存在如下规则：下列说法正确的是(

)？A.拒绝源IP地址为网段，目的地址为网段的TCP报文通过B.允许源IP地址为网段，目的地址为网段的TCP报文通过C.允许源IP地址为网段，目的地址为网段的TCP报文通过D.拒绝源IP地址为网段，目的地址为网段的TCP报文通过一、理论题ipaccess-listextended200010denyip555520denyipanyany