admin管理员组

文章数量:1122849

目录

9.1 ACL 概述

1.标准ACL

2.扩展ACL

3.命名ACL

9.2 实验1:标准ACL

1.实验目的

2.拓扑结构

3.实验步骤

(1)步骤1:配置路由器R1

(2)步骤2:配置路由器R2

(3)步骤3:配置路由器R3

4.实验调试

9.3 实验2:扩展ACL

1.实验目的

2.拓扑结构

3.实验步骤

4.实验调试

9.4 实验3:命名ACL

1.实验目的

2.拓扑结构

3.实验步骤

9.5 实验4:基于时间ACL

1.实验目的

2.拓扑结构

3.实验步骤

4.实验调试

9.6 实验5 动态ACL

1.实验目的

2.拓扑结构

3.实验步骤

4.实验调试

9.7 实验6:自反ACL

1.实验目的

2.拓扑结构

3.实验步骤

4.实验调试

9.8 ACL 命令汇总


        随着大规模开施工网络的开发,网络面临的威胁也就越来越多。网络安全问题成为网络管理员最为头疼的问题。一方面,为了业务的发展,必须允许对网络资源的开发访问;另一方面,又必须确保数据和资源的尽可能安全。网络安全采用的技术很多,而通过访问控制列表(ACL)可以对数据流进行过滤,是实现基本的网络手段之一。

9.1 ACL 概述

        访问控制列表简称为ACL,它使用包过滤技术,在路由器上读取第3 层及第4 层包头中的信息,如源地址、目的地址、源端口和目的端口等,根据预先定义好的规则对包进行过滤从而达到访问控制的目的。ACL分很多种,不同场合应用不同种类的ACL。

1.标准ACL

标准ACL 最简单,是通过使用IP包中的源IP地址进行过滤,表号范围1~99 或1300~ 1999

2.扩展ACL

        扩展ACL 比标准ACL 具有更多的匹配项,功能更加强大和细化,可以针对包括协议类型、源地址、目的地址、源端口、目的端口和TCP 连接建立等进行过滤,表号范围100~199或2000~2699

3.命名ACL

        以列表名称代替列表编号来定义ACL,同样包括标准和扩展两种列表。在访问控制列表的学习中,要特别注意以下两个术语。

① 通配符掩码:一个32 比特位的数字字符串,它规定了当一个IOP 地址与其他的IP 地址进行比较时,该IP 地址中哪些位应该被忽略。通配符掩码中的”1”表示忽略IP 地址中对应的位,而”0”则表示该位必须匹配。两种特殊的通配符掩码是”255.255.255.255”和”0.0.0.0”,前者等价于关键字”any”,而后者等价于关键字”host”。

② Inbound 和Outbound:当在接口上应用访问控制列表时,用户要指明访问控制列表是应用于流入数据,还是流出数据。

总之,ACL 的应用非常广泛,它可以实现如下的功能:

① 拒绝或允许流入(或流出)的数据流通过特定的接口;

② 为DDR 应用定义感兴趣的数据流;

③ 过滤路由更新的内容;

④ 控制对虚拟终端的访问;

⑤ 提供流量控制。

9.2 实验1:标准ACL

1.实验目的

通过本实验可以掌握:

① ACL 设计原则和工作过程;

② 定义标准ACL;

③ 应用ACL;

④ 标准ACL 调试。

2.拓扑结构

        本实验拒绝PC2 所在网段访问路由器R2,同时只允许主机PC3 访问路由器R2 的Telnet 服务。整个网络配置EIGRP保证IP 的连通性。

3.实验步骤

(1)步骤1:配置路由器R1

R1(config)#router eigrp 1

R1(config-router)#network 10.1.1.0 0.0.0. 255

R1(config-router)#network 172.16.1.0 0.0.0.255

R1(config-router)#network 192.168.12.0

R1(config-router)#no auto-summary

(2)步骤2:配置路由器R2

R2(config)#router eigrp 1

R2(config-router)#network 2.2.2.0 0.0.0. 255

R2(config-router)#network 192.168.12.0

R2(config-router)#network 192.168.23.0

R2(config-router)#no auto-summary


R2(config)#access-list 1 deny 172.16.1.0 0.0.0.255         //定义ACL

R2(config)#access-list 1 permit any

R2(config)#interface Serial0/0/0

R2(config-if)#ip access-group 1 in //在接口下应用ACL

R2(config)#access-list 2 permit 172.16.3.1


R2(config-if)#line vty 0 4

R2(config-line)#access-class 2 in

R2(config-line)#password cisco

R2(config-line)#login

        //配置telnet登录

(3)步骤3:配置路由器R3

R3(config)#router eigrp 1

R3(config-router)#network 172.16.3.0 0.0.0.255

R3(config-router)#network 192.168.23.0

R3(config-router)#no auto-summary

【技术要点】

① ACL 定义好后可以在很多地方应用,接口上应用只是其中之一,其他的常用应用包括在route map 中的match 应用和在vty下用”access-class”命令调用,用来控制Telnet 的访问;

② 访问控制列表表项的检查按自上而下的顺序进行,并且从第一个表项开始,所以必须考虑在访问控制列表中定义语句的次序;

③ 路由器不对自身产生的IP 数据包进行过滤;

④ 访问控制列表最后一条是隐含的拒绝所有;

⑤ 每一个路由器接口的每一个方向,每一种协议只能创建一个ACL;

⑥ “access-class”命令只对标准ACL 有效。

4.实验调试

        在PC1 网络所在的主机上ping 2.2.2.2应该通,在PC2 网络所在的主机上ping 2.2.2.2,应该不通,在主机PC3 上Telnet2.2.2.2应该成功。

(1)show ip access-lists    该命令用来查看所定义的IP 访问控制列表

R2#show ip access-lists

Standard IP access list 1

10 deny 172.16.1.0,wildcard bits 0.0.0.255(11 matches)

20 permit any (405 matches)

Standard IP access list 2

10 permit 172.16.3.1(2 matches)

        以上输出表明路由器R2 上定义的标准访问控制列表为”1”和”2”,括号中的数字表示匹配条件的数据包的个数,可以用”clear access-list counters”命令将访问控制列表计数器清零。

(2)show ip interface

R2#show ip interface s0/0/0

Serial0/0/0 is up ,line protocol is up

以上输出表明在接口s0/0/0 的入方向应用了访问控制列表1 。

9.3 实验2:扩展ACL

1.实验目的

通过本实验可以掌握:

① 定义扩展ACL;

② 应用扩展ACL;

③ 扩展ACL 调试。

2.拓扑结构

 

        本实验要求只允许PC2 所在网段的主机访问路由器R2 的WWW 和Telnet 服务,并拒绝PC3 所在网段ping 路由器R2.删除实验1 定义的ACL,保留EIGRP 配置。

3.实验步骤

(1)步骤1:配置路由器R1

R1(config)#access-list 100 permit tcp 172.16.1.0 0.0.0.255 host 2.2.2.2 eq www

R1(config)#access-list 100 permit tcp 172.16.1.0 0.0.0.255 host 192.168.12.2 eq www

R1(config)#access-list 100 permit tcp 172.16.1.0 0.0.0.255 host 192.168.23.2 eq www

R1(config)#access-list 100 permit tcp 172.16.1.0 0.0.0.255 host 2.2.2.2 eq telnet

R1(config)#access-list 100 permit tcp 172.16.1.0 0.0.0.255 host 192.168.12.2 eq telnet

R1(config)#access-list 100 permit tcp 172.16.1.0 0.0.0.255 host 192.168.23.2 eq telnet

R1(config)#interface g0/0

R1(config-if)#ip access-group 100 in

(2)步骤2:配置路由器R2

R2(config)#no access-list 1 //删除ACL

R2(config)#no access-list 2

R2(config)#ip http server //将路由器配置成Web 服务器

R2(config)#line vty 0 4

R2(config-line)#password cisco

R2(config-line)#login

(3)步骤3:配置路由器R3

R3(config)#access-list 101 deny icmp 172.16.3.0 0.0.0.255 host 2.2.2.2 log

R3(config)#access-list 101 deny icmp 172.16.3.0 0.0.0.255 host 192.168.12.2 log

R3(config)#access-list 101 deny icmp 172.16.3.0 0.0.0.255 host 192.168.23.2 log

R3(config)#access-list 101 permit ip any any

R3(config)#interface g0/0

R3(config-if)#ip access-group 101 in

【技术要点】

① 参数”log”会生成相应的日志信息,用来记录经过ACL 入口的数据包的情况。

② 尽量考虑将扩展的访问控制列表放在靠近过滤源的位置上,这样创建的过滤器就不会反过来影响其他接口上的数据流。另外,尽量使标准的访问控制列表靠近目的,由于标准访问控制列表只使用源地址,如果将其靠近源会阻止数据包流向其他端口。

4.实验调试

①分别在PC2 上访问路由器R2 的Telnet 和WWW 服务,然后查看访问控制列表100:

R1#show ip access-lists

Extended IP access list 100

10 permit tcp 172.16.1.0 0.0.0.255,host 2.2.2.2 eq www(8 matches)

20 permit tcp 172.16.1.0 0.0.0.255,host 192.168.12.2 eq www

30 permit tcp 172.16.1.0 0.0.0.255,host 192.168.23.2 eq www

40 permit tcp 172.16.1.0 0.0.0.255,host 2.2.2.2 eq telnet(20 matches)

50 permit tcp 172.16.1.0 0.0.0.255,host 192.168.12.2 eq telnet(4 matches)

60 permit tcp 172.16.1.0 0.0.0.255,host 192.168.23.2 eq telnet(4 matches)

②在PC3 所在网段的主机ping 路由器R2,路由器R3 会出现下面的日志信息

以上输出说明访问控制列表101 在有匹配数据包的时候,系统做了日志。

③在路由器R3 上查看访问控制101:

R3#show ip access-lists

Extended IP access list 100

10 permit icmp 172.16.3.0 0.0.0.255,host 2.2.2.2 log(5 matches)

20 permit icmp 172.16.3.0 0.0.0.255,host 192.168.12.2 log(5 matches)

30 permit icmp 172.16.3.0 0.0.0.255,host 192.168.23.2 e log(5 matches)

40 permit icmp any any(5 matches)

9.4 实验3:命名ACL

        命名ACL 允许在标准ACL 和扩展ACL 中使用字符串代替前面所使用的数字来表示ACL,命名ACL 还可以被用来从某一特定的ACL 中删除个别的控制条目,这样可以让网络管理员方便地修改ACL。

1.实验目的

通过本实验可以掌握:

① 定义命令ACL;

② 应用命名ACL。

2.拓扑结构

3.实验步骤

本实验给出了如何用命名ACL 来实现9.2 实验1 和9.3 实验2 中的要求。

(1)在路由器R2 上配置命名的标准ACL,实现9.2 实验1 中的要求

R2(config)#ip access-list standard stand

R2(config-std-nacl)#deny 172.16.1.0 0.0.0.255

R2(config-std-nacl)#permit any

R2(config)#interface Serial0/0/0

R2(config-if)#ip access-group stand in

R2(config-std-nacl)#permit 172.16.3.1

R2(config-if)#line vty 0 4

R2(config-line)#access-class class in

(2)在路由器R2 上查看命名访问控制列表

R2#show ip access-lists

Standard IP access list class

10 permit 172.16.3.1

Standard IP access list stand

10 deny 172.16.1.0,wildcard bits 0.0.0.255

20 permit any (42 matches)

(3)在路由器R1 和R3 上配置命名的扩展ACL,实现实验2中要求

R1(config)#ip access-list extended ext1

R1(config-std-nacl)#permit tcp 172.16.1.0 0.0.0.255,host 2.2.2.2 eq www

R1(config-std-nacl)#permit tcp 172.16.1.0 0.0.0.255,host 192.168.12.2 eq www

R1(config-std-nacl)#permit tcp 172.16.1.0 0.0.0.255,host 192.168.23.2 eq www

R1(config-std-nacl)#permit tcp 172.16.1.0 0.0.0.255,host 2.2.2.2 eq telnet

R1(config-std-nacl)#permit tcp 172.16.1.0 0.0.0.255,host 192.168.12.2 eq telnet

R1(config-std-nacl)#permit tcp 172.16.1.0 0.0.0.255,host 192.168.23.2 eq telnet

R1(config)interface g0/0

R1(config-if)ip access-group ext1 in

R3(config)#ip access-list extended ext3

R3(config-ext-nacl)#deny icmp 172.16.3.0 0.0.0.255 host 2.2.2.2 log

R3(config-ext-nacl)#deny icmp 172.16.3.0 0.0.0.255 host 192.168.12.2 log

R3(config-ext-nacl)#deny icmp 172.16.3.0 0.0.0.255 host 192.168.23.2 log

R3(config-ext-nacl)#permit ip any

R3(config)#interface g0/0

R3(config-if)#ip access-group ext3 in

(4)在路由器R1 和R3 上查看命名访问控制列表

R1#show ip access-lists

Extended IP access list ext1

10 permit tcp 172.16.1.0 0.0.0.255,host 2.2.2.2 eq www

20 permit tcp 172.16.1.0 0.0.0.255,host 192.168.12.2 eq www

30 permit tcp 172.16.1.0 0.0.0.255,host 192.168.23.2 eq www

40 permit tcp 172.16.1.0 0.0.0.255,host 2.2.2.2 eq telnet

50 permit tcp 172.16.1.0 0.0.0.255,host 192.168.12.2 eq telnet

60 permit tcp 172.16.1.0 0.0.0.255,host 192.168.23.2 eq telnet

R3#show ip access-lists

Extended IP access list ext3

10 permit icmp 172.16.3.0 0.0.0.255,host 2.2.2.2 log

20 permit icmp 172.16.3.0 0.0.0.255,host 192.168.12.2 log

30 permit icmp 172.16.3.0 0.0.0.255,host 192.168.23.2 log

40 permit icmp any any

9.5 实验4:基于时间ACL

1.实验目的

通过本实验可以掌握:

① 定义time-range;

② 配置基于时间ACL;

③ 基于时间ACL 调试

2.拓扑结构

本实验要求只允许PC3 主机在周一到周五的每天8;00—18;00 访问路由器R2 的Telnet 服务。

3.实验步骤

R3(config)#time-range time //定义时间范围

R3(config-time-range)#periodic weekdays 8:00 to 18:00

R3(config)#access-list 111 permit tcp host 172.16.3.1 host 2.2.2.2 eq telnet time-range time

//在访问控制列表中调用time-range

R3(config)#access-list 111 permit tcp host 172.16.3.1 host 192.168.12.2 eq telnet time-range time

R3(config)#access-list 111 permit tcp host 172.16.3.1 host 192.168.23.2 eq telnet time-range time

R3(config)#interface g0/0

R3(config-if)ip access-group 111 in

4.实验调试

①用”clock”命令将系统时间调整到周一至周五的8;00—18;00 范围内,然后在PC3 上Telnet 路由器R3,此时可以成功,然后查看访问控制列表111:

R3#show ip access-lists

Extended IP access list 111

10 permit tcp 172.16.3.1 host 2.2.2.2 eq telnet time-range time(active)(15 matches)log

20 permit tcp 172.16.3.1 host 192.168.12.2 eq telnet time-range time(active)

30 permit tcp 172.16.3.1 host 192.168.23.2 eq telnet time-range time(active)

②用”clock”命令将系统时间调整到8;00—18;00 范围之外,然后在PC3 上Telnet 路由器R2,此时不可以成功,然后查看访问控制列表111:

R3#show ip access-lists

Extended IP access list 111

10 permit tcp 172.16.3.1 host 2.2.2.2 eq telnet time-range time(inactive)(45 matches)log

20 permit tcp 172.16.3.1 host 192.168.12.2 eq telnet time-range time(inactive)

30 permit tcp 172.16.3.1 host 192.168.23.2 eq telnet time-range time(inactive)

③show time-range:该命令用来查看定义的时间范围。

R3#show time-range

time-range entry;time(active)

periodic weekdays 8;00 to 18;00

used in ;IP ACL entry

used in ;IP ACL entry

used in ;IP ACL entry

以上输出表示在3 条ACL 中调用了该time-range。

9.6 实验5 动态ACL

       动态ACL 是Cisco IOS 的一种安全特性,它使用户能在防火墙临时打开一个缺口,而不会破坏其他已配置了的安全限制。

1.实验目的

通过本实验可以掌握:

① 动态ACL 工作原理;

② 配置VTY 本地登录;

③ 配置动态ACL;

④ 动态ACL 调试。

2.拓扑结构

       本实验要求如果PC3 所在网段想要访问路由器R2 的WWW 服务,必须先Telent 路由器R2 成功后才能访问。

3.实验步骤

R2(config)username ccie password cisco //建立本地数据库

R2(config)#access-list 120 permit tcp 172.16.3.0 0.0.0.255 host 2.2.2.2 eq telnet

R2(config)#access-list 120 permit tcp 172.16.3.0 0.0.0.255 host 12.12.12.2 eq telnet

R2(config)#access-list 120 permit tcp 172.16.3.0 0.0.0.255 host 23.23.23.2 eq telnet

R2(config)#access-list 120 permit eigrp any any //允许EIGRP 协议

R2(config)#access-list 120 dynamic test timeout permit ip 172.16.3.0 0.0.0.255 host 2.2.2.2

//”dynamic”定义动态ACL,”timeout”定义动态ACL 绝对的超时时间

R2(config)#access-list 120 dynamic test1 timeout permit ip 172.16.3.0 0.0.0.255 host 23.23.23.2

R2(config)#access-list 120 dynamic test2 timeout permit ip 172.16.3.0 0.0.0.255 host 12.12.12.2

R2(config)#interface s0/0/1

R2(config-if)#ip access-group 120 in

R2(config)#line vty 0 4

R2(config-line)#login local //VTY 使用本地验证

R2(config-line)#autocommand access-enable host timeout 5

//在一个动态ACL 中创建一个临时性的访问控制列表条目,”timeout”定义了空闲超时值,空闲超时值必须小于绝对超时值

【技术要点】

如果用参数”host”,那临时性条目将只为用户所用的单个IP 地址创建,如果不使用,那么用户的整个网络都将被该临时性条目允许。

4.实验调试

①没有Telnet 路由器R2,在PC3 上直接访问路由器R2 的WWW 服务,不成功,路由器R2 的访问控制列表:

R2#show ip access-lists

Extended IP access list 120

10 permit tcp 172.16.3.0 0.0.0.255,host 2.2.2.2 eq telnet(114 matches)

20 permit tcp 172.16.3.0 0.0.0.255,host 12.12..12.2 eq telnet

30 permit tcp 172.16.3.0 0.0.0.255,host 23.23.23.2 eq telnet

40 permit eigrp any any (159 matches)

50 dynamic test timeout permit ip 172.16.3.0 0.0.0.255 host 2.2.2.2

60 dynamic test1 timeout permit ip 172.16.3.0 0.0.0.255 host 23.23.23.2

70 dynamic test2 timeout permit ip 172.16.3.0 0.0.0.255 host 12.12.12.2

②Telnet 路由器R2 成功之后,在PC3 上访问路由器R2 的WWW 服务,成功,路由器R2 的访问控制列表:

R2#show ip access-lists

Extended IP access list 120

10 permit tcp 172.16.3.0 0.0.0.255,host 2.2.2.2 eq telnet(114 matches)

20 permit tcp 172.16.3.0 0.0.0.255,host 12.12..12.2 eq telnet

30 permit tcp 172.16.3.0 0.0.0.255,host 23.23.23.2 eq telnet

40 permit eigrp any any (159 matches)

50 Dynamic test timeout permit ip 172.16.3.0 0.0.0.255 host 2.2.2.2

permit ip host 17216.3.1 host 2.2.2.2(15 matches)(teme left 288)

60 Dynamic test1 timeout permit ip 172.16.3.0 0.0.0.255 host 23.23.23.2

70 Dynamic test2 timeout permit ip 172.16.3.0 0.0.0.255 host 12.12.12.2

        从①和②的输出结果可以看到,从主机172.16.3.1Telnet2.2.2.2,如果通过认证,该Telnet 会话就会被切断,IOS 软件将在动态访问控制中动态建立一临时条目”permit ip host 172.16.3.1 host 2.2.2.2 “,此时在主机172.16.3.1 上访问2.2.2.2的Web 服务,成功。

9.7 实验6:自反ACL

1.实验目的

通过本实验可以掌握:

① 自反ACL 工作原理;

② 配置自反ACL;

③ 自反ACL 调试。

2.拓扑结构

 本实验要求内网可以主动访问外网,但是外网不能主动访问内网,从而有效保护内网。

3.实验步骤

(1)步骤1:分别在路由器R1 和R3 上配置默认路由确保IP 连通性

R1(config)#ip route 0.0.0.0 0.0.0.0 192.168.12.2

R3(config)#ip route 0.0.0.0 0.0.0.0 202.210.23.2

(2)步骤2:在路由器R2 上配置自反ACL

R2(config)#ip access-list extended ACLOUT

R2(config-ext-nacl)#permit tcp any any reflect REF //定义自反ACL

R2(config-ext-nacl)#permit udp any any reflect REF

R2(config)#ip access-list extended ACLIN

R2(config-ext-nacl)#evaluate REF //评估反射

R2(config)#int s0/0/1

R2(config-if)#ip access-group ACLOUT out

R2(config-if)#ip access-group ACLIN in

R2(config)#ip route 3.3.3.0 255.255.255.0 202.210.23.3

R2(config)#ip route 172.16.1.0 255.255.255.0 192.168.12.1

【技术要点】

① 自反ACL 永远是permit 的;

② 自反ACL 允许高层Session 信息的IP 包过滤;

③ 利用自反ACL 可以只允许出去的流量,但是阻止从外部网络产生的向内部网络的流量,从而可以更好地保护内部网络;

④ 自反ACL 是在有流量产生时(如出方向的流量)临时自动产生的,并且当Session 结束时条目就删除;

⑤ 自反ACL 不是直接被应用到某个接口下的,而是嵌套在一个扩展命名访问列表下的。

4.实验调试

①在路由器上R3 打开Telnet 服务,在R1 上(从内网到外网)Telnet 路由器R3 成功,此时在路由器R2 上查看访问控制列表:

R2#show access-lists

Extended IP access list ACLIN

10 evaluate REF

Extended IP access list ACLOUT

10 permit tcp any any reflect REF

20 permit udp any any reflect REF

Reflexive IP access list REF

permit tcp host 202.210.23.3 eq telnet host 192.198.12.1 eq 11002(48 matches)(time left 268)

以上输出说明自反列表是在有内部到外部Telnet 流量经过的时候,临时自动产生一条列表。

②在路由器上R1 打开Telnet 服务,在R3 上(从外网到内网)Telnet 路由器R1 不能成功,此时在路由器R2 上查看访问控制列表:

R2#show access-lists

Extended IP access list ACLIN

10 evaluate REF

Extended IP access list ACLOUT

10 permit tcp any any reflect REF

20 permit udp any any reflect REF

Reflexive IP access list REF

以上输出说明自反列表是在有外部到内部Telnet 流量经过的时候,不会临时自动产生一条列表,所以不能访问成功。

9.8 ACL 命令汇总

命令                                                                     作用

show ip access-lists                                            查看所定义的IP 访问控制列表

clear access-list counters                                   将访问控制列表计数器清零

access-list                                                           定义ACL

ip access-group                                                  在接口下应用ACL

access-class                                                       在vty 下应用ACL

ip access-list                                                       定义命名的ACL

time-range time                                                  定义时间范围

username username password password         建立本地数据库

autocommand                                                    定义自动执行的命令

本文标签: ACL