实验7-1 (ACL)标准的访问控制列表的配置

曾巧文 发布于:2011-11-10 11:36 分类:计算机网络 标签: ACL

1 实验目的

曾巧文博客

1. 掌握访问控制列表ACL的工作原理

2. 了解访问控制列表的类型

3. 掌握在路由器上配置标准访问控制列表

4. 掌握在路由器上配置扩展访问控制列表

5. 掌握基于时间段进行控制的IP访问列表配置

6. 掌握专家级访问列表的规则及配置

2 实验原理

2.1 概述

访问控制列表(Access Control List)最直接的功能是包过滤。通过接入控制列表可以在路由器、三层交换机上进行网络安全属性配置,可以实现对进入路由器、三层交换机的输入数据流进行过滤。

2.2 ACL的类型

     ACL的类型主要分为IP标准访问控制列表(Standard IP ACL)和IP扩展访问控制列表(Extended IP ACL)。

1IP标准访问控制列表是基于IP数据包中的IP地址进行控制。

数据

 

TCP/UDP

 

IP

 

源地址

 
 

 


7-1标准访问控制列表

命令格式:

Access-list listnumber { permit | deny } address [ wildcard - mask]

其中:listnumber 是规则序号,标准访问控制列表的规则序号范围199Permitdeny 表示允许或者禁止满足该规则的数据包通过:Address 是源地址IPwildcard-mask是源地址IP的通配比较位,也称反掩码。

例如:

config)# access-list 1 permit 172.16.0.0 0.0.255.255

( config)#access-list 1 deny 0.0.0.0 255.255.255.255

至于反掩码的计算,我们下面会做进一步解析。

2IP扩展访问控制列表(Extended IP ACL

扩展访问控制列表不仅可以对源IP加以控制,还可以对目的地址、协议以及端口号加以控制。

源地址

 
 

 

 


协议

 

源地址

 

目的地址

 
 

7-2扩展访问控制列表

命令格式:

Access-list listnumber { permit | deny } protocol source source-wildcard-mask destination destination-wild-mask [operator operand]

其中:扩展访问列表的规则序号listnumber范围是100199protocol是指定的协议,如IPTCPUDP等;destination 是目的地址; destination-wildcard-mask是目的地址反掩码;operatoroperand用于指定端口范围,默认为全部端口号065535,只用TCPUDP协议需要指定端口范围。

2.3 ACL反掩码的计算

反掩码等于子网掩码中的各位取反,也就是掩码中的0变成11变成0

32位的反掩码中包含01

0表示检查该位;

1表示忽略该位。

在大多数情况下,我们考虑的情况主要有以下四种匹配:

æ  匹配单个主机

æ  匹配整个子网

æ  匹配子网中的部分主机

æ  匹配所有的主机

根据上面四种情况,方法如下:

1) 匹配单一主机:所有的反掩码位数都为0

例如,对于以下标准访问控制列表:

Access-list 1 permit 157.89.8.9 0.0.0.0 !表示只允许IP地址为157.89.8.9主机数据包通过

对于扩展的访问控制列表

Access-list 101 permit ip 157.89.8.9 0.0.0.0 any !只允许IP地址为157.89.8.9的主机的数据包通过

2) 匹配一个完全子网

Wildcard mask = 255.255.255.255 – subnet mask

也就是 反掩码=255.255.255.255 – 子网掩码

1:子网网络号为2.3.4.0,掩码为255.255.255.0,那么反掩码为 0.0.0.255

Access-list 1 permit 3.2.4.0 0.0.0.255

2: 子网网络号为111.2.4.112,掩码为255.255.255.224,那么反掩码为0.0.0.31

Access-list 1 permit 111.2.4.112 0.0.0.31

3) 匹配子网某一个范围的主机

匹配的范围

157. 89. 16.0 – 157. 89. 31.255

反掩码= 大IP-小IP

例如:

157. 89. 31.255

-157. 89. 16. 0

反掩码 0. 0. 15. 255

access-list 1 permit 157.89.16.0 0.0.15.255

4) 匹配所有主机

匹配所有主机,使用下面的ACL命令

Access-list 1 permit any

或者 Access-list 1 permit 0.0.0.0 255.255.255.255

3 实验内容

3.1 标准的访问控制列表的配置

1.实验背景

假设一个公司的总经理室、财务部和生产部分属三个不同的网段,各部门间通过路由器连接进行信息传递。为保护各部门内部数据的安全,公司总经理要求财务部的数据不能对生产部开放,但总经理室可以对财务部的数据进行访问。

2.实验环境

7-3 标准访问控制列表配置环境图

【实验设备】R2624R2620路由器1

本实验首先要配置路由器Fa0Fa1Fa3端口的IP地址为192.168.1.1192.168.2.1192.168.3.1,这三个端口分别连接3个不同的网段;然后在路由器上配置标准ACL,拒绝来自192.168.1.0网段的流量通过,但是允许来自192.168.3.0网段的流量通过,最后把该访问控制列表应用在端口Fa1

3.实验步骤

1) 基本配置

Red-Gaint >
Red-Gaint > enable
Red-Gaint # configure terminal
Red-Gaint (config) # hostname R1
R1 (config) # interface fastEthernet 0 //进入Fa0接口
R1 (config-if) # ip address 192.168.1.1 255.255.255.0 // 配置Fa0的IP地址
R1 (config-if) # no shutdown //开启接口Fa0
R1 (config-if) # interface fastEthernet 1 //进入Fa1接口
R1 (config-if) # ip add 192.168.2.1 255.255.255.0 //配置Fa1的IP地址
R1 (config-if) # no shutdown //开启接口Fa1
R1 (config-if) # interface fastEthernet 3 //进入Fa3接口
R1 (config-if) # ip add 192.168.3.1 255.255.255.0 //配置Fa3的IP地址
R1 (config-if) # no shutdown //开启接口Fa3
R1 (config-if) # end

测试命令:

R1 # show ip interface brief // 观察接口状态
Interface IP-Address OK? Method Staus Protocol
Fastethernet0 192.168.1.1 YES manual up up
Fastethernet1 192.168.2.1 YES manual up up
Fastethernet2 unassigned YES unset administratively down down
Fastethernet3 192.168.3.1 YES manual up up
Serial0 unassigned YES unset administratively down down
Serial1 unassigned YES unset administratively down down
2). 配置标准的IP访问控制列表
R1(config) # access-list 1 deny 192.168.1.0 0.0.0.255 //拒绝来自192.168.1.0网段的流量通过
R1(config)# access-list 1 permit 192.168.3.0 0.0.0.255 //允许来自192.168.3.0网段的流量通过

测试验证

R1 # show access-lists 1

Standard IP access list 1

Deny 192.168.1.0 , wildcard bits 0.0.0.255

Permit 192.168.3.0 wildcard bits 0.0.0.255

3) 把访问控制列表在接口下应用

R1(config)# interface fastEthernet 1

R1(config-if) # ip access-group 1 out //在接口下访问控制列表出栈流量调用

测试验证:

R1(config)#Show ip access-lists 1

Ping (192.168.1.0 网段的主机不能ping 192.168.2.0网段的主机;192.168.3.0网段

的主机能ping192.168.2.0网段的主机)

4. 注意事项

1) 注意在访问控制列表的网络掩码是反掩码

2) 标准控制列表要应用在尽量靠近目的地址的接口

3) 注意标准访问控制列表的编号是从199

版权所有:《曾巧文博客-关注互联网IT技术,记录生活点滴》 => 《实验7-1 (ACL)标准的访问控制列表的配置
本文地址://qiaowen.net/post-1123.html
除非注明,文章均为 《曾巧文博客-关注互联网IT技术,记录生活点滴》 原创,欢迎转载!转载请注明本文地址,谢谢。

有 5147 人浏览,获得评论 0 条

发表评论:

Powered by emlog 粤ICP备12040901号

>>本作品采用-知识共享署名-非商业-禁止演绎-协议-进行许可 |站点地图 | | | | 开放分类目录 |