目录
基于华三交换机设备的操作
- 访问控制列表
ACL标识:
分类 | 序号范围 |
基础访问控制列表 | 2000 ~ 2999 |
高级访问控制列表 | 3000 ~ 3999 |
二层访问控制列表 | 4000 ~ 4999 |
用户自定义访问控制列表 | 5000 ~ 5999 |
switch(data){
case rule1 : deny; break;
case rule2 : deny; break;
default : permit; break;
}
通配符
通配符掩码和IP地址结合使用以描述一个地址范围,0表示对应位须比较,1表示对应位不比较(eg. 0.0.0.255 表示比较 前24位,0.0.3.255 表示比较 前22位)
IP地址 | 通配符 | 表示IP范围 |
192.168.0.1 | 0.0.0.255 | 192.168.0.0/24 |
0.0.3.255 | 192.168.0.0/22 | |
0.0.0.0 | 192.168.0.1(即本身) | |
255.255.255.255 | 0.0.0.0/0(全部) | |
0.0.2.255 | 192.168.0.0/24 and 192.168.2.0/24 |
- 操作
基于华三交换机设备的操作 。
firewall enable # 启动防火墙
firewall default permit # 默认过滤方式为通过
firewall default deny # 默认过滤方式为拒绝
acl number <acl 序号>
rule <规则 序号(越大则越后匹配> deny source 192.168.30.1 0 # 将192.168.30.1拒绝,0表示0.0.0.0即其IP本身
firewall packet-filter <acl 序号> outbound # 出规则应用过滤
-
基本访问控制列表
防火墙使两台PC无法PING通。
- 高级访问控制列表
禁用其它网卡。在(10.1)设置outbound也可以达到目的:拒绝FTP和ping,但允许WEB服务。
基于思科模拟器
- ACL 标识符
协议 | 范围 |
---|---|
标准IP | 1-99 |
扩展IP | 100-199 |
AppleTalk | 600-699 |
标准IPX | 800-899 |
扩展IPX | 900-999 |
IPX SAP | 1000-1999 |
- 简写
通配符掩码:0 表示检查相应位,1 表示不检查
某一网段(子网255.255.255.192) | 192.168.3.0 0.0.0.63 | 简写 | 例子 |
所有主机 | 0.0.0.0 255.255.255.255.255 | any | access-list 103 permit tcp any host 0.0.0.63 eq smtp access-list 103 permit tcp any any eq 80 |
特定主机 | IP 0.0.0.0 | host | access-list 103 permit tcp host 192.168.3.1 192.168.3.32 0.0.0.63 eq 21 |
- 标准IP
允许PC0通过,PC1不通过(默认是拒绝)
# 进入(config)#
# access-list 标识符 {permit|deny} 网络号 子网掩码反码
access-list 3 permit 192.168.3.0 0.0.0.63
# 在端口应用规则 ip access-group 标识符 {out|in} (相对路由器而言是出/入端口)
in f1/0
ip access-group 3 out
Router#sh r
Building configuration...
interface FastEthernet0/0
ip address 192.168.3.1 255.255.255.192
duplex auto
speed auto
!
interface FastEthernet0/1
ip address 192.168.3.65 255.255.255.192
duplex auto
speed auto
!
interface FastEthernet1/0
ip address 192.168.3.129 255.255.255.192
ip access-group 3 out
duplex auto
speed auto
!
access-list 3 permit 192.168.3.0 0.0.0.63
添加路由后
添加端口
配置PC的IP和网关、路由间的静态路由
CRouter0 在3.65/26端口入方向添加规则
- 扩展IP
例子:允许192.168.3.1主机范围192.168.3.32网段下所有主机的FTP服务
access-list 103 permit tcp host 192.168.3.1 192.168.3.32 0.0.0.63 eq 21
access-list 标识符 {permit|deny} 协议 源IP 源IP 子网掩码反码 目的IP 源IP子网掩码反码 eq 端口号或服务名称
- 协议:ip、tcp、udp、icmp......
eg.
access-list 123 permit icmp any any
access-list 123 permit tcp any any eq www
access-list 123 deny ip any any # 相当于拒绝除前两条的其它网络服务
- eq:现当于
- 端口号或名称:
Router(config)#access-list 123 permit tcp any any eq ? <0-65535> Port number ftp File Transfer Protocol (21) pop3 Post Office Protocol v3 (110) smtp Simple Mail Transport Protocol (25) telnet Telnet (23) www World Wide Web (HTTP, 80) ################################################################################# Router(config)#access-list 123 permit udp any any eq ? <0-65535> Port number bootpc Bootstrap Protocol (BOOTP) client (68) bootps Bootstrap Protocol (BOOTP) server (67) domain Domain Name Service (DNS, 53) isakmp Internet Security Association and Key Management Protocol (500) non500-isakmp Internet Security Association and Key Management Protocol (4500) snmp Simple Network Management Protocol (161) tftp Trivial File Transfer Protocol (69)
四个网络,子网掩码255.255.255.192(26位)。交换机无需配置,Router2 端口配置IP作为两个网络的网关,两路由器间使用静态默认路由协议,PC、服务器配置IP和网关。
- Router2:
Router#sh r Building configuration... ! interface FastEthernet0/0 ip address 192.168.3.1 255.255.255.192 # 网络1网关 ip access-group 103 in # 网络1从f0/0入时进行控制(对网络2的访问,前4题) duplex auto speed auto ! interface FastEthernet0/1 ip address 192.168.3.65 255.255.255.192 # 其它路由直达网络 duplex auto speed auto ! interface FastEthernet1/0 ip address 192.168.3.129 255.255.255.192 # 网络2网关 ip access-group 103 out # 网络2从f1/0出时进行控制(对网络2的访问,后2题) duplex auto speed auto ! ip classless ip route 0.0.0.0 0.0.0.0 192.168.3.130 # 静态默认路由 ! ! # f0/0 in # 只允许PC100访问 PC201、PC202,网络2的其它主机不可访问 access-list 103 permit ip host 192.168.3.2 host 192.168.3.66 access-list 103 permit ip host 192.168.3.2 host 192.168.3.67 access-list 103 deny ip host 192.168.3.2 192.168.3.64 0.0.0.63 # 只拒绝PC100访问 PC201、PC202,网络2的其它主机可访问 access-list 103 deny ip host 192.168.3.2 host 192.168.3.66 access-list 103 deny ip host 192.168.3.2 host 192.168.3.67 # 允许网络1中的其它主机(以PC102为代表)访问 网络2的PC203 access-list 103 permit ip 192.168.3.0 0.0.0.63 host 192.168.3.68 # 网络1对服务器不可使用Http服务,但可以使用其它服务(ip协议) access-list 103 deny tcp 192.168.3.0 0.0.0.63 host 192.168.3.194 eq www access-list 103 permit ip 192.168.3.0 0.0.0.63 host 192.168.3.194 # f1/0 out # 网络2的PC201对服务器可使用FTP服务,但不可以使用其它服务 access-list 103 permit tcp host 192.168.3.66 host 192.168.3.194 eq ftp access-list 103 deny ip host 192.168.3.66 host 192.168.3.194 # 网络2的除PC201外的主机可以使用服务器所有服务 access-list 103 permit ip 192.168.3.64 0.0.0.63 host 192.168.3.194
- Router3:
Router#sh r Building configuration... ! interface FastEthernet0/0 ip address 192.168.3.130 255.255.255.192 # 与Router2的直连 duplex auto speed auto ! interface FastEthernet0/1 ip address 192.168.3.193 255.255.255.192 # 与服务器Server0的直连 duplex auto speed auto ! ip classless ip route 0.0.0.0 0.0.0.0 192.168.3.129 # 与Router2的默认静态路由 !
- PC100:
- 检验
- 题一PC100
- 题二PC101
- 题三PC102
- 题四PC100
FTP和Ping
- 题五PC201
- 题六PC202