网络设计与集成-ACL配置(使用思科命令)

3.2 实验目的

  1. 加深对 ACL 的理解;
  2. 掌握访问控制列表的相关知识;
  3. 掌握基本 ACL 的配置;
  4. 掌握高级 ACL 的配置。

3.3 实验环境

  1. 分组实验,每组 4~8 人。
  2. 设备:路由器 2 台、交换机 4 台、计算机若干台;或,使用模拟器(eNSP、Packet Tracer、
    GNS3、EVE 等)。

3.4预备知识

1.包过滤和防火墙

防火墙一方面阻止来自因特网的对受保护网络的未授权或未验证的访问,另一方面允许内部网络的用户对因特网进行Web访问或收发E-mail等。防火墙也可以作为一个访问因特网的权限控制关口,如允许组织内的特定的人可以访问因特网。

防火墙不单应用于和外部因特网的连接,也可以用于保护组织内部网络的大型机和重要资源(如数据)。对受保护数据的访问都必须经过防火墙的过滤,即使该访问是来自组织内部。

当外部网络的用户访问网内资源时,要经过防火墙;而内部网络的用户访问网外资源时,也会经过防火墙。这样,防火墙就起到了一个“警卫”的作用,可以将需要禁止的数据包在这里给丢掉。

包过滤一般是指对IP数据包的过滤。对路由器需要转发的数据包,先获取包头信息,包括IP层所承载的上层协议的协议号、数据包的源地址、目的地址、源端口和目的端口等,然后和设定的规则进行比较,根据比较的结果对数据包进行转发或者丢弃。

当前业界主流防火墙通过围绕安全区(Security Zone)来配置安全策略。安全区有两种划分方式:按照接口划分、安装IP地址划分。

引入安全区的概念之后,网络安全管理员将安全需求相同的接口或IP地址进行分类,从而划分到不同的安全区。

2. 访问控制列表ACL
为了过滤数据包,需要配置一些规则,规定什么样的数据包可以通过,什么样的数据包不能通过。这些规则就是通过访问控制列表(Access Control List)体现的。

用户需要根据自己的安全策略来确定访问控制列表,并将其应用到整机或指定接口上,路由器就会根据访问控制列表来检查所有接口或指定接口上的所有数据包,对于符合规则的报文作正常转发或丢弃处理,从而起到防火墙的作用。

访问控制列表是由permit | deny语句组成的一系列有顺序的规则,这些规则根据数据包的源地址、目的地址、端口号等来描述。ACL通过这些规则对数据包进行分类,这些规则应用到路由器接口上,路由器根据这些规则判断哪些数据包可以接收,哪些数据包需要拒绝。
3. ACL的类型

  • 基本ACL(标准ACL)与高级ACL(扩展ACL)
    1.基本ACL(标准ACL):仅根据源IP地址过滤数据包。
    2.高级ACL(扩展ACL):根据多个属性过滤数据包,这些属性包括:
    2.1源IP地址和目的IP地址
    2.2 源端口号和目的端口号
    2.3协议类型/协议号(如:IP、ICMP、UDP、TCP、HTTP等)

4. 放置ACL的基本原则
每个 ACL 都应该放置在最能发挥作用的位置。如图所示,基本规则如下:

  • 高级ACL(扩展 ACL)
    放置在尽可能靠近需要过滤的流量源的位置上。这样,不需要的流量会在靠近源网络的位置遭到拒绝,而无需通过网络基础设施。

  • 基本ACL(标准 ACL)
    由于基本ACL(标准 ACL)不指定目的地址,所以其位置应该尽可能靠近目的地。如果将其放置在流量源处,则将会根据给定的源地址进行“permit”或“deny”,而无论流量要发向何处。

3.5.1 ACL 基本配置

拓扑图在这里插入图片描述

实验需求

a. 为总部路由器 HQ 配置相应的编址。
b. 为分支机构路由器 BR 配置相应的编址。
c. 根据以下标准,为总部路由器 HQ 和 分支机构路由器 BR 配置 RIPv2 路由:
·通告所有三个连接的网络。不通告互联网链路。
·将相应的接口配置为被动接口。
d. 在 HQ 上设置默认路由,将流量定向到 S 1/0/0 接口。将默认路由重新分配给分支机构 BR。
e. 设计一个命名 ACL,阻止连接到 BR 路由器的 G 0/0 /0 接口的任何计算机访问总部服务器HQServer 所在网段。允许所有其他流量。在相应路由器上配置访问列表,将它应用到相应接口的相应方向。
f. 设计一个命名 ACL,阻止连接到 HQ 路由器的 G 0/0/0 接口的任何计算机访问分支机构服务器BRServer 所在网段。允许所有其他流量。在相应路由器上配置访问列表,将它应用到相应接口的相应方向。
👀地址分配表
在这里插入图片描述
😎配置步骤
本实验用EVE设备完成。
总部路由器的配置
在这里插入图片描述
分支结构路由器的配置
在这里插入图片描述

验证配置结果

使用 ping、tracert、show 等命令进行验证。
如图,连接到分支机构路由器 WH的 e0/2 接口的计算机WH1访问总部服务器TX-server,
不可达。
在这里插入图片描述
如图,连接到分支机构路由器 WH的 e0/0 接口的计算机WH2访问总部服务器TX-server,
不可达。
在这里插入图片描述

如图,连接到总部路由器 TX的 e0/2 接口的计算机TX1访问分支机构服务器TYX-server,
不可达。
在这里插入图片描述


3.5.2 ACL 高级配置

拓扑图

在这里插入图片描述

实验需求
a. 为总部路由器 HQ 及主机配置相应的编址。
b. 为分支机构路由器 BR 及主机配置相应的编址。
c. 根据以下标准,为总部路由器 HQ 和 分支机构路由器 BR 配置 RIPv2 路由:
· 通告所有三个连接的网络。不通告互联网链路。
·将相应的接口配置为被动接口。
d. 在 HQ 上设置默认路由,将流量定向到 S 1/0/0 接口。将默认路由重新分配给分支机构 BR。
e. 设计一个命名 ACL,阻止连接到 BR 路由器的 G 0/0 /0 接口的任何计算机访问总部服务器HQServer。允许所有其他流量。在相应路由器上配置访问列表,将它应用到相应接口的相应方向。
f. 设计一个命名 ACL,阻止连接到 HQ 路由器的 G 0/0/0 接口的任何计算机访问分支机构服务器BRServer 的 HTTP 和 FTP 服务。允许所有其他流量。在相应路由器上配置访问列表,将它应用到相应接口的相应方向。

地址分配表
在这里插入图片描述
配置步骤
总部路由器xin的配置
在这里插入图片描述在这里插入图片描述在这里插入图片描述在这里插入图片描述
分支机构路由器xi的配置

在这里插入图片描述
验证配置结果
验证结果使用tracert、show等命令进行验证。
总部路由器xin的路由表
在这里插入图片描述
如下图,连接到总部路由器 xin的 e0/0接口的计算机xin1访问连接分支机构路由器xi的xi1,不可达。
在这里插入图片描述
在这里插入图片描述
如下图,连接到分支机构路由器 xi的 e0/1接口的计算机xi2访问总部服务器xin-server。
在这里插入图片描述
如下图,连接到总部路由器 xin的 e0/0接口的计算机xin1访问分支机构服务器xi-server,
不可达。
在这里插入图片描述

思考与分析

1.ACL 分哪些类型?
答:1.标准IP访问列表
一个标准IP访问控制列表匹配IP包中的源地址或源地址中的一部分,可对匹配的包采取拒绝或允许两个操作。编号范围是从1到99的访问控制列表是标准IP访问控制列表。
2.扩展IP访问列表
扩展IP访问控制列表比标准IP访问控制列表具有更多的匹配项,包括协议类型、源地址、目的地址、源端口、目的端口、建立连接的和IP优先级等。编号范围是从100到199的访问控制列表是扩展IP访问控制列表。
2.命名的IP访问列表
所谓命名的IP访问控制列表是以列表名代替列表编号来定义IP访问控制列表,同样包括标准和扩展两种列表,定义过滤的语句与编号方式中相似。
3.标准IPX访问列表
标准IPX访问控制列表的编号范围是800-899,它检查IPX源网络号和目的网络号,同样可以检查源地址和目的地址的节点号部分。
4.扩展IPX访问列表
扩展IPX访问控制列表在标准IPX访问控制列表的基础上,增加了对IPX报头中以下几个宇段的检查,它们是协议类型、源Socket、目标Socket。扩展IPX访问控制列表的编号范围是900-999。
5.命名的IPX访问列表
与命名的IP访问控制列表一样,命名的IPX访问控制列表是使用列表名取代列表编号。从而方便定义和引用列表,同样有标准和扩展之分。

  1. 放置 ACL 的基本原则是什么?
    答:1.ACL语句的顺序很关键:
    ACL按照由上到下的顺序执行,找到一个匹配语句后既执行相应的操作,然后跳出ACL而不会继续匹配下面的语句。所以配置ACL语句的顺序非常关键!
    2.自上到下的处理顺序:
    具体的判别条目应放置在前面
    标准ACL可以自动排序:
    主机
    网段
    any
    3.隐含的拒绝所有的条目:
    除非最后有明确的允许语句,否则最终拒绝所有流量,所以ACL中必须有允许条目存在,否则一切流量被拒绝
相关推荐
DHCP配置 4 静态路由 6 浮动静态路由 6 向网络中注入一条默认路由 7 RIP 8 RIP的基本配置 8 被动接口与单播更新 10 RIPv2的基本配置 11 RIPv 2的手动汇总 13 RIPv2认证和触发更新 13 EIGRP配置 17 Eigrp的基本配置 17 eigrp路由汇总 19 eigrp的负载均衡 21 eigrp认证 23 OSPF 26 OSPF 基本配置 26 OSPF广播多路访问 28 OSPF基本认证 29 OSPF基于MD5的认证 30 OSPF基于链路的MD5认证 31 OSPF基于链路的简单口令认证 32 ospf 注入一条默认路由 33 多区域OSPF 35 多区域OSPF基本配置 36 多区域OSPF手动汇总 38 Ospf 末节区域和完全末节区域 40 Ospf NSSA区域 42 Ospf虚链路 44 不连续区域0的虚连接 46 IS-IS 49 Is-is的基本配置 49 多区域集成的IS-IS 50 BGP 52 BGP地址聚合 57 BGP属性控制选路 60 用BGP AS-PATH属性控制选路 63 BGP LOCAL_PREF属性控制选路 66 BGP WEIGHT属性控制选路 69 路由反射器配置 71 BGP联邦配置 74 BGP团体配置 77 路由重分布 81 Rip、OSPF、eigrp之间的路由重分布 81 ISIS 和OSPF 重分布 83 Vlan间路由 86 传统的vlan间路由 86 单臂路由器vlan间路由 88 三层交换实现vlan间路由 90 ACL 91 标准ACL 91 扩展ACL1 92 扩展ACL2 95 命名ACL 97 基于时间的ACL 99 动态ACL 100 自反ACL 102 Nat地址转换 104 静态nat地址转换 104 动态Nat地址转换 105 NAT重载 107 PPP的配置实验 108 PAP验证 113 帧中继配置 115 帧中继静态映射 115 帧中继子接口单点对多点 117 帧中继点到点子接口配置 119 把一台cisco路由器配置为帧中继交换机 122 帧中继上的RIP 124 帧中继上集成IS-IS 126 帧中继上点到点子接口下集成的IS-IS 127 帧中继上的OSPF 129 IPV6 131 IPv6 静态路由 131 IPv6 RIPng 131 OSPFv3 133 IPv6 EIGRP 135 组播 136 PIM Dense 137 PIM Sparse-Dense 140 路由优化 142 分布控制列表控制路由更新 142 策略路由 144 基于报文大小的策略路由 145 基于应用的策略路由 147 网关冗余和负载均衡 148 HSRP 148 VRRP 150 GLBP 151 IOS 153 IOS更新 153 交换机的IOS恢复 154 路由器的密码恢复和ios恢复 154 计算机端口安全 155 交换机的密码恢复 156 清除交换机配置并重启 156 stp 157 STP+VTP 157 Trunk 配置 159 RSTP 160 MST 160 STP 保护 162 链路聚合 163 QOS 164 PQ 165 CQ 165 WFQ 166 CBWFQ 166 LLQ 167 WRED 168 CAR 168 NBAR 168 综合练习1 170 综合练习2 177
©️2020 CSDN 皮肤主题: 大白 设计师:CSDN官方博客 返回首页