目录
一、ACL技术
1.1 ACL技术介绍
访问控制列表(ACL)是一种基于包过滤的访问控制技术,它可以根据设定的条件对接口上的数据包进行过滤,允许其通过或丢弃。访问控制列表被广泛地应用于路由器和三层交换机,借助于访问控制列表,可以有效地控制用户对网络的访问,从而最大程度地保障网络安全。
作用:读取三层、四层头部信息,根据预先定义好的规则对流量进行筛选、过滤。
1.2 ACL调用方向
入:流量将要进入本地路由器,将本地路由器处理。
出:已经被本地路由器处理过了,流量将离开本地路由器。
策略做好后,在入接口调用和出接口调用的区别:
1.入接口调用的话,是对本地路由器生效。
2.出接口调用的话,对本地路由器不生效,流量将在数据转发过程中的下一台路由器生效。
1.3 ACL处理原则
访问控制列表处理原则:
1.路由条目只会匹配一次
2.路由条目在ACL访问1列表中匹配的顺序是从上往下的匹配
3.ACL访问控制列表至少要放行一条条目
1.4 ACL列表类型
访问控制列表类型:
1、标准访问控制列表(只能基于源IP地址进行过滤,标准访问控制列表的列表号是2000——2999,其调用的原则靠近目标)
2、扩展访问控制列表(可以根据源、目标IP、TCP/UDP协议,源,目表端口号进行过滤,相比较标准访问控制列表,流量控制的更加精准。调用原则:靠近源。扩展访问控制列表号是3000——3999)
二、模拟配置ACL
2.1 配置标准访问控制列表
配置要求(client1不能被访问)
配置前准备:一台二层交换机和一台三层交换机,四台客户机
在二层交换机中配置
[sw1]vlan bat 10 20 //创建虚拟接口
[sw1]int e0/0/1 //进入接口
[sw1-Ethernet0/0/1]port link-type access //设置接口链路类型
[sw1-Ethernet0/0/1]port default vlan 10 //将接口划分进虚拟接口
[sw1-Ethernet0/0/1]int e0/0/2 //进入接口
[sw1-Ethernet0/0/2]port link-type access //设置接口链路类型
[sw1-Ethernet0/0/2]port default vlan 20 //将接口划分进虚拟接口
[sw1-Ethernet0/0/2]int e0/0/3 //进入接口
[sw1-Ethernet0/0/3]port link-type access //设置接口链路类型
[sw1-Ethernet0/0/3]port default vlan 10 //将接口划分进虚拟接口
[sw1-Ethernet0/0/3]int e0/0/4 //进入接口
[sw1-Ethernet0/0/4]port link-type access //设置接口链路类型
[sw1-Ethernet0/0/4]port default vlan 20 //将接口划分进虚拟接口
[sw1-Ethernet0/0/4]int g0/0/1 //进入接口
[sw1-GigabitEthernet0/0/1]port link-type trunk //设置接口链路类型
[sw1-GigabitEthernet0/0/1]port trunk allow-pass vlan all //设置白名单
三层交换机配置
[r1]int g0/0/0 //进入接口
[r1-GigabitEthernet0/0/0]undo shutdown //开启接口
[r1-GigabitEthernet0/0/0]int g0/0/0.1 //进入子接口
[r1-GigabitEthernet0/0/0.1]dot1q termination vid 10 //子接口封装为802.1q类型并划分进vlan
[r1-GigabitEthernet0/0/0.1]ip add 192.168.10.1 24 //配置子接口的IP和子网掩码长度
[r1-GigabitEthernet0/0/0.1]arp broadcast enable //开启ARP广播
[r1-GigabitEthernet0/0/0.1]q //返回上一层
[r1]int g0/0/0.2 //进入子接口
[r1-GigabitEthernet0/0/0.2]dot1q termination vid 20 //子接口封装为802.1q类型并划分进vlan
[r1-GigabitEthernet0/0/0.2]ip add 192.168.20.1 24 //配置子接口的IP和子网掩码长度
[r1-GigabitEthernet0/0/0.2]arp broadcast enable //开启ARP广播
[r1-GigabitEthernet0/0/0.2]q //返回上一层
[r1]acl 2000 //创建标准控访问列表,列表号为2000
[r1-acl-basic-2000]rule deny source 192.168.10.0 0.0.0.255 拒绝192.168.10.0网段通信
[r1-acl-basic-2000]int g0/0/0.2 进入子接口
[r1-GigabitEthernet0/0/0.2]traffic-filter outbound acl 2000 放行其他路由
验证:在客户机上验证目标 ip发送失败则为成功
2.2 扩展访问控制列表
配置要求:禁止client5客户机访问ftp服务
配置前设备准备:二层交换机,四台客户机,两台路由器和服务器
二层交换机配置
[sw1]vlan bat 10 20 //创建虚拟接口
[sw1]int e0/0/1 //进入接口
[sw1-Ethernet0/0/1]port link-type access //设置接口链路类型
[sw1-Ethernet0/0/1]port default vlan 10 //将接口划分进虚拟接口
[sw1-Ethernet0/0/1]int e0/0/2 //进入接口
[sw1-Ethernet0/0/2]port link-type access //设置接口链路类型
[sw1-Ethernet0/0/2]port default vlan 20 //将接口划分进虚拟接口
[sw1-Ethernet0/0/2]int e0/0/3 //进入接口
[sw1-Ethernet0/0/3]port link-type access //设置接口链路类型
[sw1-Ethernet0/0/3]port default vlan 10 //将接口划分进虚拟接口
[sw1-Ethernet0/0/3]int e0/0/4 //进入接口
[sw1-Ethernet0/0/4]port link-type access //设置接口链路类型
[sw1-Ethernet0/0/4]port default vlan 20 //将接口划分进虚拟接口
[sw1-Ethernet0/0/4]int g0/0/1 //进入接口
[sw1-GigabitEthernet0/0/1]port link-type trunk //设置接口链路类型
[sw1-GigabitEthernet0/0/1]port trunk allow-pass vlan all //设置白名单
路由器r1配置
[r1]int g0/0/0 //进入接口
[r1-GigabitEthernet0/0/0]undo shutdown //开启接口
[r1-GigabitEthernet0/0/0]int g0/0/0.1 //进入子接口
[r1-GigabitEthernet0/0/0.1]dot1q termination vid 10 //子接口封装为802.1q类型并划分进vlan
[r1-GigabitEthernet0/0/0.1]ip add 192.168.10.1 24 //配置子接口的IP和子网掩码长度
[r1-GigabitEthernet0/0/0.1]arp broadcast enable //开启ARP广播
[r1-GigabitEthernet0/0/0.1]q //返回上一层
[r1]int g0/0/0.2 //进入子接口
[r1-GigabitEthernet0/0/0.2]dot1q termination vid 20 //子接口封装为802.1q类型并划分进vlan
[r1-GigabitEthernet0/0/0.2]ip add 192.168.20.1 24 //配置子接口的IP和子网掩码长度
[r1-GigabitEthernet0/0/0.2]arp broadcast enable //开启ARP广播
[r1-GigabitEthernet0/0/0.2]q //返回上一层[r1]int g0/0/1 进入接口
[r1-GigabitEthernet0/0/1]ip add 12.1.1.1 24 配置IP地址和子网掩码[r1]ip route-static 0.0.0.0 0 12.1.1.2 配置默认路由下一跳指向12.1.1.2
路由器r2配置
[r2]int g0/0/0 进入接口i
[r2-GigabitEthernet0/0/0]ip add 12.1.1.2 24 配置IP地址和子网掩码
[r2-GigabitEthernet0/0/0]int g0/0/1 进入接口
[r2-GigabitEthernet0/0/1]ip add 202.10.10.2 24 配置IP地址和子网掩码长度
[r2-GigabitEthernet0/0/1]q 返回上一层
[r2]ip route 0.0.0.0 0 12.1.1.1 配置默认路由下一跳指向12.1.1.1
客户机可以测试服务器IP
服务器设置IP和服务
此时客户机client5可以访问ftp服务器
配置r1限制客户机client5
[r1]acl 3000 创建扩展访问列表,列表号3000
[r1-acl-adv-3000]rule deny tcp source 192.168.10.10 0.0.0.0 destination 202.10.1
0.100 0.0.0.0 destination-port eq 21 禁止这个地址的客户机访问服务器
[r1-acl-adv-3000]rule permit tcp source any destination-port eq 21 放行其他客户机
[r1-acl-adv-3000]rule permit tcp source any destination any 放行其他客户机流量
[r1-acl-adv-3000]int g0/0/0.1 进入子接口
[r1-GigabitEthernet0/0/0.1]traffic-filter inbound acl 3000 选择在接口调用列表3000
验证client5上不可以登录
三、总结
访问控制列表具有许多作用,如限制网络流量、提高网络性能;通信流量的控制,例如ACL可以限定或简化路由更新信息的长度,从而限制通过路由器某一网段的通信流量;提供网络安全访问的基本手段;在路由器端口处决定哪种类型的通信流量被转发或被阻塞,例如,用户可以允许E-mail通信流量被路由,拒绝所有的 Telnet通信流量等。