2023计算机网络技术一班唐永原
ACL是关于网络安全的配置。
随着大规模开放式网络的开发,网络面临的威胁也就越来越多。网络安全问题成为网络管理员必须面对的问题。
一方面,为了业务的发展,必须允许对网络资源的开放访问权限;
另一方面,又必须确保数据和资源的尽可能安全。网络安全采用的技术很多,而通过ACL可以对数据流进行过滤,是实现基本的网络安全手段之一。
本章只讨论基于IPv4和IPv6的ACL功能、工作原理、使用原则、标准ACL和扩展ACL 以及IPv4 ACL和 IPv6 ACL的配置。
访问控制列表(Access Control List,ACL)是控制网络访问的一种有利的工具。
所谓ACL就是一种路由器配置脚本,它根据从数据包包头中发现的信息(源地址、目的地址、源端口、目的端口和协议等)来控制路由器应该允许还是拒绝数据包通过,从而达到访问控制的目的。
ACL是Cisco IOS 软件中最常用的功能之一,其应用非常广泛,可以实现如下典型的功能:
①限制网络流量以提高网络性能。
②提供基本的网络访问安全。
③控制路由更新的内容。
④在QoS实施中对数据包进行分类。
⑤定义IPSec VPN的感兴趣流量。
⑥定义策略路由的匹配策略。
ACL实验
实验使用EVE-NG模拟器
1. 某车企内网使用的ACL
2布置拓扑图以及配置脚本
脚本如下
S1
enable
configure terminal
no ip domain-lookup
no logging on
hostname S1
vlan 105
name SheJiZhongXin
vlan 107
name GongChengZhongXin
vlan 109
name CheShiZhongXin
vlan 111
name YanJiuYuan
exit
interface vlan 105
description SheJiZhongXin
ip address 172.16.105.1 255.255.255.0
no shutdown
exit
interface vlan 107
description GongChengZhongXin
ip address 172.16.107.1 255.255.255.0
no shutdown
exit
interface vlan 109
description CheShiZhongXin
ip address 172.16.109.1 255.255.255.0
no shutdown
exit
interface vlan 111
description YanJiuYuan
ip address 172.16.111.1 255.255.255.0
no shutdown
exit
interface gigabitethernet 0/0
description SheJiZhongXin
switchport mode access
switchport access vlan 105
exit
interface gigabitethernet 0/1
description GongChengZhongXin
switchport mode access
switchport access vlan 107
exit
interface gigabitethernet 0/2
description CheShiZhongXin
switchport mode access
switchport access vlan 109
exit
interface gigabitethernet 1/1
description YanJiuYuan
switchport mode access
switchport access vlan 111
exit
end
write
copy running-config startup-config
VPC1
ip 172.16.105.111/24 172.16.105.1
set pcname SJZX-1
save
VPC2
ip 172.16.107.111/24 172.16.107.1
set pcname GCZX-1
save
VPC3
ip 172.16.109.111/24 172.16.109.1
set pcname CSZX-1
save
VPC4
ip 172.16.111.111/24 172.16.111.1
set pcname YJYFTP
save
3 验证
VPC1 ping 通 VPC2
VPC1 ping 通 VPC3
VPC1 ping 通 FTP-Server
VPC2 ping通 VPC3
VPC2 ping通 FTP-Server
VPC3 ping通 FTP-Server
4. 使用ACL进行内网安全控制配
允许设计中心设备访问汽车工程研究院FTP服务器
禁止其它设备访问汽车工程研究院FTP服务器
配置脚本如下
S1
enable
configure terminal
no ip domain-lookup
no logging on
hostname S1
vlan 105
name SheJiZhongXin
vlan 107
name GongChengZhongXin
vlan 109
name CheShiZhongXin
vlan 111
name YanJiuYuan
exit
interface vlan 105
description SheJiZhongXin
ip address 172.16.105.1 255.255.255.0
no shutdown
exit
interface vlan 107
description GongChengZhongXin
ip address 172.16.107.1 255.255.255.0
no shutdown
exit
interface vlan 109
description CheShiZhongXin
ip address 172.16.109.1 255.255.255.0
no shutdown
exit
interface vlan 111
description YanJiuYuan
ip address 172.16.111.1 255.255.255.0
no shutdown
exit
interface gigabitethernet 0/0
description SheJiZhongXin
switchport mode access
switchport access vlan 105
exit
interface gigabitethernet 0/1
description GongChengZhongXin
switchport mode access
switchport access vlan 107
exit
interface gigabitethernet 0/2
description CheShiZhongXin
switchport mode access
switchport access vlan 109
exit
interface gigabitethernet 1/1
description YanJiuYuan
switchport mode access
switchport access vlan 111
exit
access-list 110 remark JinZhi GCZX FangWen YJYFTP
access-list 110 deny ip 172.16.107.0 0.0.0.255 172.16.111.0 0.0.0.255
access-list 110 permit ip any any
access-list 120 remark JinZhi CEZX FangWen YJYFTP
access-list 120 deny ip 172.16.109.0 0.0.0.255 172.16.111.0 0.0.0.255
access-list 120 permit ip any any
interface gigabitethernet 0/1
ip access-group 110 in
interface gigabitethernet 0/2
ip access-group 120 in
exit
end
write
copy running-config startup-config
VPC1
ip 172.16.105.111/24 172.16.105.1
set pcname SJZX-1
save
VPC2
ip 172.16.107.111/24 172.16.107.1
set pcname GCZX-1
save
VPC3
ip 172.16.109.111/24 172.16.109.1
set pcname CSZX-1
save
VPC4
ip 172.16.111.111/24 172.16.111.1
set pcname YJYFTP
save
配置过程
7验证实验是否成功
VPC1 ping 通 VPC2
VPC1 ping 通 VPC3
VPC1 ping 通 FTP-Server
VPC2 ping通 VPC3
VPC2 ping不通 FTP-Server
VPC3 ping不通 FTP-Server