先决条件–ACL (Access-lists),标准访问列表
访问列表(ACL)是为控制网络流量和减少网络攻击而定义的一组规则。 ACL用于根据为网络的传入或传出定义的一组规则过滤流量。
扩展访问列表–
它是最常用的访问列表类型之一, 因为它可以区分IP流量, 因此不会像标准访问列表中那样允许或拒绝整个流量。这些是使用源IP地址和目标IP地址以及端口号来区分IP流量的ACL。在这些类型的ACL中, 我们还可以提及应该允许或拒绝哪个IP流量。这些使用范围为100-199和2000-2699。
特征 -
- 扩展访问列表通常应用于源附近, 但并不总是如此。
- 在扩展访问列表中, 数据包过滤是基于源IP地址, 目标IP地址, 端口号进行的。
- 在扩展访问列表中, 将允许或拒绝特定服务。
- 扩展ACL从100 – 199和扩展范围2000 – 2699创建。
- 如果使用带有扩展访问列表的编号, 则记住规则不能删除。如果其中一项规则被删除, 则整个访问列表将被删除。
- 如果使用扩展的访问列表命名, 则我们可以灵活地从访问列表中删除规则。
配置–
这是一个小型拓扑, 其中有3个部门, 分别是销售, 财务和营销。具有网络172.16.10.40/24的销售部门, 具有网络172.16.50.0/24的财务部门和具有网络172.16.60.0/24的营销部门。现在, 我们要拒绝从销售部门到财务部门的FTP连接, 并拒绝从销售和市场部门到telnet的telnet。
现在, 首先配置编号的扩展访问–用于拒绝从销售到财务部门的FTP连接的列表。
R1# config terminal
R1(config)# access-list 110
deny tcp 172.16.40.0 0.0.0.255 172.16.50.0 0.0.0.255 eq 21
在这里, 我们首先创建一个编号访问列表, 在其中使用110(用于扩展访问列表范围)并拒绝销售网络(172.16.40.0)建立与财务网络的FTP连接(172.16.50.0)。
注意 -在此, 由于FTP使用TCP和端口号21。因此, 我们必须根据需要指定允许或拒绝条件。同样, 在eq之后, 我们将端口号用于指定的应用程序层协议。
现在, 我们必须拒绝销售部门和市场部门之间的telnet连接, 这意味着没有人可以通过telnet与财务部门建立连接。配置相同。
R1(config)# access-list 110
deny tcp any 172.16.50.0 0.0.0.255 eq 23
在这里, 我们使用关键字any表示0.0.0.0 0.0.0.0, 即来自任何子网掩码的任何IP地址。由于telnet使用端口号23, 因此我们必须在eq之后指定端口号23。
R1(config)# access-list 110 permit ip any any
现在, 这是最重要的部分。我们已经知道, 每个访问列表的末尾都有一个隐式拒绝, 这意味着如果流量与访问列表的任何规则都不匹配, 则流量将被丢弃。
通过指定任何任何意味着具有任何ip地址流量的源将到达财务部门, 但符合我们已制定的上述规则的流量除外。现在, 我们必须在路由器的接口上应用访问列表:
R1(config)# int fa0/1
R1(config-if)# ip access-group 110 out
我们记得, 我们必须将扩展访问列表应用到尽可能靠近源的位置, 但是这里我们将其应用到靠近目的地的位置, 因为我们必须阻止来自销售和市场部门的访问量, 因此, 我们必须应用它靠近目的地, 否则我们必须为fa0 / 0和fa1 / 0入站创建单独的访问列表。
命名访问列表示例–
现在, 考虑相同的拓扑, 我们将创建一个命名的扩展访问列表。
R1(config)# ip access-list extended blockacl
通过使用此命令, 我们创建了一个名为blockacl的访问列表。
R1(config-ext-nacl)# deny tcp 172.16.40.0 0.0.0.255 172.16.50.0 0.0.0.255 eq 21
R1(config-ext-nacl)# deny tcp any 172.16.50.0 0.0.0.255 eq 23
R1(config-ext-nacl)# permit ip any any
然后, 我们在编号访问列表中进行了相同的配置。
R1(config)# int fa0/1
R1(config-if)# ip access-group blockacl out
更多计算机网络相关内容请参考:lsbin - IT开发技术:https://www.lsbin.com/
参考更多网络技术相关内容: