学网络,就在IE-LAB
国内高端网络工程师培养基地
基于ACL过滤telnet和特定的网段信息
什么是访问控制列表(ACL)?
应用于路由器接口的指令列表,用于指定哪些数据包可以接收转发,哪些数据包需要拒绝
ACL的工作原理:
1.读取第三层及第四层包头中的信息
2.根据预先定义好的规则(Deny or Permit)对包进行过滤
基本类型的访问控制列表,本文主讲扩展的访问控制列表:
1.标准访问控制列表
2.扩展访问控制列表
3.命名的访问控制列表
我们以下面的例子作为实验进行讲解:
描述要求:
1. 使用OSPF协议使得全网互通,需要测试
2. 使用访问控制列表,使主机PC1不可以访问主机PC3,但可以访问其他设备
3. 使用访问控制列表,PC2不可以远程登录Server,其他设备可以远程登录Server
拓扑:
配置命令:
1. 配置PC机IP地址和网关地址:
2. 如果使用路由器代替PC需要手工配置网关地址
PC1:
PC1(config)#interface Ethernet0/0
PC1(config-if)#ip address 192.168.1.1255.255.255.0
PC1(config)#ip default-gateway 192.168.1.254
PC2:
PC2(config)#interface Ethernet0/0
PC2(config-if)#ip address 192.168.2.1255.255.255.0
PC2(config)#ip default-gateway 192.168.2.254
PC3:
PC3(config)#interface Ethernet0/0
PC3(config-if)#ip address 192.168.3.1255.255.255.0
PC3(config)#ip default-gateway 192.168.3.254
PC4:
PC4(config)#interface Ethernet0/0
PC4(config-if)#ip address 192.168.3.2255.255.255.0
PC4(config)#ip default-gateway 192.168.3.254
3. 配置路由器R1、R2接口IP地址,根据需求使用OSPF路由协议使得全网互通
R1(config)#interface Ethernet0/0
R1(config-if)#ip address 192.168.1.254255.255.255.0
R1(config)#interface Ethernet0/1
R1(config-if)#ip address 192.168.2.254255.255.255.0
R1(config)#interface Ethernet0/2
R1(config-if)#ip address 12.12.12.1255.255.255.252
R1(config)#router ospf 1
R1(config-router)#router-id 1.1.1.1
R1(config-router)#network 12.12.12.0 0.0.0.3area 0
R1(config-router)#network 192.168.1.0 0.0.0.255area 0
R1(config-router)#network 192.168.2.0 0.0.0.255area 0
R2(config)#interface Ethernet0/0
R2(config-if)#ip address 12.12.12.2255.255.255.252
R2(config)#interface Ethernet0/1
R2(config-if)#ip address 192.168.3.254255.255.255.0
R2(config)#router ospf 1
R2(config-router)#router-id 2.2.2.2
R2(config-router)#network 12.12.12.0 0.0.0.3area 0
R2(config-router)#network 192.168.3.0 0.0.0.255area 0
4. 进行测试,是否是全网互通,必须检查,否则不知道ACL配置完成后是否有效果
PC1 ping PC2、PC3、PC4:
PC1#ping 192.168.2.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.2.1,timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-tripmin/avg/max = 5/5/6 ms
PC1#ping 192.168.3.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.3.1,timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-tripmin/avg/max = 1/1/1 ms
PC1#ping 192.168.3.2
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.3.2,timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-tripmin/avg/max = 1/1/1 ms
5. 使用访问控制列表进行过滤,使得主机PC1不可以访问主机PC3,但可以访问其他设备
因为标准的访问控制列表是根据源地址进行过滤的,没有办法做到精确匹配,所以我们选择使用扩展的访问控制列表,扩展的访问控制列表是根据五元素组(源IP,目的IP,传输层协议,源端口和目的端口)每个条件都必须匹配,才会施加允许或拒绝条件,使用扩展ACL可以实现更加精确的流量控制,访问控制列表号从100到199
所以我们选择在R1进行配置,因为可以精确过滤,所以可以在出方向的接口(距离源地址最近的进出接口进行过滤),我们在R1进接口E0/0接口调用,
配置命令如下:
R1:(注意:一定要在接口调用,否则不会生效)
R1(config)#access-list 100 deny ip host192.168.1.1 host 192.168.3.1
R1(config)#access-list 100 permit ip any any———默认拒绝一切,所以需要放行其他网段
R1(config)#interface e0/0
R1(config-if)#ip access-group 100 in
检查:
PC1#ping 192.168.3.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.3.1, timeout is 2 seconds:
UUUUU
Success rate is 0 percent (0/5)
PC1#ping 192.168.2.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.2.1,timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-tripmin/avg/max = 2/4/6 ms
PC1#ping 192.168.3.2
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.3.2,timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-tripmin/avg/max = 1/1/1 ms
6. 在Server配置远程登录(我的是路由器模拟的)
在配置前需要在R2配置网关地址,并将这个接口宣告进OSPF中,保证可以ping通。
R2:
R2(config)#interface Serial2/0
R2(config-if)#ip address 10.1.1.254255.255.255.0
R2(config-if)#ip ospf 1 area 0
Server:(设置登录密码和enable密码)
Server(config)#line vty 0 4
Server(config-line)#password CCIE
Server(config-line)#login
Server(config-line)#transport input telnet
Server(config)#enable password CCIE
检查:
7.配置访问控制列表,拒绝主机PC2远程登录到Server,同样在R1的进接口E0/1调用:
R1:
R1(config)#access-list101 deny tcp host 192.168.2.1 host 10.1.1.1 eq telnet(或写端口号23)
R1(config)#access-list 101 permit tcp any any
R1(config)#interface Ethernet0/1
R1(config-if)#ip address 192.168.2.254 255.255.255.0
R1(config-if)#ip access-group 101 in
检查:
总结:
正常情况下,我们还可以禁止其他协议的流量,比如ICMP报文有:
⑴echo-request:为ping使用的环路测试请求;
⑵echo-reply:为ping使用的环路测试回应;
⑶packet-too-big:某些程序用来侦测目标地址路径上的MTU;
⑷time to live(TTL) ttl-exceeded :tracerouter 测试网络报文生存周期;
⑸destinationhost unreachable:通知会话目标不可达
这些我们都可以通过扩展的访问控制列表进行过滤,注意写的时候不要把端口号写错了,当然也可以直接写这个单词,以上就是关于使用扩展的ACL去过滤某一个特定的网段和过滤一些特定的协议流量(本文案例是Telnet)。
往期【网工知识角】技术回顾:
关于路由答疑10问总结2,三分钟自测时间到!网工知识角免费学技术
【纯干货】IELAB路由技术问题总结1,就在网工知识角
网工知识角|存储区域网络详细介绍,带你全面了解SAN
网工知识角|一分钟轻松了解华为端口安全机制
网工知识角轻松学网络|三分钟了解PPPOE协议
技术打卡不停歇,网工知识角|NSX网络虚拟化
网工知识角|了解安全保护新机制 AppDefense
网工知识角|云访问安全代理是否支持IPv6?
网工知识角|第一节,教你了解云计算的几种服务
网工知识角|了解端口映射和端口转发的区别
网工知识角|MUXVLAN技术详解,基本原理一篇搞定
关于ESXi的基本介绍及其五大优点,网工知识角
网工知识角|网络内部漏洞如何解决?有802.1X协议不用怕
网络端口镜像技术三分钟详细总结一篇搞定,就在网工知识角
网工知识角|温故知新之关于语音你不得不知的PSTN协议详解
网工知识角|关于会话初始协议 SIP超详细介绍,建议收藏
网工知识角|一分钟记熟NFV网络功能虚拟化技术介绍
网工知识角|IPSec协议是如何确保网络安全的?
网工知识角|华为认证配置指南之SSL协议知多少
网工知识角|快速掌握华为认证交换机配置之端口安全机制
网工知识角|掌握这四种方式完成垃圾邮件过滤,守护网络安全
IPSec协议超详细解读网络安全协议的重要性就在网工知识角
光纤通信技术知多少?WDM技术原理概述就在网工知识角
网工知识角|你不得不了解的VRRP负载均衡技术详解
乘SDN的热潮,NETCONF协议“重出江湖”,五大优点总结就在网工知识角
网工请戳!交换机配置指南半分钟即可掌握关于SSL配置的内容
热门无线技术中这个知识点你知多少?WLAN WDS技术详解一篇搞定
MSDP协议的三个优点你知多少,就在网工知识角
VLAN攻击如何有效防范?搞定虚拟局域网就在网工知识角
一分钟掌握NFV基本概念,就在网工知识角
三分钟掌握热点路由技术之DLSW,技术详解就在网工知识角
避免引起网络安全问题,6步完成华为设备风暴控制的配置,网工知识角
关于OSPF协议重点学习笔记之OSPFv3和OSPFv2的区别
思科路由协议IGRP和EIGRP超详细总结,了解它们之间的关联和区别
网工知识角|NAT64基本原理概述,它的局限性又有哪些?
快速掌握网络通讯流量资源浪费的环路解决方法,网工知识角
新网工技术一分钟解读Openflow工作原理,网工知识角
网工知识角|用于管理和控制IPv6组播组的MLDsnooping技术详解
网工知识角|快速理解FTP和TFTP的区别,实用收藏
新网工都要了解的无线技术,你却连Mesh网络是什么都不知道?
网工知识角|零基础入门学网络,三分钟掌握DTP协议的五种接口模式
网工知识角|思科全新EI及无线方向你必须要去了解的WLAN漫游技术
网工知识角|基础入门务必掌握这两个常用协议,快速攻克面试难关
网工知识角|技术大牛自检时间到,关于MLD技术你知多少?
网工知识角|不可忽略的三个关键点,确保端口安全配置无误
网工知识角|一分钟搞定802.1x认证配置,了解三种授权模式的区别
快速完成华为IPSG配置一分钟看完即会,网工知识角每天进步一点点
网工知识角|一分钟轻松掌握Mac地址漂移使用的场景
网络工程师技术难点分析MTU和PMTU是什么?就在网工知识角
华为网络初级工程师快速掌握基于MAC地址的VLAN划分实用收藏
网工知识角|华为网络技术面试题详解QOS流量整形令牌桶机制和规则
这样总结隧道Tunnel技术工作原理更容易记住 网络工程师还不收藏?
你知道NAC网络准入控制的5大功能5种类型和3重优点吗?
网工知识角|什么是虚拟化?史上最全云计算基础虚拟化技术各种概念高薪面试必备
网工知识角|网络工程师快收下这份华为MUXVLAN的原理和配置,华为HCIP数通网络实用技术
网工知识角|华为HCIE数通认证基础必学之GVRP协议是什么
网工知识角|CCIE网络工程师安全基础之AAA认证的三个基本组件
网工知识角|EI CCIE企业网软定义中的VxLAN分布式网关两种部署方式
网工知识角|关于OSPF V3你了解吗?不懂没关系,收下这份配置
纯干货网工知识角|入门IT网络工程师收下这份关于NTP网络时间协议解读
学思科和华为都需要掌握之网络安全技术防火墙的4种分类,网工知识角
网工知识角|信息安全入门反病毒技术全面解说5种传播途径
网工知识角|没人会告诉你的网络SDN软定义技术中VXLAN的4个特点
网工知识角|你不可不知的WLAN的安全技术体系
网工知识角|什么是思科软件定义接入(SD-Access)? 新一代网工必学的自动化技术
网工知识角|什么是华为CSS 集群?简单易懂,面试收藏
网工知识角|三分钟了解QOS的处理流程和分类
网工知识角|Qos的基本原理
网工知识角|LACP技术详解
网工知识角|802.1X协议介绍
网工知识角|OpenFlow协议简介
网工知识角|MSTP协议详解
网工知识角|快速了解IGMP协议
网工知识角|快速了解和掌握HSRP协议简介和配置
网工知识角|1分钟了解GRE协议浅析
网工知识角|DHCP服务详解和基于eNSP DHCP配置
网工知识角|P2P协议简介
网工知识角|OSPFv3技术概述
网工知识角|防火墙双机热备三大协议(VRRP-VGMP-HRP)简述
网工知识角|一分钟了解交换机的堆叠技术
网工知识角|简单了解Cisco PVST协议
网工知识角|MPLS LDP简介
网工知识角|GLBP网关负载均衡协议原理
网工知识角|Cisco VTP解析
网工知识角|DLDP技术简述
网工技术分享|Cisco策略路由PBR详解
网工技术分享|Cisco CEF浅析
扫码咨询报名
IE-LAB有优质雄厚师资力量支撑,全面的学习平台和完善的教学服务,我们培养了一批又一批的HCIE/CCIE学员,加入我们,成就未来。
分享给更多网工同伴一起进步
关注本订阅号,点个“赞“”在看”
221
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
