实验目的与要求
1、理解ACL访问控制列表数据报文过滤的原理
2、掌握ACL访问控制列表策略设计的思路
3、掌握标准访问列表和扩展访问列表的区别及应用范围
4、掌握ACL实施的方法及检测
实验原理与内容
1、ACL 访问控制列表 access-list
ACL 定义了一组规则,用于对进入入站接口的数据包、通过路由器中继的数据包,以及从路由器出站接口输出的数据包施加额外的控制。
数据包过滤有时也称为静态数据包过滤,通过分析传入和传出的数据包并根据给定的条件传递或丢弃数据包,从而控制网络访问,例如源 IP 地址、目的 IP 地址和数据包内传输的协议等。
当路由器根据过滤规则转发或拒绝数据包时,它便充当了一种数据包过滤器。
ACL 是一系列 permit 或 deny 语句组成的顺序列表,称为访问控制条目 (ACE)。
ACL 的最后一条语句都是隐式拒绝语句。
2、标准 ACL 与 扩展ACL
标准ACL仅根据源地址过滤IP数据包
扩展ACL可根据多种属性过滤IP数据包
源地址与目的地址
源及目的的TCP与UDP端口,各种应用服务的TCP/UDP端口见策略举例附表
协议类型(如 IP、TCP、UDP、ICMP、HTTP、FTP等)
3、ACL实施原则及常用策略举例
对于HTTP、DNS、Telnet、SSH等服务应该明了其TCP、UDP的端口;
标准ACL靠近目的地址,扩展ACL尽量靠近源地址;
对于实施路由器或者防火墙,在某个接口实施,数据包对于该接口是迎面而来用in,离我而去用out;
对于一个网络要用网络号加通配符掩码,对于一台主机用host加ip地址.
1、R2路由器对于Finance与Product网络的路由总结
2、使用Extended ACL进行HTTP协议的访问控制
3、使用Extended ACL进行FTP协议的访问控制
4、Extended ACL对于ICMP中Echo 与 Echo-reply 控制
5、Extended ACL对于其他协议类型的控制
实验设备与软件环境
Finance网络172.26.8.0/22,Product网络172.26.12.0/22,Management网络为172.16.0.8/29,现使用2台2621XM路由器和3台2960交换机,使用直连路由与静态路由连接这三个网络,并使用ACL做访问策略:
拓扑图
实验过程与结果
路由器基础配置
R1
Router>enable
Router#configure terminal
Router(config)#hostname R1
R1(config)#interface Serial0/0
R1(config-if)#ip address 10.10.10.1 255.255.255.252
R1(config-if)#no shutdown
R1(config-if)#exit
R1(config)#interface FastEthernet0/0
R1(config-if)#ip address 172.26.8.1 255.255.252.0
R1(config-if)#no shutdown
R1(config-if)#exit
R1(config)#interface FastEthernet0/1
R1(config-if)#ip address 172.26.12.1 255.255.252.0
R1(config-if)#no shutdown
R1(config-if)#exit
R2
Router>enable
Router#configure terminal
Router(config)#hostname R2
R2(config)#interface Serial0/0
R2(config-if)#ip address 10.10.10.2 255.255.255.252
R2(config-if)#no shutdown
R2(config-if)#exit
R2(config)#interface FastEthernet0/0
R2(config-if)#ip address 172.16.0.9 255.255.255.248
R2(config-if)#no shutdown
R2(config-if)#exit
路由汇总
R1(config)#ip route 172.26.8.0 255.255.248.0 s0/0
R1(config)#ip route 172.16.0.8 255.255.255.248 s0/0
R2(config)#ip route 172.26.8.0 255.255.248.0 s0/0
HTTP协议的控制
R1(config)#access-list 100 permit tcp host 172.26.12.12 host 172.16.0.10 eq 80
FTP协议控制
FTP 登录为21端口因此开启21
R1(config)#access-list 100 permit tcp 172.26.8.0 0.0.3.255 host 172.16.0.11 eq 21
FTP浏览和传输,数据端口是20端口
R1(config)#access-list 100 permit tcp 172.26.8.0 0.0.3.255 host 172.16.0.11 eq 20
ICMP中的Echo和Echo-reply
R1(config)#access-list 100 permit icmp host 172.26.12.15 any echo
R1(config)#access-list 100 permit icmp host 172.26.8.100 any echo-reply
把配置的策略应用在对应端口上
R1(config)#interface FastEthernet0/1
R1(config-if)#ip access-group 100 in
R1(config-if)#exit
随工验收
HTTP协议的控制
FTP协议控制
ICMP中的Echo和Echo-reply
NB ping FTP服务器
FTP服务器ping NB:(不通)
FTP服务器ping PC0(通)