ACL访问控制列表详细解析
实验十四 ACL标准访问控制列表一、实验设备2台28系列型号路由器通过串口相连,3台PC。二、实验要求 你是一个公司的网络管理员,公司的经理部、财务部门和销售部门分属不同的3个网段,三部门之间用路由器进行信息传递,为了安全起见,公司领导要求销售部门PC2不能对财务部门PC3进行访问,但经理部PC1可以对财务部门PC3进行访问。三、实验步骤步骤1.Router1基本配
Router>enRouter#conftRouter(config)#hostname R1R1(config)#int fa0/0R1(config-if)#ip add 172.16.1.1 255.255.255.0R1(config-if)#no shutR1(config-if)#exitR1(config)#int fa0/1R1(config-if)#ip add 172.16.2.1 255.255.255.0R1(config-if)#no shutR1(config-if)#exitR1(config)#int s0/0/0R1(config-if)#clock rate 64000R1(config-if)#ip add 172.16.3.1 255.255.255.0R1(config-if)#no shutR1(config-if)#end 步骤2.Router2基本配置
Router>enRouter#conf tRouter(config)#hostname R2R2 (config)#int fa0/0R2 (config-if)#ip add 172.16.4.1 255.255.255.0R2 (config-if)#no shutR2 (config-if)#exitR2 (config)#int s0/0/0R2 (config-if)#ip address 172.16.3.2 255.255.255.0R2 (config-if)#no shut
R2 (config-if)#end 步骤3.配置静态路由R1(config)#ip route 172.16.4.0 255.255.255.0 172.16.3.2R2(config)#ip route 172.16.1.0 255.255.255.0 172.16.3.1R2(config)#ip route 172.16.2.0 255.255.255.0 172.16.3.1
步骤4.配置标准IP访问控制列表。
R2(config)#access-list 1 deny 172.16.2.0 0.0.0.255 ! 拒绝来自172.16.2.0网段的流量通过
R2(config)#access-list 1 permit 172.16.1.0 0.0.0.255 ! 允许来自172.16.1.0网段的流量通过
步骤5.把访问控制列表在接口下应用。
R2(config)# interface fastEthernet 0/0
R2(config-if)#ip access-group 1 out ! 在接口下访问控制列表出栈流量调用
【注意事项】
1、注意在访问控制列表的网络掩码是反掩码。
2、标准控制列表要应用在尽量靠近目的地址的接口。1. ping 1.1.1.1出现U.U.U是因为配IP的时候子网没写。2. 按照ACL中指令的顺序依次检查数据报是否满足某一个指令条件。当检测到某个指令条件满足的时候,就不会再检测后面的指令条件。3. 标准ACL使用表号范围1-99,只检查源地址,应放置在接近目的的位置。4. 扩展ACL使用表号范围100-199,可检查源地址和目的地址,可检查第四层的端口号,应放置在接近源的位置上。
实验十五 扩展ACL -1一、实验设备S3550交换机(1台)、PC(3台)、直连线(3条)二、实验要求 学校规定学生只能对服务器进行FTP访问,不能进行WWW访问,教工则没有此限制。
三、实验步骤步骤1.基本配置。
3550-24(config)#vlan 10
3550-24(config-vlan)#name server
3550-24(config)#vlan 20
3550-24(config-vlan)#name teachers
3550-24(config)#vlan 30
3550-24(config-vlan)#name students
3550-24(config)#interface f0/5
3550-24(config-if)#switchport mode access
3550-24(config-if)#switchport access vlan 10
3550-24(config)#interface f0/10
3550-24(config-if)#switchport mode access
3550-24(config-if)#switchport access vlan 20
3550-24(config)#interface f0/15
3550-24(config-if)#switchport mode access
3550-24(config-if)#switchport access vlan 30
3550-24(config)#int vlan10
3550-24(config-if)#ip add 192.168.10.1 255.255.255.0
3550-24(config-if)#no shutdown
3550-24(config-if)#int vlan 20
3550-24(config-if)#ip add 192.168.20.1 255.255.255.0
3550-24(config-if)#no shutdown
3550-24(config-if)#int vlan 30
3550-24(config-if)#ip add 192.168.30.1 255.255.255.0
3550-24(config-if)#no shutdown
步骤2.配置命名扩展IP访问控制列表。
3550-24(config)#ip access-list extended denystudentwww
3550-24(config-ext-nacl)# deny tcp 192.168.30.00.0.0.255192.168.10.0 0.0.0.255 eq www ! 禁止WWW服务
3550-24(config-ext-nacl)# permit ip anyany !允许其他服务
步骤3.把访问控制列表在接口下应用。
3550-24(config)#int vlan 30
3550-24(config-if)#ip access-group denystudentwww in
步骤4. 验证测试,需要创建复杂PDU测试。
实验十六 扩展ACL -2一、实验设备S3550交换机(1台)、PC(4台)、直连线(4条),交叉线(2条)二、实验要求PC1、PC2、PC3分别在vlan10、vlan20、vlan30中。配置OSPF协议使全网互通,但是不允许PC2远程登陆到Router1上。
三、实验步骤Router1(config)#int f0/0Router1(config-if)#ip add 192.168.10.161255.255.255.0Router1(config-if)#no shutdownRouter1(config)#int f0/1Router1(config-if)#ip add 192.168.9.130255.255.255.0Router1(config-if)#no shutdownRouter1(config)#router ospf 10Router1(config-router)#net 192.168.10.0255.255.255.0 a 0Router1(config-router)#net 192.168.9.0255.255.255.0 a 0Router1(config)#access-list 100 deny tcphost 192.168.12.65 host 192.168.9.130 eq telnetRouter1(config)#access-list 100 permit ipany any Router1(config)#int f0/1Router1(config-if)#ip access-group 100 in Switch1(config)#int f0/1Switch1(config-if)#no switchportSwitch1(config-if)#ip add 192.168.9.129255.255.255.0Switch1(config-if)#no shutdownSwitch1(config)#vlan 10Switch1(config-vlan)#vlan 20Switch1(config-vlan)#vlan 30Switch1(config-vlan)#exiSwitch1(config)#int vlan 10Switch1(config-if)#ip add 192.168.11.34255.255.255.0Switch1(config)#int vlan 20Switch1(config-if)#ip add 192.168.12.66255.255.255.0Switch1(config)#int vlan 30Switch1(config-if)#ip add 192.168.13.98255.255.255.0Switch1(config)#int f0/2Switch1(config-if)#sw mo trSwitch1(config-router)#net 192.168.11.0255.255.255.0 a 0Switch1(config-router)#net 192.168.12.0255.255.255.0 a 0Switch1(config-router)#net 192.168.13.0255.255.255.0 a 0Switch1(config-router)#net 192.168.9.0255.255.255.0 a 0 Switch2(config)#vlan 10Switch2(config-vlan)#vlan 20Switch2(config-vlan)#vlan 30Switch2(config)#int f0/1Switch2(config-if)#sw access vlan 10Switch2(config)#int f0/3Switch2(config-if)#sw access vlan 20Switch2(config)#int f0/4Switch2(config-if)#sw access vlan 30注意事项:配置PC之间ping通用OSPF没有任何问题,扩展ACL如下:
Router(config)#access-list 100 permit tcp host 192.168.10.33 host192.168.10.130 eq telnet
Router(config)#access-list 100 permit tcp host 192.168.10.97 host192.168.10.130 eq telnet
Router(config)#access-list 100 permit icmp any any
然后把ACL100用在10.130口上做入口,此时发现PC1、2、3全不能ping通pc4 ,并且telnet到路由器也全不行,把扩展ACL做在三层交换机上 做出口设置,就没问题了,为啥用在路由器上就不行?ACL 100放置在10.130的入口方向上,把三层交换机发来的OSPF的路由更新报文和Hello报文也阻断了,等于内网和路由器的路由连接没有了,当然会ping不通。而ACL 100应用在三层交换机的出口上没有问题,则是因为ACL不会作用于路由器自身所产生的数据包,所以这时三层交换机还是可以发出OSPF的报文,而且由于入口没有限制,所以也能收到路由器发出的OSPF报文,路由不会受到影响,自然能ping通。要解决这个问题,你需要在扩展ACL里面添加permit到组播地址224.0.0.5和224.0.0.6的报文,这样才能不会影响OSPF路由协议的正常工作。
实验十七 专家级访问控制列表一、实验设备(PT中不支持专家级ACL以及基于时间的ACL)S3560交换机(1台)、PC(3台)、2811路由器1台二、实验要求 禁止IP地址及MAC地址为172.16.1.1和00e0.9823.9526的主机访问主机160.16.1.1。
步骤1.Router1基本配置:Router1>enRouter1#conf tRouter1(config)#int fa0/0Router1(config-if)#ip add 172.16.1.2255.255.255.0Router1(config-if)#no shutRouter1(config-if)#int fa0/1Router1(config-if)#ip add 192.168.2.2255.255.255.0Router1(config-if)#no shutRouter1(config-if)#exit 步骤2.Switch1基本配置:Switch1>enSwitch1#confSwitch1(config)#expert caccess-listextended test1 !定义专家级访问列表e1Switch1(config-ext-nacl)#deny ip host172.16.1.1 host 00e0.9823.9526 host 160.16.1.1 any !禁止IP地址及MAC地址为172.16.1.1和00e0.9823.9526的主机访问主机160.16.1.1 Switch1(config-ext-nacl)#permit any any anyany !验证测试:验证访问列表配置Switch1#show access-list test1 !显示专家级访问列表test1Switch1(config)#int fa0/1Switch1(config)#expert access-group test1in !在接口上应用专家级访问列表test1
页:
[1]