【网络环境】
 
网络时代的高速发展,对网络的安全性也越来越高。西安凌云高科技有限公司因为网络建设的扩展,因此便引入了访问控制列表(ACL)来进行控制,作为网络管理员我们应该怎么来具体的实施来满足公司的需求呢?
 
【网络目的】
 
明白ACL访问控制列表的原理、以及正确的配置;
按照网络拓扑图的要求来正确的连接设备。
创建访问控制列表来满足我们所定义的需求;
 
【网络拓扑】
【实验步骤】
 
第一步:配置Router1的端口IP地址:(注意:在配置之前我们先要明白ACL访问控制列表的工作原理;ACL访问控制列表的原理是它是以包过滤技术,在路由器上读取OSI7层模型的第三层和第四层包头中的信息,根据自己预先定义好的规则,对包进行过滤,从而来达到访问控制的目的。我们在配置IP地址的时候肯定会不明白为什么所配置的IP地址不在一个网段?但是又怎么样才能让它们互相通信?根据拓扑图:我们所看到的E0/1和E0/2和E0/0它们分别互连着交换机、PC机而我们这样做的原因就是为了ACL访问控制列表对流量的归类,ACL通过在接口路由器上接口出控制数据包是转发还是丢弃,来过滤通信流量。路由器根据ACL访问控制列表中的条件来检测通过路由器的数据包是,从而来决定该数据包是转发还是丢弃!!!)
 
 
 
 
第二步:配置Router2的端口IP地址:(注意:ACL访问控制列表分为最基本的两种,它们是标准访问控制列表和扩展访问控制列表:标准访问控制列表和扩展访问控制列表有什么区别呢?标准的访问控制列表检查被路由器的源地址。结果是基于源网络/子网/主机的IP地址,来决定该数据包是转发还是拒绝该数据包;它所使用1~99之间的数字作为表号。扩展访问控制列表是对数据包的源地址和目的地址均进行检查,它也可以检查特定的协议、端口号以及其他的修改参数。它所使用的是100~199之间的数字作为表号;我们在这里只对标准访问控制列表和扩展访问控制列表进行说明;还有一些例如:基于时间的访问控制列表基于动态访问控制列表等一些新的类型、ACL的定义的是基于协议的。换句话说,如果想控制某种协议的通信数据流,就要对该接口进行单独的ACL)
 
 
 
第三步:配置Router3端口的IP地址:(注意:访问控制列表的作用很强大;访问控制列表为ACL为网络提供了一个强有力的工具,也能够为过滤通信量增加灵活性,通行量你可以理解为那些进出路由器接口的数据包;这样做的原因是有助于限定网络通信量和某些用户以及设备对网络的使用,AC访问控制列表最常见的用途是作为数据包的过滤器。如果没有ACL访问控制列表来作为过滤器,那么所有的数据包都能传输到网络的任意一处,ACL在这里是来过滤掉没有必要的信息的从而来减少通信量;ACL的有点还有就是能增加网络访问的安全性;如果没有经过同意ACL就会拒绝那些未经过同意的某一主机来访问;ACL还可以用于QOS对数据流量进行控制。它具体是怎么来理解呢?例如:ACL可以预先设置好那些是自己感兴趣的、那些是自己不感兴趣的!他可以对自己感兴趣的来设置更高的优先级而对自己不感兴趣的直接设置比较低的优先级,来直接拒绝!这样就达到了对流量的有效限制,以及减少网络的拥塞)
 
 
第四步:配置Router4端口的IP地址(注意:ACL访问控制列表还可以提供对通行量的控制手段;ACL可以通过限定路由器选择更新信息的长度,这种限定往往用来限制通过路由器的莫伊网段的通信流量、通过ACL访问控制列表,可以在路由器接口出决定那种类型的通信流量被转发,那种类型的被拒绝。我们可以允许让Telnet通过而让Ftp的不能通过,后面我们将会讲解具体来怎么配置)
 
 
第五步:在Router1上配置RIP协议,这里我们选用RIPv2来作为具体的配置;(注意:现在是不是有点不明白为什么我们在配置ACL访问控制列表而要讲解RIPv2呢?因为我们先要保证全网的互通!!!在这里我们用RIP可以或者用静态等保证全网的互通我们在这里来选用RIP来做具体的配置;)
 
 
第六步:在Router2上配置RIP协议;(注意:在配置RIP的时候我们所宣告的是它的直连网段;路由器对访问控制列表的处理过程如下:ACL访问控制列表是一组判断语句的集合,它是从入站接口进入路由器的数据包而从出站接口离开路由器的数据包;但是在这里我们还要注意:访问控制列表对路由器本身产生的数据包不起作用;就像我们为自己的电脑设置密码而密码对我们自己没有什么作用而而对其他的人就在一定的程度上起到了作用;就像我们想让那些人用我们的电脑我们就告诉他的密码,不想让那些人用我们的密码我们就不告诉我们的密码;他的具体过程就是这样的!!!
 
 
第七步:在Router3上配置RIP协议;(注意:我们怎么样来区分是不是应用了访问控制列表;路由器对数据包的处理过程是不一样的。路由器会检查接口上是不是应用了访问控制列表:检查的过程如下:如果在路由器的接口上没有配置ACL访问控制列表,就对这个数据包进行常规的处理;如果在接口上配置了ACL访问控制列表,和这个接口相关的一系列访问控制列表语句组合就会检查该接口:)
 
 
第八步:在Router4上配置RIP协议;(注意:在接口上配置了ACL访问控制列表,当检查出配置了访问控制列表的时候;和访问控制列表一切相关的都会检测它,当第一条不匹配的时候,它会一次往下判断,直到有任一条语句匹配,则不在继续匹配,当匹配成功的时候路由器将决定该数据包是允许通过还是拒绝通过;若最后没有任一条语句匹配,则路由器根据默认的处理方式将该数据包丢弃;基于ACL访问控制列表的测试条件,数据包要么被允许、要么被拒绝;如果满足了ACL访问控制列表的条件,他将被允许通过;如果没有满足ACL访问控制列表的条件那么他将被拒绝,该数据包也将会丢弃,如果数据包丢弃,某些协议将返回到一个数据包的发送端,来说明目的地址是不可达的。)
 
 
第九步:配置客户端的IP地址:(注意:我们在上面刚刚讲完路由器对访问控制列表的处理过程:也就是说如果在路由器的接口上配置了ACL访问控制列表,那么和他相关的将会检查他,直到匹配的是时候为止,如果第一条不匹配,那么他会进行下次的匹配直到配置完成,看该数据包是允许还是该数据包拒绝;如果没有在该接口上配置ACL访问控制列表那么他会正常的进行处理;)
为了更加详细的说明路由器对ACL访问控制列表的处理过程:
如图所示:
 
 
如图:根据路由器对访问控制列表的处理过程,在访问控制列表中,各描述语句的放置顺序是很重要的。如果找到匹配的条件,它就会结束比较的过程,不再检查以后的其他条件判断语句。因此,要保证是按照从具体到普遍的次序来排列条目。
要记住:只要在数据包与第一个判断条件不匹配的时候,他才会交给ACL中的下一个条件判断语句进行比较;在与某条语句匹配后,就结束匹配过程;如果不与任何一条匹配,则它必须与隐含的拒绝匹配:
 
 
 
第十步:测试在没有配置ACL访问控制列表以前全网是不是互通(注意:在配置ACL访问控制列表时候,默认的情况下它是有一条隐含的条目的:那么,什么是隐含的条件呢?最后的一个隐含的判断语句条件都不匹配的数据包。这个最后的测试条件与其他的数据包匹配,它的匹配结果是拒绝。如果要避免这种情况,那么这最后的隐含条件将必须该为允许;一般的隐含条件是不会出现在配置文件中,建议在配置文件中显式给出隐含拒绝条件的判断语句。这样也可以提高可读性!)
如下图所示:
我们在配置IP地址并在他的上面配置了RIP协议保证了全网的互通!!!
 
 
 
 
第十一步:在Router4上启动HTTP服务以及FTP服务:(注意:为了试验的考虑我们用路由器来代理服务器在他的上面启动HTTP服务、FTP服务;它们的具体配置如下图所示:)
 
 
 
第十二步:在Router1的接口上配置ACL访问控制列表;(注意:在接口的方向上只能配置一个1个Access-list。根据我们的拓扑图所示:我们在它的接口上因配置Out,入访问控制列表是不处理从该接口离开路由器的数据包;而对于出访问控制列表而言;他不处理从该接口进入路由器的数据包。)
对于入访问控制列表的处理我们用下图更加详细的来说明;
 
 
当接受到一个数据包时,路由器检查数据包的源地址(这里指的时标准的访问控制列表)是不是与访问控制列表中的条目相符;如果访问控制列表允许该地址,那么路由器将停止检查访问控制列表,继续处理该数据包;如果访问控制列表拒绝了这个地址,那么他将丢弃该数据包,并且拒绝!!!!
如图所示:
 
 
第十三步:在Router1上配置ACL访问控制列表;(注意:我们在下面所配置的是扩展的ACL访问控制列表;这里所指的Permit和Deny是说明路由器时怎么来处理的;我们在这里要知道tcp是说明他的协议类型,Eq指的是他等于一个端口号;Lt指的是小于一个端口号;Gt指的是它大于一个端口号;Neq指的是他不等于一个端口号;而这里所表示的any是指访问控制列表的通配符;any他可以代表0.0.0.0 255.255.255.255;还有通配符host,如果想与整个IP地址的所有为想匹配时:他可以用反码缩写字来代替)
下图是在路由器上为客户机1和客户机2配置的访问控制列表来允许那些是通过的、那些是拒绝的!!!
 
 
第十四步:检查他的ACL访问控制列表的配置:(注意我们在这所配置的是查看他的详细的信息;也可以用show ip interface 和show access-list show running-config来查看;查看的时候要注意他的接口是不是激活、IP地址是不是配置正确等一些详细的信息)
 
 
用show access-list是来显示所有ACL的内容,(注意:在访问控制列表中我们还要知道;ACL访问控制列表还可以命名,不管在标准的ACL中还是扩展的ACL中。我们可以用一个数字或者一个字母来表示;我们可以在下面的一些情况下使用ACL访问控制列表来命名;我们可以用一个字母或者数字来直观的表示特定的ACL;对于某一个特定的协议,在同一个路由器上,有超过99个标准ACL或者有超过100个扩展ACL需要配置;我们还要注意不能用同一个名字来命名多个ACL访问控制列表;命名IP访问可以从指定的访问列表删除单个条目。但是,条目无法有选择地插入到列表中的某个位置!)
 
 
【实验心得】
 
“阳光总在风雨后”有成功就会有失败,保持一颗“平常心”积极的心态,奋发向上的乐观精神,那么成功就会离你不远,我知道未来的路很长很长、作为我们网络工程师来说,这也是一条坎坷、充满艰难险阻的道路!!!但是,相信自己那么肯定会成功的、相信自己是我们最大的资本!!!
 
【实验总结】
 
觉得ACL访问控制列表在现实的生活中应用很广泛,做试验的时候思路一定要清晰,思路决定出路,在做实验之前一定要理清自己的思路;如果不理清自己的思路那么做试验是比较困难的!!
还有就是一定要多看书,我们做实验的目的还不是为了对知识理解的更加清楚,所以看书还是很重要的不要以为试验做成功就什么都OK了;那其实是一种错误的理解,书读百遍其义自见,会有他一定的道理的!!!