访问控制列表--扩展ACL、命名的ACL

2.1 实验目的

1)理解扩展ACL和标准ACL的区别

2掌握扩展ACL的配置和应用

3)熟悉扩展ACL的调试

2.2 实验原理

1.扩展ACL配置命令

为了更加精确地控制流量过滤,我们可以使用编号在 100 199 之间以及 2000 2699 之间的扩展 ACL(最多可使用 800 个扩展 ACL)。扩展 ACL 比标准 ACL 更常用,因为其控制范围更广,可以提升安全性。与标准 ACL 类似,扩展 ACL 可以检查数据包源地址,但除此之外,它们还可以检查目的地址、协议和端口号(或服务)。如此一来,我们便可基于更多的因素来构建 ACL。例如,扩展 ACL 可以允许从某网络到指定目的地的电子邮件流量,同时拒绝文件传输和网页浏览流量。

由于扩展 ACL 具备根据协议和端口号进行过滤的功能,因此我们可以构建针对性极强的 ACL。利用适当的端口号,我们可以通过配置端口号或公认端口名称来指定应用程序。

本实验案例要求配置OSPF动态路由协议使得网络联通,同时定义扩展ACL实现如下访问控制:

该网段只允许IP地址为172.16.1.0/28范围的主机访问server192.168.1.254)的WEB服务;

该网段只允许IP地址为172.16.1.0/28范围的主机访问server192.168.1.254)的FTP服务;

拒绝PC2所在网段访问服务器器servertelnet服务;

拒绝PC2所在网段ping server192.168.1.254);

要配置扩展ACL,在全局配置模式中执行以下命令:

    Router(config)#access-list access-list-number {remark | permit | deny} protocol source [source-wildcard] [operator port]  destination  [destination-wildcard] [operator port] [established] [log]

参数说明:

参数

参数含义

access-list-number

扩展ACL号码,范围从100-199,20002699

remark

添加备注,增强ACL的易读性

permit

条件匹配时允许访问

deny

条件匹配时拒绝访问

protocol

指定协议类型,egIP,TCP,UDP,ICMP

source 和destination

分别识别源地址和目的地址

source-wildcard

通配符掩码,和源地址对应

destination-wildcard

通配符掩码,和目的地址对应

operator

lt,gt,eg,neg (小于,大于,等于,不等于)

port

端口号

established

只用于TCP协议,只是已建立的连接

log

对符合条件的数据包生成日志消息,该消息将发送到控制台。

2.扩展ACL的配置实例

                                 访问控制列表--扩展ACL、命名的ACL_第1张图片

5 扩展ACL

IP地址表:

设备

接口

IP地址

子网掩码

R1

S 0/0/0

192.168.2.1

255.255.255.252

Fa 0/0

172.16.1.1

255.255.255.0

Fa 0/1

172.16.2.1

255.255.255.0

R2

S 0/0/0

192.168.2.2

255.255.255.252

Fa 0/0

192.168.1.1

255.255.255.0

Server

NIC

192.168.1.254

255.255.255.0

PC1

NIC

172.16.1.10

255.255.255.0

PC2

NIC

172.16.2.20

255.255.255.0

3 IP地址表

(1)步骤1:配置路由器R1
R1(config)#inter fa 0/0
R1(config-if)#ip add 172.16.1.1 255.255.255.0
R1(config-if)#no shut
R1(config)#inter fa 0/1
R1(config-if)#ip add 172.16.2.1 255.255.255.0
R1(config-if)#no shut
R1(config-if)#exit
R1(config)#router ospf 1
R1(config-router)#net 192.168.2.0 0.0.0.3 area 0
R1(config-router)#net 172.16.1.0 0.0.0.255 area 0
R1(config-router)#net 172.16.2.0 0.0.0.255 area 0
R1(config-router)#exit
R1(config)#access-list 101 remark This is an example for extended ACL  //为ACL101添加标注
R1(config)#access-list 101 permit tcp 172.16.1.0 0.0.0.15 host 192.168.1.254 eq 80 log
//允许IP地址为172.16.1.10的主机访问server(192.168.1.254)的WEB服务
R1(config)#access-list 101 permit tcp 172.16.1.0 0.0.0.15 host 192.168.1.254 eq 20 log
R1(config)#access-list 101 permit tcp 172.16.1.0 0.0.0.15 host 192.168.1.254 eq 21 log
//以上2条ACL拒绝IP地址为172.16.1.20的主机访问server(192.168.1.254)的FTP服务
R1(config)#access-list 101 deny ip any any      
//可不添加,因为ACL末尾默认隐含“deny any any”
R1(config)#access-list 102 remark This is an example for extended ACL  //为ACL102添加标注
R1(config)#access-list 102 deny tcp 172.16.2.0  0.0.0.255  host 192.168.1.254 eq 23 log
//拒绝IP地址为172.16.1.0/24的主机访问server(192.168.1.254)的的telnet服务
R1(config)#access-list 102 deny icmp 172.16.2.0  0.0.0.255  host 192.168.1.254 log 
//拒绝IP地址为172.16.1.0/24的主机访问server(192.168.1.254)的的icmp服务
R1(config)#access-list 102 permit ip any any  
//将其余流量放行,否则ACL会将所有流量拒绝,因为ACL末尾隐含了“deny any any”
R1(config)#interface fa 0/0
R1(config-if)#ip access-group 101 in  //应用ACL101到接口fa0/0的出方向
R1(config-if)#exit
R1(config)#interface fa 0/1
R1(config-if)#ip access-group 102 in  //应用ACL102到接口fa0/1的出方向
R1(config-if)#exit
R1(config)#
(2)步骤2:配置路由器R2
R2(config)#inter s 0/0/0
R2(config-if)#ip add 192.168.2.2 255.255.255.252
R2(config-if)#clock rate 64000
R2(config-if)#no shut
R2(config-if)#exit
R2(config)#inter fa 0/0
R2(config-if)#ip add 192.168.1.1 255.255.255.0
R2(config-if)#no shut
R2(config-if)#exit
R2(config)#router ospf 1
R2(config-router)#net 192.168.2.0 0.0.0.3 area 0
R2(config-router)# net 192.168.1.0 0.0.0.255 area 0
R2(config-router)#end
【说明】
①参数”log”会生成相应的日志信息,用来记录经过ACL入口的数据包的情况。
②访问控制列表表项的检查按自上而下的顺序进行,并且从第一个表项开始,所以必须考虑在访问控制列表中定义语句的次序;访问控制列表最后一条是隐含的拒绝所有deny any;
③路由器不对自身产生的IP数据包进行过滤;
④尽量考虑将扩展的访问控制列表放在靠近过滤源的位置上,这样创建的过滤器就不会反过来影响其他接口上的数据流。
⑤对于编号扩展ACL,新添加的ACL条目只能加到最后,不能插到原来ACL条目中间,所以如果想在原来的编号扩展ACL中插入某条条目,只能删掉原来的ACL内容,重新编写。
(3)步骤3:实验调试
首先分别在PC1上访问服务器的FTP和WWW服务,然后改变PC1的地址为172.16.1.20,在PC1上访问服务器的FTP和WWW服务,再查看访问控制列表:
R1#show ip access-list 
Extended IP access list 101
  10  permit tcp 172.16.1.0 0.0.0.15 host 192.168.1.254 eq www (10 match(es)) 
  20  permit tcp 172.16.1.0 0.0.0.15 host 192.168.1.254 eq 20
  30  permit tcp 172.16.1.0 0.0.0.15 host 192.168.1.254 eq ftp (14 match(es))
  40  deny ip any any (80 match(es))
Extended IP access list 102
  10  deny tcp 172.16.2.0 0.0.0.255 host 192.168.1.254 eq telnet
  20  deny icmp 172.16.2.0 0.0.0.255 host 192.168.1.254
  30  permit ip any any
最后在PC2所在网段的主机ping 服务器,路由器R1会出现下面的日志信息
*Mar 25 17:35:46.383;%SEC-6-IPACCESSLOGDP;list 102 denied icmp 172.16.2.10 ->192.168.1.254(0/0),4 packet
以上输出说明访问控制列表101在有匹配数据包的时候,系统做了日志。

3.1 实验目的

1掌握命名ACL的配置和应用

2)熟悉命名ACL的调试

3.2 实验原理

1.命名ACL的配置

命名ACL:所谓命名的IP访问控制列表是以列表名代替列表编号来定义IP访问控制列表因为一般访问控制列表,我们只要删除其中一个条目,那么所有的条目都已经被删除了,所以增加了我们修改的难度,而名称列表可以达到任意添加修改和删除某一特定的ACL中个别的控制条目的效果。

routerconfig)#ip access-list extended or standard} name

参数说明:

参数

参数含义

standard

标准命名ACL就选standard

Extended

扩展命名ACL就选extended

name

ACL的名字

routerconfig-ext-nacl#{permit  or deny } protocols soure sourewildcard {operator portdestination destinationwildcard operator port}{established

参数说明:

参数

参数含义

permit

条件匹配时允许访问

deny

条件匹配时拒绝访问

protocol

指定协议类型,egIP,TCP,UDP,ICMP

source 和destination

分别识别源地址和目的地址

source-wildcard

通配符掩码,和源地址对应

destination-wildcard

通配符掩码,和目的地址对应

operator

lt,gt,eg,neg (小于,大于,等于,不等于)

port

端口号

established

只用于TCP协议,只是已建立的连接

log

对符合条件的数据包生成日志消息,该消息将发送到控制台

2.命名ACL的配置实例

                                 访问控制列表--扩展ACL、命名的ACL_第2张图片

7 命名ACL

IP地址表:

设备

接口

IP地址

子网掩码

R1

S 0/0/0

192.168.2.1

255.255.255.252

Fa 0/0

172.16.1.1

255.255.255.0

Fa 0/1

172.16.2.1

255.255.255.0

R2

S 0/0/0

192.168.2.2

255.255.255.252

Fa 0/0

192.168.1.1

255.255.255.0

Server

NIC

192.168.1.254

255.255.255.0

PC1

NIC

172.16.1.10

255.255.255.0

PC2

NIC

172.16.2.20

255.255.255.0

5 IP地址表

本实验案例要求配置OSPF动态路由协议使得网络联通,同时定义扩展ACL实现如下访问控制:

该网段只允许IP地址为172.16.1.0/28范围的主机访问server192.168.1.254)的WEB服务;

该网段只允许IP地址为172.16.1.0/28范围的主机访问server192.168.1.254)的FTP服务;

只允许PC2 通过TELNET连接到路由器R1R2

(1)步骤1:配置路由器R1
R1(config)#inter s 0/0/0
R1(config-if)#ip add 192.168.1.1 255.255.255.252
R1(config-if)#clock rate 64000
R1(config-if)#no shut
R1(config-if)#exit
R1(config)#inter fa 0/0
R1(config-if)#ip add 172.16.1.1 255.255.255.0
R1(config-if)#no shut
R1(config)#inter fa 0/1
R1(config-if)#ip add 172.16.2.1 255.255.255.0
R1(config-if)#no shut
R1(config-if)#exit
R1(config)#router ospf 1
R1(config-router)#net 192.168.2.0 0.0.0.3 area 0
R1(config-router)#net 172.16.1.0 0.0.0.255 area 0
R1(config-router)#net 172.16.2.0 0.0.0.255 area 0
R1(config-router)#exit
R1(config)#ip access-list extend NO_WWW_FTP
R1(config-ext-nacl)# remark This is an example for extended_ ACL for NO_WWW_FTP  
//为命名ACL  WWW_FTP添加标注
R1(config-ext-nacl)# permit tcp 172.16.1.0 0.0.0.15 host 192.168.1.254 eq 80 log
//允许IP地址为172.16.1.10的主机访问server(192.168.1.254)的WEB服务
R1(config-ext-nacl)# permit tcp 172.16.1.0 0.0.0.15 host 192.168.1.254 eq 20 log
R1(config-ext-nacl)# permit tcp 172.16.1.0 0.0.0.15 host 192.168.1.254 eq 21 log
//以上2条ACL拒绝IP地址为172.16.1.20的主机访问server(192.168.1.254)的FTP服务
R1(config-ext-nacl)# deny ip any any   //可不添加,因为ACL末尾默认隐含“deny ip any any”
R1(config-ext-nacl)#exit
R1(config)# ip access-list standard VTY_TELNET
R1(config-ext-nacl)# remark This is an example for standard ACL for VTY_TELNET //添加标注
R1(config-ext-nacl)#permit host 172.16.2.20 
//允许IP地址为172.16.2.20的主机数据包通过
R1(config-ext-nacl)#deny ip any any  //可不添加,因为ACL末尾默认隐含“deny ip any any”
R1(config-ext-nacl)#exit
R1(config)#interface fa 0/0
R1(config-if)#ip access-group WWW_FTP in  //应用ACL:WWW_FTP到接口fa0/0的入方向
R1(config-if)#exit
R1(config)#line vty 0 4
R1(config-line)#access-class VTY_TELNET in   
//在接口下应用定义ACL:VTY_TELNET,允许IP地址为192.168.1.10的主机通过TELNET
连接到路由器R1
R1(config-line)#password cisco    //配置TELNET远程登录密码为cisco
R1(config-line)#login
R1(config-line)#exit
(2)步骤2:配置路由器R2
R2(config)#inter s 0/0/0
R2(config-if)#ip add 192.168.2.2 255.255.255.252
R2(config-if)#clock rate 64000
R2(config-if)#no shut
R2(config-if)#exit
R2(config)#inter fa 0/0
R2(config-if)#ip add 192.168.1.1 255.255.255.0
R2(config-if)#no shut
R2(config-if)#exit
R2(config)#router ospf 1
R2(config-router)#net 192.168.2.0 0.0.0.3 area 0
R2(config-router)# net 192.168.1.0 0.0.0.255 area 0
R2(config-router)#exit
R2(config)# ip access-list standard VTY_TELNET
R2(config-ext-nacl)# remark This is an example for standard ACL for VTY_TELNET //添加标注
R2(config-ext-nacl)#permit host 172.16.2.20  //允许IP地址为172.16.2.20的主机数据包通过
R2(config-ext-nacl)#deny ip any any  //可不添加,因为ACL末尾默认隐含“deny ip any any”
R2(config-ext-nacl)#exit
R2(config)#line vty 0 4
R1(config-line)#access-class VTY_TELNET in   
//在接口下应用定义ACL:VTY_TELNET,允许IP地址为192.168.1.10的主机通过TELNET
连接到路由器R2
R2(config-line)#password cisco    //配置TELNET远程登录密码为cisco
R2(config-line)#login
R2(config-line)#exit
(3)步骤3:实验调试
先分别在PC1上访问服务器server的FTP服务,可以看到服务访问正常,WWW服务亦同。
PC>ftp 192.168.1.254
Trying to connect...192.168.1.254
Connected to 192.168.1.254
220- Welcome to Ftp server
Username:cisco
331- Username ok, need password
Password: cisco
230- Logged in
(passive mode On)
ftp>
然后将在PC1的地址改为172.16.1.20(地址不在172.16.1.0/28网段内),此时在PC1上访问服务器的FTP服务,已不能访问,WWW服务亦同。
PC>ftp 192.168.1.254
Trying to connect...192.168.1.254
%Error opening ftp://192.168.1.254/ (Timed out)
PC>(Disconnecting from ftp server)
在PC1上telnet路由器R1,由于PC1的IP地址为172.16.1.10,被ACL禁止访问。
PC>telnet 172.16.1.1
Trying 172.16.1.1 ...
% Connection timed out; remote host not responding      //说明ACL起作用了
在PC2上telnet路由器R1,
PC>telnet 172.16.2.1
Trying 172.16.2.1 ...Open   //telnet路由器R1成功,因为PC2的地址是172.16.2.20,符合命名ACL VTY_TELNET的定义
User Access Verification
Password: 
R1>en
Password: 
R1#
再查看访问控制列表:
R1# sh ip access-lists 
Extended IP access list WWW_FTP
    permit tcp 172.16.1.0 0.0.0.15 host 192.168.1.254 eq www (3 match(es))
    permit tcp 172.16.1.0 0.0.0.15 host 192.168.1.254 eq ftp_data(3 match(es))
    permit tcp 172.16.1.0 0.0.0.15 host 192.168.1.254 eq ftp (3 match(es))
    deny ip any any (12 match(es))
Standard IP access list VTY_TELNET
permit host 172.16.2.20 (2 match(es))

你可能感兴趣的:(网络互连)