运维之思科篇 -----4. 标准与扩展ACL 、 命名ACL
FOUR DAY
总结问题:
访问控制列表类型是;
标准访问列表配置命令是;
扩展访问列表配置命令是;
命名访问控制列表配置命令是;
Switch(config)#spanning-tree mode rapid-pvst
一、 访问控制列表概述
1、访问控制列表(ACL):
读取第三层、第四层包头信息
根据预先定义好的规则对包进行过滤
2、 访问控制列表的处理过程
如果匹配第一条规则,则不再往下检查,路由器将决定该数据包允许通过或拒绝通过。
如果不匹配第一条规则,则依次往下检查,直到有任何一条规则匹配。
如果最后没有任何一条规则匹配,则路由器根据默认的规则将丢弃该数据包。
3、访问控制列表的类型:
1) 标准访问控制列表
基于源IP地址过滤数据包。
应该应用到距离目标最近的路由器端口的出方向。
列表号是1~99
2) 扩展访问控制列表
基于源IP地址、目的IP地址、指定协议、端口等来过滤数据包。
最好应用到离端口最近的 路由器端口的入方向。
列表号是100~199
3) 命名访问控制列表
命名访问控制列表允许在标准和扩展访问控制列表中使用名称代替表号
二、标准访问控制列表
1、标准访问控制列表的创建
全局:access-list 1deny 192.168.1.10 0.0.0.255
全局:access-list 1 permit 192.168.1.0 0.0.0.255
通配符掩码:也叫做反码。用二进制数0和1表示,如果某位为1,表明这一位不需要进行匹配操作,如果为0表明需要严格匹配。
例:192.168.1.0/24子网掩码是255.255.255.0,其反码可以通过255.255.255.255减去255.255.255.0得到0.0.0.255
隐含拒绝语句:access-list 1 deny 0.0.0.0 255.255.255.255
2、 将ACL应用于接口
接口模式:ip access-group 列表号 in或out
注:access-list 1deny 192.168.1.1 0.0.0.0或写为
access-list 1deny host 192.168.1.1
access-list 1 deny 0.0.0.0 255.255.255.255或写为
access-list 1 deny any
3、 删除已建立的访问控制列表
全局:no access-list 列表号
4、 接口上取消ACL
接口模式:no ip access-group 列表号in 或out
5、 查看访问控制列表
特权:show access-lists
Access-list 1 permit host 192.168.1.100
Access-list 1 deny 192.168.1.0 0.0.0.255
Access-list 1 permit any
in f0/1
Ip access-group 1 out
三、扩展访问控制列表
1、作用
可以根据源IP地址,目的IP地址,指定协议,端口等过滤数据包。
2.扩展访问控制列表号:100-199
3、 eq等于、lt小于、gt大于、neq不等于
4、扩展访问控制列表案例:
例1:全局: access-list 101 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
(允许192.168.1.0网络访问192.168.2.0网络的所有服务)
全局: access-list 101 deny ip any any
(拒绝所有)
例2:全局: access-list 101 deny tcp 192.168.1.0 0.0.0.255 host 192.168.2.2 eq 21
(拒绝192.168.1.0网段访问192.168.2.2的TCP的21端口)
全局:access-list 101 permit ip any any(允许访问所有)
例3全局: access-list 101 deny icmp 192.168.1.0 0.0.0.255 host 192.168.2.2 echo
(拒绝192.168.1.0 ping 192.168.2.2)
5、删除扩展ACL
全局:no access-list列表号
注:扩展与标准ACL不能删除单条ACL语句,只能删除整个ACL。
6、扩展ACL应该应用在离源地址最近的路由器上。
四、命名访问控制列表、
1、命名访问控制列表可以配置标准命名也可配置扩展命名。
2、命名访问控列表的ACL语句默第一条为10,第二条为20,依此类推。
3、命名ACL可以删除单条ACL语句,而不必删除整个ACL。并且命名ACL语句可以有选择的插入到列表中的某个位置,使得ACL配置更加方便灵活。
4、标准命名ACL的配置
1)全局:ip access-list standard 名字
Permit host 192.168.1.1
deny any
2)命名ACL应用于接口
接口模式:ip access-group 名字 in或out
5、扩展命名ACL的配置
全局:ip access-list extended 名字
deny tcp 192.168.1.0 0.0.0.255 host 192.168.2.2 eq 80拒绝1.0网段访问2.2的web服务。
Permit ip any any
通过扩展ACL只允许192.168.1.0/24网络中的192.168.1.100访问192.168.4.0/24网络
不允许1.100访问4.1,其他通信不受限制
Access-list 100 permit ip host 192.168.1.1 192.168.4.1 0.0.0.255
/
Access-list 100 deny ip 192.168.1.0 0.0.0.255 192.168.4.0 0.0.0.255
Access-list 100 permit ip any any
In f0/0
Ip access-group 100 in
标准访问控制列表:表号1-99,只能检查数据包的源IP地址,应该应用离目标最近的路由器端口的出方向
扩展访问控制列表:表号100-199,可以检查数据包的源和目标IP地址,以及协议和端口号。最好应用到离源最近的路由器端口的入方向
拒绝192.168.1.0/24访问192.168.4.0/24的telnet服务,即23端口
允许全部
拒绝192.168.1.0/24访问192.168.4.0/24
1、配置
R3(config)#access-list 1 permit host 192.168.1.100
R3(config)#access-list 1 deny 192.168.1.0 0.0.0.255
R3(config)#access-list 1 permit any
R3(config)#int f0/1
R3(config-if)#ip access-group 1 out
2、验证
(1)192.168.1.10 ping 192.168.4.10不通
(2)192.168.1.10 ping 其他地址,可以通
(3)192.168.4.10 ping 192.168.1.10也不通,因为数据可以发出去,但收不回来
(4)从Router1路由器ping 192.168.4.10也能通
(5)192.168.1.100 ping 192.168.4.10,可以通
通过扩展ACL只允许192.168.1.0/24网络中的192.168.1.100访问192.168.4.0/24网络
不允许192.168.1.0/24网络中的其他地址访问192.168.4.0/24网络
除此以外的通信不受限制
R1(config)#access-list 100 permit ip host 192.168.1.100 192.168.4.0 0.0.0.255
R1(config)#access-list 100 deny ip 192.168.1.0 0.0.0.255 192.168.4.0 0.0.0.255
R1(config)#access-list 100 permit ip any any
R1(config)#int f0/0
R1(config-if)#ip access-group 100 in
拒绝192.168.1.10访问192.168.4.0的web服务,其他不受限
R1(config)#access-list 101 deny tcp host 192.168.1.10 192.168.4.0 0.0.0.255 eq 80
R1(config)#access-list 101 permit ip any any
R1(config)#int f0/0
R1(config-if)#ip access-group 101 in
不允许192.168.1.100 ping 192.168.4.0/24,其他全部允许
echo表示发送的ping请求,接收方回应的是echo-reply
R1(config)#access-list 102 deny icmp host 192.168.1.100 192.168.4.0 0.0.0.255 echo
R1(config)#access-list 102 permit ip any any
R1(config-if)#ip access-group 102 in
拒绝192.168.1.10访问192.168.4.0网络,其他的全允许
R3(config)#ip access-list standard deny_1.10
R3(config-std-nacl)#deny host 192.168.1.10
R3(config-std-nacl)#permit any
R3(config)#int f0/1
R3(config-if)#ip access-group deny_1.10 out
向ACL中加入拒绝192.168.1.100
R3#show access-lists
Standard IP access list deny_1.10
10 deny host 192.168.1.10 (4 match(es))
20 permit any (4 match(es))
R3(config)#ip access-list stand deny_1.10
R3(config-std-nacl)#15 deny host 192.168.1.100
R3#show access-lists
Standard IP access list deny_1.10
10 deny host 192.168.1.10 (4 match(es))
15 deny host 192.168.1.100
20 permit any (4 match(es))
R3(config)#ip access-list standard deny_1.10
R3(config-std-nacl)#no deny host 192.168.1.100
使用命名ACL代替之前的100号ACL
R1(config)#ip access-list extended ristrict_net1
R1(config-ext-nacl)#permit ip host 192.168.1.100 192.168.4.0 0.0.0.255
R1(config-ext-nacl)#deny ip 192.168.1.0 0.0.0.255 192.168.4.0 0.0.0.255
R1(config-ext-nacl)#permit ip any any
R1(config-ext-nacl)#int f0/0
R1(config-if)#ip access-group ristrict_net1 in
- 案例1:配置标准ACL
- 案例2:配置扩展ACL
- 案例3:配置标准命名ACL
- 配置扩展命名ACL
1 案例1:配置标准ACL
1.1 问题
络调通后,保证网络是通畅的。同时也很可能出现未经授权的非法访问。企业网络既要解决连连通的问题,还要解决网络安全的问题。
- 配置标准ACL实现拒绝PC1(IP地址为192.168.1.1)对外问网络192.168.2.1的访问
1.2 方案
访问控制是网络安全防范和保护的主要策略,它的主要任务是保证网络资源不被非法使用和访问。它是保证网络安全最重要的核心策略之一。
访问控制列表(Access Control Lists,ACL)是应用在路由器接口的指令列表。这些指令列表用来告诉路由器哪能些数据包可以收、哪能数据包需要拒绝。至于数据包是被接收还是拒绝,可以由类似于源地址、目的地址、端口号等的特定指示条件来决定。
标准访问控制列表只能根据数据包的源IP地址决定是否允许通过。
网络拓扑如图-1所示:
图-1
1.3 步骤
实现此案例需要按照如下步骤进行。
步骤一:在R1上配置接口IP
tarena-R1(config)#interface f0/0tarena-R1(config-if)#ip address 192.168.1.254 255.255.255.0tarena-R1(config-if)#no shutdowntarena-R1(config-if)#interface f0/1tarena-R1(config-if)#ip address 192.168.2.254 255.255.255.0tarena-R1(config-if)#no shutdown
步骤二:测试主机到192.168.2.1的连通性
在实施ACL之前先检查网络是否能够正常通信,因为没有任何限制,网络应该是处于连通状态。
PC1测试如下所示:
- PC>ipconfig
- FastEthernet0 Connection:(default port)
- Link-local IPv6 Address.........: FE80::2E0:F7FF:FED6:54CC
- IP Address......................: 192.168.1.1
- Subnet Mask.....................: 255.255.255.0
- Default Gateway.................: 192.168.1.254
- PC>ping 192.168.2.100
- Pinging 192.168.2.100 with 32 bytes of data:
- Reply from 192.168.2.1: bytes=32 time=0ms TTL=126
- Reply from 192.168.2.1: bytes=32 time=0ms TTL=126
- Reply from 192.168.2.1: bytes=32 time=0ms TTL=126
- Reply from 192.168.2.1: bytes=32 time=0ms TTL=126
- Ping statistics for 192.168.2.1:
- Packets: Sent = 4, Received = 2, Lost = 2 (50% loss),
- Approximate round trip times in milli-seconds:
- Minimum = 0ms, Maximum = 0ms, Average = 0ms
- PC>
PC2测试如下所示:
PC>ipconfigFastEthernet0 Connection:(default port)Link-local IPv6 Address.........: FE80::2D0:BAFF:FE98:9E29IP Address......................: 192.168.1.2Subnet Mask.....................: 255.255.255.0Default Gateway.................: 192.168.1.254PC>ping 192.168.2.1Pinging 192.168.2.1 with 32 bytes of data:Reply from 192.168.2.1: bytes=32 time=2ms TTL=126Reply from 192.168.2.1: bytes=32 time=0ms TTL=126Reply from 192.168.2.1: bytes=32 time=0ms TTL=126Reply from 192.168.2.1: bytes=32 time=0ms TTL=126Ping statistics for 192.168.2.1:Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),Approximate round trip times in milli-seconds:Minimum = 0ms, Maximum = 2ms, Average = 0msPC>
步骤三:在R1上配置标准访问控制列表,并应用到Fa0/0端口
ACL的匹配规则中,最后有一条隐含拒绝全部。如果语句中全部是拒绝条目,那么最后必须存在允许语句,否则所有数据通信都将被拒绝。
- tarena-R1(config)#access-list 1 deny host 192.168.1.1
- tarena-R1(config)#access-list 1 permit 192.168.1.0 0.0.0.255
- tarena-R1(config)#interface f0/0
- tarena-R1(config-if)#ip access-group 1 in
步骤四:分别在两台主机上测试到192.168.2.1的连通性
PC1测试如下所示:
PC>ipconfigFastEthernet0 Connection:(default port)Link-local IPv6 Address.........: FE80::2E0:F7FF:FED6:54CCIP Address......................: 192.168.1.1Subnet Mask.....................: 255.255.255.0Default Gateway.................: 192.168.1.254PC>ping 192.168.2.1Pinging 192.168.2.1 with 32 bytes of data:Reply from 192.168.1.254: Destination host unreachable.Reply from 192.168.1.254: Destination host unreachable.Reply from 192.168.1.254: Destination host unreachable.Reply from 192.168.1.254: Destination host unreachable.Ping statistics for 192.168.2.1:Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),PC>
PC2测试如下所示:
- PC>ipconfig
- FastEthernet0 Connection:(default port)
- Link-local IPv6 Address.........: FE80::207:ECFF:FE46:CAC0
- IP Address......................: 192.168.1.2
- Subnet Mask.....................: 255.255.255.0
- Default Gateway.................: 192.168.1.254
- PC>ping 192.168.2.1
- Pinging 192.168.2.1 with 32 bytes of data:
- Reply from 192.168.2.1: bytes=32 time=1ms TTL=127
- Reply from 192.168.2.1: bytes=32 time=0ms TTL=127
- Reply from 192.168.2.1: bytes=32 time=1ms TTL=127
- Reply from 192.168.2.1: bytes=32 time=0ms TTL=127
- Ping statistics for 192.168.2.1:
- Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
- Approximate round trip times in milli-seconds:
- Minimum = 0ms, Maximum = 1ms, Average = 0ms
- PC>
结果显示PC2(IP地址为192.168.1.2)可以正常访问192.168.2.1,而PC1(IP地址为192.168.1.1)已经被192.168.1.254(R1)拒绝。
步骤五:在R1上查看相关的ACL信息
tarena-R1#show ip access-listsStandard IP access list 110 deny host 192.168.1.1 (4 match(es))20 permit 192.168.1.0 0.0.0.255 (8 match(es)
2 案例2:配置扩展ACL
在网络中很有可能要允许或拒绝的并不是某一个源IP地址,而是根据目标地址或是协议来匹配。但是标准访问控制列表只能根据源IP地址来决定是否允许一个数据包通过。
2.1 问题
配置扩展ACL允许pc1访问pc4的www服务但拒绝访问PC4的其他服务,PC2、PC3无限制。
2.2 方案
为了实现更灵活、列精确的网络控制就需要用到扩展访问控制列表了。
扩展IP访问控制列表比标准IP访问控制列表具有更多的匹配项,包括协议类型、源地址、目的地址、源端口、目的端口、建立连接的和IP优先级等。
网络拓扑如图-2所示:
图-2
2.3 步骤
实现此案例需要按照如下步骤进行。
步骤一:在三台路由器中配置IP、RIP动态路由实现全网互通
- tarena-R1(config)#interface fastEthernet 0/0
- tarena-R1(config-if)#ip address 192.168.1.254 255.255.255.0
- tarena-R1(config-if)#no shutdown
- tarena-R1(config-if)#exit
- tarena-R1(config)#interface fastEthernet 0/1
- tarena-R1(config-if)#ip address 192.168.2.1 255.255.255.0
- tarena-R1(config-if)#no shutdown
- tarena-R1(config-if)#exit
- tarena-R1(config)#router rip
- tarena-R1(config-router)#no auto-summary
- tarena-R1(config-router)#version
- tarena-R1(config-router)#network 192.168.1.0
- tarena-R1(config-router)#network 192.168.2.0
-
- tarena-R2(config)#interface fastEthernet 0/1
- tarena-R2(config-if)#ip address 192.168.2.2 255.255.255.0
- tarena-R2(config-if)#no shutdown
- tarena-R2(config-if)#exit
- tarena-R2(config)#interface fastEthernet 0/0
- tarena-R2(config-if)#ip address 192.168.3.1 255.255.255.0
- tarena-R2(config-if)#exit
- tarena-R2(config)#router rip
- tarena-R2(config-router)#version 2
- tarena-R2(config-router)#no auto-summary
- tarena-R2(config-router)#network 192.168.2.0
- tarena-R2(config-router)#network 192.168.3.0
-
- tarena-R3(config)# interface fastEthernet 0/0
- tarena-R3(config-if)#ip add 192.168.3.2 255.255.255.0
- tarena-R3(config-if)#no shu
- tarena-R3(config-if)#exit
- tarena-R3(config)#interface fastEthernet 0/1
- tarena-R3(config-if)#ip address 192.168.4.254 255.255.255.0
- tarena-R3(config-if)#no shutdown
- tarena-R3(config-if)#exit
- tarena-R3(config)#router rip
- tarena-R3(config-router)#version 2
- tarena-R3(config-router)#no auto-summary
- tarena-R3(config-router)#network 192.168.3.0
- tarena-R3(config-router)#network 192.168.4.0
步骤二:开启192.168.4.1的http服务后在PC1、PC2和PC3上验证到Web Server的HTTP协议访问,均如图3所示:
图-3
在没有配置扩展ACL的时候,主机均可以正常访问到Web Server。
步骤三:R1上配置扩展访问控制列表,PC1仅允许到Web Server的HTTP服务(不允许访问其他服务),PC2、PC3无限制
扩展ACL可以对数据包中的源、目标IP地址以及端口号进行检查,所以可以将该ACL放置在通信路径中的任一位置。但是,如果放到离目标近的地方,每台路由器都要对数据进行处理,会更多的消耗路由器和带宽资源。放到离源最近的路由器端口入方向直接就将拒绝数据丢弃,可以减少其他路由器的资源占用以及带宽占用。
tarena-R1(config)#access-list 100 permit tcp host 192.168.1.1 host 192.168.4.1 eq 80tarena-R1(config)#access-list 100 deny ip host 192.168.1.1 host 192.168.4.1tarena-R1(config)#access-list 100 permit ip 192.168.1.0 0.0.0.255 host 192.168.4.1tarena-R1(config)#interface fastEthernet 0/0tarena-R1(config-if)#ip access-group 100 in
步骤四:在PC1上验证
- PC>ipconfig
- FastEthernet0 Connection:(default port)
- Link-local IPv6 Address.........: FE80::2E0:F7FF:FED6:54CC
- IP Address......................: 192.168.1.1
- Subnet Mask.....................: 255.255.255.0
- Default Gateway.................: 192.168.1.254
- PC>ping 192.168.4.1
- Pinging 192.168.4.1 with 32 bytes of data:
- Reply from 192.168.1.254: Destination host unreachable.
- Reply from 192.168.1.254: Destination host unreachable.
- Reply from 192.168.1.254: Destination host unreachable.
- Reply from 192.168.1.254: Destination host unreachable.
- Ping statistics for 192.168.4.1:
- Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),
- PC>
HTTP协议的验证如图-4所示:
图-4
从输入结果可以验证,PC1到Web Server的http服务访问没有受到影响但不能ping通Web Server。
步骤五:在PC2上进行验证
PC>ipconfigFastEthernet0 Connection:(default port)Link-local IPv6 Address.........: FE80::209:7CFF:FED5:B0E4IP Address......................: 192.168.1.2Subnet Mask.....................: 255.255.255.0Default Gateway.................: 192.168.1.254PC>ping 192.168.4.1Pinging 192.168.4.1 with 32 bytes of data:Reply from 192.168.4.1: bytes=32 time=0ms TTL=125Reply from 192.168.4.1: bytes=32 time=12ms TTL=125Reply from 192.168.4.1: bytes=32 time=13ms TTL=125Reply from 192.168.4.1: bytes=32 time=12ms TTL=125Ping statistics for 192.168.4.1:Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),Approximate round trip times in milli-seconds:Minimum = 0ms, Maximum = 13ms, Average = 9ms
HTTP协议的验证,如图-5所示:
图-5
步骤六:在R1上查看相关的ACL信息
- tarena-R1#show ip access-lists
- Extended IP access list 100
- 10 permit tcp host 192.168.1.1 host 192.168.4.1 eq www (5 match(es))
- 20 deny ip host 192.168.1.1 host 192.168.4.1 (4 match(es))
- 30 permit ip 192.168.1.0 0.0.0.255 host 192.168.4.1 (8 match(es))
3 案例3:配置标准命名ACL
3.1 问题
使用基本编号的ACL没有实际意义,只有通过阅读具体的条目才能得知该ACL的作用。而且ACL的编号有限制,如传统的标准ACL用1~99表示,扩展ACL用100~199表示。
- 配置标准命名ACL实现192.168.1.0网段拒绝PC1访问外部网络,其他主机无限制。
3.2 方案
命名访问控制列表可以为ACL起一个有意义的名字,通过名称就可以得知该ACL要实现什么功能。同时,因为使用的是名称而不是数字,也就没有了ACL数量上的限制。
网络拓扑如图-6所示:
图-6
3.3 步骤
实现此案例需要按照如下步骤进行。
步骤一:将案例1配置标准ACL中的扩展访问控制列表移除,其他配置保留
tarena-R1(config)#interface f0/0tarena-R1(config-if)#no ip access-group 1 intarena-R1(config-if)#exittarena-R1(config)#no access-list 1
步骤二:在R2上配置标准的命名访问控制列表
命名访问控制列表的配置总体上和用数字表示的ACL一样,但是更加灵活。
- tarena-R2(config)#ip access-list standard tedu
- tarena-R2(config-std-nacl)#deny host 192.168.1.1
- tarena-R2(config-std-nacl)#permit 192.168.1.0 0.0.0.255
- tarena-R2(config-std-nacl)#exit
- tarena-R2(config)#interface f0/0
- tarena-R2(config-if)#ip access-group tedu in
步骤三:分别在PC1和PC2上做连通性测试
PC2测试如下所示:
PC>ipconfigFastEthernet0 Connection:(default port)Link-local IPv6 Address.........: FE80::2E0:F7FF:FED6:54CCIP Address......................: 192.168.1.2Subnet Mask.....................: 255.255.255.0Default Gateway.................: 192.168.0.1PC>ping 192.168.4.1Pinging 192.168.4.1 with 32 bytes of data:Reply from 192.168.4.1: bytes=32 time=0ms TTL=126Reply from 192.168.4.1: bytes=32 time=0ms TTL=126Reply from 192.168.4.1: bytes=32 time=0ms TTL=126Reply from 192.168.4.1: bytes=32 time=0ms TTL=126Ping statistics for 192.168.4.1:Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),Approximate round trip times in milli-seconds:Minimum = 0ms, Maximum = 0ms, Average = 0msPC>
PC1 测试如下所示:
- PC>ipconfig
- FastEthernet0 Connection:(default port)
- Link-local IPv6 Address.........: FE80::2D0:BAFF:FE98:9E29
- IP Address......................: 192.168.1.1
- Subnet Mask.....................: 255.255.255.0
- Default Gateway.................: 192.168.1.254
- PC>ping 192.168.4.1
- Pinging 192.168.4.1 with 32 bytes of data:
- Reply from 192.168.1.254: Destination host unreachable.
- Reply from 192.168.1.254: Destination host unreachable.
- Reply from 192.168.1.254: Destination host unreachable.
- Reply from 192.168.1.254: Destination host unreachable.
- Ping statistics for 192.168.4.1:
- Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),
- PC>
输出结果表明,PC1的访问是正常的,而PC2到Web Server的访问被R2(IP地址为192.168.1.2)拒绝。
步骤四:在R1上查看相关的ACL信息
tarena-R2#show ip access-listsStandard IP access list tedu10 deny host 192.168.1.1 (4 match(es))20 permit 192.168.1.0 0.0.0.255(4 match(es))
输出结果也表明,来自于PC1的数据包被拦截。
4 配置扩展命名ACL
4.1 问题
使用基本编号的ACL没有实际意义,只有通过阅读具体的条目才能得知该ACL的作用。而且ACL的编号有限制,如传统的标准ACL用1~99表示,扩展ACL用100~199表示。
- 配置扩展命名ACL允许PC1访问192.168.4.1的www服务但拒绝访问192.168.4.1的其他服务,PC2、PC3无限制。
4.2 方案
命名访问控制列表可以为ACL起一个有意义的名字,通过名称就可以得知该ACL要实现什么功能。同时,因为使用的是名称而不是数字,也就没有了ACL数量上的限制。
网络拓扑如图-7所示:
图-7
4.3 步骤
实现此案例需要按照如下步骤进行。
步骤一:将2配置扩展ACL中的扩展访问控制列表移除,其他配置保留
- tarena-R1(config)#no access-list 100 permit tcp host 192.168.1.1 host 192.168.4.1 eq www
- tarena-R1(config)#interface fastEthernet 0/0
- tarena-R1(config-if)#no ip access-group 100 in
步骤二:在R1上配置扩展命名访问控制列表
命名访问控制列表的配置总体上和用数字表示的ACL一样,但是更加灵活。
tarena-R1(config)#ip access-list extended tarenatarena-R1(config-ext-nacl)#permit tcp host 192.168.1.1 host 192.168.4.1 eq 80tarena-R1(config-ext-nacl)#deny ip host 192.168.1.1 host 192.168.4.1tarena-R1(config-ext-nacl)#permit ip 192.168.1.0 0.0.0.255 host 192.168.4.1tarena-R1(config)#interface fastEthernet 0/0tarena-R2(config-if)#ip access-group tarena in
步骤三:在R1上查看相关的ACL信息
- tarena-R1#show ip access-lists
- Extended IP access list tarena
- 10 permit tcp host 192.168.1.1 host 192.168.4.1 eq www
- 20 deny ip host 192.168.1.1 host 192.168.4.1
- 30 permit ip 192.168.1.0 0.0.0.255 host 192.168.4.1
步骤四:在PC1上验证
PC>ipconfigFastEthernet0 Connection:(default port)Link-local IPv6 Address.........: FE80::2E0:F7FF:FED6:54CCIP Address......................: 192.168.1.1Subnet Mask.....................: 255.255.255.0Default Gateway.................: 192.168.1.254PC>ping 192.168.4.1Pinging 192.168.4.1 with 32 bytes of data:Reply from 192.168.1.254: Destination host unreachable.Reply from 192.168.1.254: Destination host unreachable.Reply from 192.168.1.254: Destination host unreachable.Reply from 192.168.1.254: Destination host unreachable.Ping statistics for 192.168.4.1:Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),PC>PC>
HTTP协议的验证如图-8所示:
图-8
从输入结果可以验证,PC1到Web Server的http访问没有受到影响,但不能ping通192.168.4.1。
步骤五:在PC2上进行验证
- PC>ipconfig
- FastEthernet0 Connection:(default port)
- Link-local IPv6 Address.........: FE80::2E0:F7FF:FED6:54CC
- IP Address......................: 192.168.1.2
- Subnet Mask.....................: 255.255.255.0
- Default Gateway.................: 192.168.0.1
- PC>ping 192.168.4.1
- Pinging 192.168.4.1 with 32 bytes of data:
- Reply from 192.168.4.1: bytes=32 time=0ms TTL=126
- Reply from 192.168.4.1: bytes=32 time=0ms TTL=126
- Reply from 192.168.4.1: bytes=32 time=0ms TTL=126
- Reply from 192.168.4.1: bytes=32 time=0ms TTL=126
- Ping statistics for 192.168.4.1:
- Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
- Approximate round trip times in milli-seconds:
- Minimum = 0ms, Maximum = 0ms, Average = 0ms
- PC>
HTTP协议的验证,如图-9所示: