交换机与路由器技术:标准ACL、扩展ACL和命名ACL

目录

  • 一、标准ACL
    • 1、ACL基本概念
      • 1.1、什么是访问控制列表
      • 1.2、工作原理
      • 1.3、访问控制列表分类(思科设备)
      • 1.4、配置
    • 1.5、ACL的应用规则
  • 二、扩展ACL
  • 三、命名ACL

一、标准ACL

1、ACL基本概念

1.1、什么是访问控制列表

  • 是一种基于包过滤的访问控制技术(拆网络层的IP地址),广泛应用于路由嚣和三层交换机中,基于数据包的五元组进行过滤(源IP,目标P,源端口,目标端口,协议)
  • 读取三层(网络层)和四层(传输层)

1.2、工作原理

  • 数据的流量走向(确定,路由器的入口或出口,建议是将ACL应用在入口,从而减少路由器的路由的工作量)
  • 工作过程
    交换机与路由器技术:标准ACL、扩展ACL和命名ACL_第1张图片

1.3、访问控制列表分类(思科设备)

  • 标准
    • 基于源P地址进行控制。
    • 表号:1~99
  • 扩展
    • 基于源IP、目的IP、指定协议、端口号、标志位来过滤。
    • 表号:100~199
  • 命名
    • 没有表号,使用名字作为表号
    • 直接使用: standard标识标ACL extended标识扩展ACL

1.4、配置

配置一:配置标准的访问控制列表

#创建
access-list 1 permit/deny host 192.168.1.1#某台主机
access-list 1 permit/deny 192.168.1.1 0.0.0.0#某台主机
access-list 1 permit/deny 192.168.1.0 0.0.0.255#某个网段
access-7ist 1 permit /deny any#所有
#将访问控制列表应用到接口
int f0/0
ip access-group 1 in/out
#in此接口为入口
#out此接口为出口

1.5、ACL的应用规则

  • 在一个接口的一个方向上只能应用一个访问控制列表
access-list 1 deny host 192.168.1.1
access-list 2 deny host 192.168.2.1
int f0/0
ip access-group 1 in#这条生效
ip access-aroup 2 in # 这条不生效
ip access-aroup 2 out #另一个方向根本没有192.168.2.1的通信信息,所以相当于白费,且白占用资源
 

实验:标准ACL
1、放置器件并连线如下图,并配置IP的地址
交换机与路由器技术:标准ACL、扩展ACL和命名ACL_第2张图片
2、ping通才能配置ACL
交换机与路由器技术:标准ACL、扩展ACL和命名ACL_第3张图片
3、先配置拒绝,再配置允许。最后应用入口
交换机与路由器技术:标准ACL、扩展ACL和命名ACL_第4张图片
交换机与路由器技术:标准ACL、扩展ACL和命名ACL_第5张图片

4、PC0不能访问PC2,PC1可以访问PC2。完成实验
交换机与路由器技术:标准ACL、扩展ACL和命名ACL_第6张图片
交换机与路由器技术:标准ACL、扩展ACL和命名ACL_第7张图片

二、扩展ACL

access-list 100 permit/deny 协议(icmp ip tcp udp) 源地址 目的地址(eq/gt/lt/neq/range) 端口号

实验:扩展ACL
1、放置器件并连线如图所示,按图配置IP
交换机与路由器技术:标准ACL、扩展ACL和命名ACL_第8张图片
注意服务器也要配置IP交换机与路由器技术:标准ACL、扩展ACL和命名ACL_第9张图片

2、配置服务器
交换机与路由器技术:标准ACL、扩展ACL和命名ACL_第10张图片
3、配置静态路由
交换机与路由器技术:标准ACL、扩展ACL和命名ACL_第11张图片
交换机与路由器技术:标准ACL、扩展ACL和命名ACL_第12张图片
4、检验能够ping通服务器
交换机与路由器技术:标准ACL、扩展ACL和命名ACL_第13张图片
交换机与路由器技术:标准ACL、扩展ACL和命名ACL_第14张图片
5、检测http能否通信
交换机与路由器技术:标准ACL、扩展ACL和命名ACL_第15张图片
交换机与路由器技术:标准ACL、扩展ACL和命名ACL_第16张图片
6、检测dns能够通信
交换机与路由器技术:标准ACL、扩展ACL和命名ACL_第17张图片
交换机与路由器技术:标准ACL、扩展ACL和命名ACL_第18张图片
交换机与路由器技术:标准ACL、扩展ACL和命名ACL_第19张图片
交换机与路由器技术:标准ACL、扩展ACL和命名ACL_第20张图片
7、实验要求
1、PC0无法访问服务器0的DNS服务,其他服务不受影响
2、PC1无法访问服务器0的http服务,其他服务不受影响
3、两台主机都无法ping通服务器0
注意:配置ACL之前,首先需要网络互通
接着网络中路由器比较多的时候,需要确定在哪一台路由器上配置ACL确定了配置的路由器后,需要确定配置在入口还是出口
交换机与路由器技术:标准ACL、扩展ACL和命名ACL_第21张图片
交换机与路由器技术:标准ACL、扩展ACL和命名ACL_第22张图片
交换机与路由器技术:标准ACL、扩展ACL和命名ACL_第23张图片
8、检验
交换机与路由器技术:标准ACL、扩展ACL和命名ACL_第24张图片
交换机与路由器技术:标准ACL、扩展ACL和命名ACL_第25张图片
交换机与路由器技术:标准ACL、扩展ACL和命名ACL_第26张图片
交换机与路由器技术:标准ACL、扩展ACL和命名ACL_第27张图片
交换机与路由器技术:标准ACL、扩展ACL和命名ACL_第28张图片
交换机与路由器技术:标准ACL、扩展ACL和命名ACL_第29张图片
9、检验其他服务
交换机与路由器技术:标准ACL、扩展ACL和命名ACL_第30张图片
交换机与路由器技术:标准ACL、扩展ACL和命名ACL_第31张图片
交换机与路由器技术:标准ACL、扩展ACL和命名ACL_第32张图片
成功完成实验。

三、命名ACL

继续扩展ACL的实验
1、删除ACL.无论是标准ACL还是扩展ACL,只能全删,不能删除某一条,这就是坏处交换机与路由器技术:标准ACL、扩展ACL和命名ACL_第33张图片
能ping通,确认删除完毕:
交换机与路由器技术:标准ACL、扩展ACL和命名ACL_第34张图片
2、配置命名ACL
交换机与路由器技术:标准ACL、扩展ACL和命名ACL_第35张图片
3、查看并应用
交换机与路由器技术:标准ACL、扩展ACL和命名ACL_第36张图片

4、检验
pc0ping不通服务器:
交换机与路由器技术:标准ACL、扩展ACL和命名ACL_第37张图片
pc1也ping不通服务器:
在这里插入图片描述
pc1还访问不了网页:
交换机与路由器技术:标准ACL、扩展ACL和命名ACL_第38张图片
pc1可以访问dns:
交换机与路由器技术:标准ACL、扩展ACL和命名ACL_第39张图片
pc0连ftp也访问不了:
交换机与路由器技术:标准ACL、扩展ACL和命名ACL_第40张图片
5、我们想要pc0可以访问服务器,那么就删掉编号为10的条目
交换机与路由器技术:标准ACL、扩展ACL和命名ACL_第41张图片
删掉操作:
交换机与路由器技术:标准ACL、扩展ACL和命名ACL_第42张图片
发现PC0可以访问了:
交换机与路由器技术:标准ACL、扩展ACL和命名ACL_第43张图片
6、想要pc0其他操作都可以,就是不能ping通服务器

交换机与路由器技术:标准ACL、扩展ACL和命名ACL_第44张图片
ping不通了,但是能进行其他操作
交换机与路由器技术:标准ACL、扩展ACL和命名ACL_第45张图片
交换机与路由器技术:标准ACL、扩展ACL和命名ACL_第46张图片
交换机与路由器技术:标准ACL、扩展ACL和命名ACL_第47张图片

你可能感兴趣的:(网络安全入门到精通,网络)