提升三层网络的安全性——任务1访问控制列表(ACL)

最常用的访问控制列表有2种,分为标准ACL扩展ACL。

标准ACL:

主要特点:便捷,只监控数据包的源IP地址 ,决定是否过滤或放行 。  

扩展ACL:

主要特点: 功能更加强大,可以监控协议,源IP地址,目的IP地址,端口号,时间等等,决定是否过滤或放行。

1.配置标准ACL: 

.标准ACL: access-list-number编号1~99之间的整数,只针对源地址进行过滤。

我们将通过配置标准ACL来让192.168.10.0不能访问192.168.20.0,而允许其他网络访问。 

1.首先测试192.168.10.0与192.168.20.0的通信情况 ,那么我们看到是可以通信的

提升三层网络的安全性——任务1访问控制列表(ACL)_第1张图片

2.在三层交换机上配置标准ACL,配置如下: 

提升三层网络的安全性——任务1访问控制列表(ACL)_第2张图片

第一条命令,拒接了源地址192.168.10.0网络的流量。

第二条命令,是允许其他所有流量通过

注意事项: ACL检查是自上而下的,直到匹配相应的规则。注意命令的配置循序,如果第二条与第一条的命令配置相反,那么所有的流量都会被拒接通过。原因是ACL末尾会隐含拒接所有网络通过的语句,标准ACL的末尾隐含的是deny any 语句。

那么我们的配置循序是要正确的,先拒接192.168.10.0的网络的流量,然后在后面加上一条permit语句,让所有的网络通过。否则ACL的末尾隐含的语句会拒接所有的网络通过。 

我们可以通过命令来检查一下ACL条目

提升三层网络的安全性——任务1访问控制列表(ACL)_第3张图片

那么接下来我们ping一下192.168.20.0 

提升三层网络的安全性——任务1访问控制列表(ACL)_第4张图片

可以看到192.168.10.0与192.168.20.0依然可以通信,那么在配置ACL后并没有马上的生效,还需要在端口或者其他地方调用

这里说明一下ACL有2个方向in和out,in是指数据包流入应用端口,out是指数据包流出应用端口。 

那么我们在vlan20端口应用ACL配置

提升三层网络的安全性——任务1访问控制列表(ACL)_第5张图片 

结果

提升三层网络的安全性——任务1访问控制列表(ACL)_第6张图片

可以看到目标网络无法到达,说明了标准ACL配置成功了 。

2.配置扩展ACL:

扩展ACL: access-list-number编号100~199之间的整数

为了能节约资源的空间,在vlan 10端口的in方向拒绝192.168.10.0的网络

要求一样是192.168.10.0不能通信192.168.20.0

扩展ACL末尾隐含的语句是deny ip any any ,所以我们要添加一条permit语句 

提升三层网络的安全性——任务1访问控制列表(ACL)_第7张图片

接下来在vlan 10 ,in方向应用ACL

结果

提升三层网络的安全性——任务1访问控制列表(ACL)_第8张图片

那么关于标准ACL和扩展ACL的配置已经完成了

 

 

你可能感兴趣的:(网络)