ACL配置
01-07 ACL配置
Page 1 of 18
本章节
01-07 ACL配置
Page 2 of 18
目 录
7 ACL配置
7.1 访问控制列表简介 7.1.1 访问控制列表概述 7.1.2 访问控制列表的分类 7.1.3 访问控制列表的匹配顺序 7.1.4 访问控制列表的步长设定 7.1.5 基本访问控制列表 7.1.6 高级访问控制列表 7.1.7 ACL对分片报文的支持 7.1.8 ACL生效时间段 7.1.9 ACL统计 7.2 配置访问控制列表 7.2.1 建立配置访问控制列表的任务 7.2.2 创建ACL生效时间段 7.2.3 配置ACL描述信息 7.2.4 配置基本访问控制列表 7.2.5 配置高级访问控制列表 7.2.6 配置ACL的步长 7.2.7 使能ACL统计 7.2.8 检查配置结果 7.3 维护访问控制列表 7.4 ACL基本配置举例
01-07 ACL配置
Page 3 of 18
插图目录
01-07 ACL配置
Page 4 of 18
插图目录
图7-1 ACL配置案例组网图
01-07 ACL配置
Page 5 of 18
表格目录
01-07 ACL配置
Page 6 of 18
表格目录
表7-1 ACL分类 表7-2 高级访问控制列表的操作符意义 表7-3 端口号助记符 表7-4 ICMP报文类型助记符
01-07 ACL配置
Page 7 of 18
7
关于本章
本章描述内容如下表所示。 标题 7.1 访问控制列表概述 7.2 配置访问控制列表 7.3 维护访问控制列表 7.4 ACL基本配置举例 内容 了解ACL的基本概念和相关参数。
ACL配置
配置基本访问控制列表、高级访问控制列表。 举例:ACL基本配置举例 清除访问控制列表和ACL统计计数器。 举例说明ACL的基本配置。
01-07 ACL配置
Page 8 of 18
7.1 访问控制列表简介
本节介绍了ACL(Access Control List)的概念、分类和相关参数等。具体包括内容如 下:
l l l l l l l l l
访问控制列表概述 访问控制列表的分类 访问控制列表的匹配顺序 访问控制列表的步长设定 基本访问控制列表 高级访问控制列表 ACL对分片报文的支持 ACL生效时间段 ACL统计
7.1.1 访问控制列表概述
路由器为了过滤数据包,需要配置一系列的规则,以决定什么样的数据包能够通过,这 些规则就是通过访问控制列表ACL定义的。访问控制列表是由permit | deny语句组成的一 系列有顺序的规则,这些规则根据数据包的源地址、目的地址、端口号等来描述。ACL 通过这些规则对数据包进行分类,这些规则应用到路由器接口上,路由器根据这些规则 判断哪些数据包可以接收,哪些数据包需要拒绝。
ACL本身只是一组规则,无法实现过滤数据包的功能;它只能标定某一类数据包,而对这类数据包 的处理方法,需要由引入ACL的具体功能来决定。在产品实现中,ACL需要与某些功能(如策略路 由、防火墙、流分类等功能)配合使用,来实现过滤数据包等功能。
7.1.2 访问控制列表的分类
按照ACL用途,ACL可以分为以下几种类型,具体如表7-1所示。 表7-1 ACL分类 ACL类型 基本的ACL(Basic ACL) 高级的ACL(Advanced ACL) 数字范围 2000~2999 3000~3999
7.1.3 访问控制列表的匹配顺序
一个访问控制列表可以由多条“deny | permit”语句组成,每一条语句描述的规则是不相 同,这些规则可能存在重复或矛盾的地方,在将一个数据包和访问控制列表的规则进行 匹配的时候,到底采用哪些规则呢?就需要确定规则的匹配顺序。 有两种匹配顺序:
l l
配置顺序(config) 自动排序(auto)
配置顺序
配置顺序(config),是指按照用户配置ACL的规则的先后进行匹配。缺省情况下匹配顺 序为按用户的配置排序。
01-07 ACL配置
Page 9 of 18
自动排序
自动排序(auto)使用“深度优先”的原则进行匹配。 “深度优先”规则是把指定数据包范围最小的语句排在最前面。这一点可以通过比较地 址的通配符来实现,通配符越小,则指定的主机的范围就越小。 比如129.102.1.1 0.0.0.0指定了一台主机:129.102.1.1,而129.102.1.1 0.0.0.255则指定了一 个网段:129.102.1.1~129.102.1.255,显然前者指定主机范围小,在访问控制规则中排在 前面。具体标准如下。
l l
对于基本访问控制规则的语句,直接比较源地址通配符,通配符相同的则按配置顺 序; 对于高级访问控制规则,首先比较源地址通配符,相同的再比较目的地址通配符, 仍相同的则比较端口号的范围,范围小的排在前面,如果端口号范围也相同则按配 置顺序。
规则ID
每条规则都有一个“规则ID”,在配置规则的时候,是不需要人为指定规则ID的,系统 会自动为每一条规则生成一个“规则ID”。 规则ID之间会留下一定的空间,具体空间大小由“ACL的步长”来设定。例如步长设定 为5,ACL规则ID分配是按照5、10、15……这样来分配的。 在“配置顺序”的情况下:
l
如果配置规则的时候没有指定“规则ID”,则系统会根据“ACL步长”,按照用户 配置规则的先后顺序,自动为规则分配规则编号。例如:用户配置了3条没有指定 “规则ID”的规则,如果ACL步长为5,则系统按照这3条规则的配置顺序为它们分 别分配规则编号:5,10,15。
系统自动生成的规则ID从步长值起始。比如:步长值是5,自动生成的规则ID从5开始;步长值是 2,自动生成的规则ID从2开始。这样做是为了便于用户在第一条规则前面插入新规则。
l
如果配置规则的时候指定了“规则ID”,则会按照“规则ID”的位置决定该规则的 插入位置。例如系统现在的规则编号是:5、10、15。如果指定“规则ID”为3,创 建一条ACL规则,则规则的规则顺序就为:3、5、10、15,相当于在规则5之前插入 了一条子规则。
因此,在“配置顺序”的情况下,系统会按照用户配置规则的先后顺序进行匹配。但本 质上,系统是按照规则编号的顺序,由小到大进行匹配,后插入的规则有可能先执行。 在“自动排序”的情况下,无法为规则指定“规则ID”。系统会按照“深度优先”原则 自动为规则分配规则编号。指定数据包范围较小的规则将获得较小的规则编号。系统将 按照规则编号的顺序,由小到大进行匹配。
在“自动排序”情况下,系统会根据ACL步长自动分配规则编号,但用户无法插入规则。
使用display acl命令就可以看出是哪条规则首先生效。显示时,列在前面的规则首先生 效。
7.1.4 访问控制列表的步长设定
设置规则组的步长
通过命令step,可以为一个ACL规则组指定“步长”,步长的含义是:自动为ACL规则分 配编号的时,规则编号之间的差值。例如,如果步长设定为5,规则编号分配是按照5、 10、15…这样的规则分配的。缺省情况下,ACL规则组的步长为5。 当步长改变的时候,ACL规则组下面的规则编号会自动重新排列。例如,本来规则编号 为:5、10、15、20,如果通过命令step 2,把步长设定改为2,则规则编号变成:2、4、
01-07 ACL配置
6、8。
Page 10 of 18
如果本来规则编号不均匀分布,执行step命令后,规则会变为均匀分布。例如,如果当前 步长为5,规则编号为:1、3、10、12,通过命令step 2,把步长设定为2,则规则编号自 动变成:2、4、6、8。
如果当前步长为2,规则编号为:1、3、10、12,通过命令step 2规则编号不发生变化,仍然是: 1、3、10、12。如果需要将该规则编号变为:2、4、6、8,可以先执行undo step命令将规则编号 变成:5、10、15、20,再执行step 2命令,将规则编号变成:2、4、6、8。
恢复步长的缺省值
通过undo step命令,可以把步长恢复为缺省设定,同时对规则编号进行重新排列。undo step命令可以立刻按照缺省步长调整ACL子规则的编号。例如:ACL规则组1,下面有4条 规则:编号为1、3、5、7,步长为2。如果此时使用undo step命令,则ACL规则编号变 成:5、10、15、20,步长为5。
使用步长的作用
使用步长设定的作用是:方便在规则之间插入新的规则。例如配置好了4个规则,规则编 号为:5、10、15、20。此时希望能在第一条规则(即编号为5的规则)之前插入一条规 则,则可以使用rule 1命令在规则5之前插入一条编号为1的规则。
7.1.5 基本访问控制列表
基本访问控制列表只能使用源地址信息,做为定义访问控制列表的规则的元素。通过 “配置基本访问控制列表”中介绍的ACL的命令,可以创建一个基本的访问控制列表, 同时进入基本访问控制列表视图,在基本访问控制列表视图下,可以创建基本访问控制 列表的规则。 对已经存在的ACL规则,如果采用指定ACL规则编号的方式进行编辑,没有配置的部分 是不受影响的。例如: 先配置了一个ACL规则:
[Router-acl-basic-2001] rule 1 deny source 1.1.1.1 0
然后再对这个ACL规则进行编辑:
[Router-acl-basic-2001] rule 1 deny
这个时候,ACL的规则变成:
[Router-acl-basic-2001] rule 1 deny source 1.1.1.1 0
7.1.6 高级访问控制列表
高级访问控制列表可以使用数据包的源地址信息、目的地址信息、IP承载的协议类型、 针对协议的特性,例如TCP的源端口、目的端口,ICMP协议的类型、code等内容定义规 则。可以利用高级访问控制列表定义比基本访问控制列表更准确、更丰富、更灵活的规 则。 通过“配置高级访问控制列表”中介绍的ACL的命令,可以创建一个高级的访问控制列 表,同时进入高级访问控制列表视图,在高级访问控制列表视图下,可以创建高级访问 控制列表的规则。 对已经存在的ACL规则,如果采用指定ACL规则编号的方式进行编辑,没有配置的部分 是不受影响的。例如: 先配置了一个ACL规则:
[Router-acl-adv-3001] rule 1 deny ip source 1.1.1.1 0
然后再对这个ACL规则进行编辑:
01-07 ACL配置
[Router-acl-adv-3001] rule 1 deny ip destination 2.2.2.1 0
Page 11 of 18
这个时候,ACL的规则则变成:
[Router-acl-adv-3001] rule 1 deny ip source 1.1.1.1 0 destination 2.2.2.1 0
只有TCP和UDP协议需要指定端口范围。支持的操作符及其语法如下表。 表7-2 高级访问控制列表的操作符意义 操作符及语法 eq port-number gt port-number lt port-number range port-number1 port-number2 意义 等于端口号port-number 大于端口号port-number 小于端口号port-number 介于端口号port-number1和port-number2之间
在指定port-number时,对于部分常见的端口号,可以用相应的助记符来代替其实际数 字,支持的助记符如下表。 表7-3 端口号助记符 协议 TCP 助记符 Bgp Chargen Cmd Daytime Discard Domain Echo Exec Finger Ftp Ftp-data Gopher Hostname Irc Klogin Kshell Login Lpd Nntp Pop2 Pop3 Smtp Sunrpc Tacacs Talk Telnet Time Uucp Whois 意义及实际值 Border Gateway Protocol (179) Character generator (19) Remote commands (rcmd, 514) Daytime (13) Discard (9) Domain Name Service (53) Echo (7) Exec (rsh, 512) Finger (79) File Transfer Protocol (21) FTP data connections (20) Gopher (70) NIC hostname server (101) Internet Relay Chat (194) Kerberos login (543) Kerberos shell (544) Login (rlogin, 513) Printer service (515) Network News Transport Protocol (119) Post Office Protocol v2 (109) Post Office Protocol v3 (110) Simple Mail Transport Protocol (25) Sun Remote Procedure Call (111) TAC Access Control System (49) Talk (517) Telnet (23) Time (37) Unix-to-Unix Copy Program (540) Nicname (43)
01-07 ACL配置
Www UDP biff bootpc bootps discard dns dnsix echo mobilip-ag mobilip-mn nameserver netbios-dgm netbios-ns netbios-ssn ntp rip snmp snmptrap sunrpc syslog tacacs-ds talk tftp time who Xdmcp World Wide Web (HTTP, 80) Mail notify (512) Bootstrap Protocol Client (68) Bootstrap Protocol Server (67) Discard (9) Domain Name Service (53)
Page 12 of 18
DNSIX Security Attribute Token Map (90) Echo (7) MobileIP-Agent (434) MobileIP-MN (435) Host Name Server (42) NETBIOS Datagram Service (138) NETBIOS Name Service (137) NETBIOS Session Service (139) Network Time Protocol (123) Routing Information Protocol (520) SNMP (161) SNMPTRAP (162) SUN Remote Procedure Call (111) Syslog (514) TACACS-Database Service (65) Talk (517) Trivial File Transfer (69) Time (37) Who(513) X Display Manager Control Protocol (177)
对于ICMP协议可以指定ICMP报文类型,缺省为全部ICMP报文。指定ICMP报文类型 时,可以用数字(0~255),也可以用助记符。 表7-4 ICMP报文类型助记符 助记符 echo echo-reply fragmentneed-DFset host-redirect host-tos-redirect host-unreachable information-reply information-request net-redirect net-tos-redirect net-unreachable parameter-problem port-unreachable 意义 Type=8, Code=0 Type=0, Code=0 Type=3, Code=4 Type=5, Code=1 Type=5, Code=3 Type=3, Code=1 Type=16,Code=0 Type=15,Code=0 Type=5, Code=0 Type=5, Code=2 Type=3, Code=0 Type=12,Code=0 Type=3, Code=3
01-07 ACL配置
protocol-unreachable reassembly-timeout source-quench source-route-failed timestamp-reply timestamp-request ttl-exceeded Type=3, Code=2 Type=11,Code=1 Type=4, Code=0 Type=3, Code=5 Type=14,Code=0 Type=13,Code=0 Type=11,Code=0
Page 13 of 18
相关命令请参考《Quidway NetEngine20/20E 系列路由器 命令参考》。 这样,用户通过配置防火墙,添加适当的访问规则,就可以利用包过滤来对通过路由器 的IP包进行检查,从而过滤掉用户不希望通过路由器的包,起到保护网络安全的作用。
7.1.7 ACL对分片报文的支持
传统的包过滤并不处理所有IP报文分片,而是只对第一个(首片)分片报文进行匹配处 理,后续分片一律放行。这样,网络攻击者可能构造后续的分片报文进行流量攻击,就 带来了安全隐患。 产品的包过滤提供了对分片报文过滤的功能,包括:对所有的分片报文进行三层(IP 层)的匹配过滤;同时,对于包含扩展信息的ACL规则项(例如包含TCP/UDP端口号, ICMP类型),提供标准匹配和精确匹配两种匹配方式。标准匹配即三层信息的匹配,匹 配将忽略三层以外的信息;精确匹配则对所有的ACL项条件进行匹配,这就要求防火墙 必须记录首片分片报文的状态以获得完整的后续分片的匹配信息。缺省的功能方式为标 准匹配方式。 在ACL的规则配置项中,通过关键字fragment来标识该ACL规则仅对非首片分片报文有 效,而对非分片报文和首片分片报文则忽略此规则。而不包含此关键字的配置规则项对 所有报文均有效。 例如:
[Quidway-acl-basic-2001] rule deny source 202.101.1.0 0.0.0.255 fragment [Quidway-acl-basic-2001] rule permit source 202.101.2.0 0.0.0.255 [Quidway-acl-adv-3101] rule permit ip destination 171.16.23.1 0 fragment [Quidway-acl-adv-3101] rule deny ip destination 171.16.23.2 0
上述规则项中,所有项对非首片分片报文均有效;第一、三项对非分片和首片分片报文 是被忽略的,仅仅对非首片分片报文有效。
7.1.8 ACL生效时间段
时间段用于描述一个特殊的时间范围。用户可能有这样的需求:一些ACL规则需要在某 个或某些特定时间内生效,而在其他时间段则不利用它们进行包过滤,即通常所说的按 时间段过滤。这时,用户就可以先配置一个或多个时间段,然后在相应的rule规则下通过 时间段名称引用该时间段,从而实现基于时间段的ACL过滤。 实施基于时间段的ACL规则具体有两个步骤: 1. 创建一个时间段
time-range time-name { start-time to end-time days | from time1 date1 [ to time2 date2 ] } 2. 在ACL的rule命令中引用这个时间段的名称
在rule命令中使用参数time-range time-name引用该时间段。这样,该条ACL规则将只能 在指定时间段内有效,其他时间段则不生效。
7.1.9 ACL统计
NE20/20E路由器上的ACL提供统计功能。当创建的ACL用于防火墙、QoS、NAT和策略
01-07 ACL配置
Page 14 of 18
路由等特性中时,NE20/20E使能ACL统计功能后,路由器就能够基于ACL的编号进行统 计,并且提供命令可以查询ACL匹配成功次数和报文字节数。
7.2 配置访问控制列表
7.2.1 建立配置访问控制列表的任务
应用环境
访问控制列表可以用于很多的业务中,比如路由策略、包过滤等等,主要是为了区分不 同类别的报文,从而进行不同的处理。
前置任务
访问控制列表的配置都是用于某个业务中。在配置访问控制列表前没有要事先配置的任 务。
数据准备
在配置访问控制列表之前,需准备以下数据。 序号 1 2 3 数据 ACL起作用的时间段名,以及起始时间和结束时间 ACL的编号 ACL下的规则编号,以及确定报文类型的规则,具体包括协议、源地址和 源端口、目的地址和目的端口、ICMP类型和编码、IP优先级、tos值、是 否分片。 ACL的注释内容 ACL的步长
4 5
配置过程
要完成建立配置访问控制列表的任务,需要执行如下的配置过程。 序号 1 2 3 4 5 6 7 过程 创建ACL生效时间段 配置ACL描述信息 配置基本访问控制列表 配置高级访问控制列表 配置ACL的步长 使能ACL统计 检查配置结果
7.2.2 创建ACL生效时间段
请在路由器上进行以下配置。 步骤 1 执行命令system-view,进入系统视图。 步骤 2 执行命令time-range time-name { start-time to end-time days | from time1 date1 [ to time2
01-07 ACL配置
date2 ] },创建一个时间段。 ----结束 此配置任务用来创建一个时间段,可以创建多条名字相同的时间段。
Page 15 of 18
7.2.3 配置ACL描述信息
请在路由器上进行以下配置。 步骤 1 执行命令system-view,进入系统视图。 步骤 2 执行命令acl acl-number,进入ACL视图。 步骤 3 执行命令description text,创建ACL描述。 ----结束 ACL的描述信息表示该ACL规则的用途,长度不能超过127字符。
7.2.4 配置基本访问控制列表
请在路由器上进行以下配置。 步骤 1 执行命令system-view,进入系统视图。 步骤 2 执行命令acl [ number ] acl-number [ match-order { auto | config } ],创建一个基本访问 控制列表。 步骤 3 执行命令rule [ rule-id ] { deny | permit } [ source { source-ip-address soucer-wildcard | any } | time-range time-name | vpn-instance vpn-instance-name ] *,配置ACL规则。 ----结束
7.2.5 配置高级访问控制列表
请在路由器上进行以下配置。 步骤 1 执行命令system-view,进入系统视图。 步骤 2 执行命令acl [ number ] acl-number [ match-order { auto | config } ],创建一个高级访问 控制列表。 步骤 3 请根据不同情况进行以下配置。
l
l
l
当参数protocol为TCP、UDP时,创建ACL规则 rule [ rule-id ] { deny | permit } protocol [ destination { destination-ip-address destination-wildcard | any } | destinationport operator port-number | dscp dscp | fragment | logging | precedence precedence | source { source-ip-address source-wildcard | any } | source-port operator port-number | time-range time-name | tos tos | vpn-instance vpn-instance-name ]*。 当参数protocol为ICMP时,创建ACL规则 rule [ rule-id ] { deny | permit } protocol [ destination { destination-ip-address destination-wildcard | any } | dscp dscp | fragment | logging | icmp-type { icmp-name | icmp-type icmp-code } | precedence precedence | source { source-ip-address source-wildcard | any } | time-range time-name | tos tos | vpninstance vpn-instance-name ]* 当参数protocol为除TCP、UDP或ICMP之外的协议时,创建ACL规则 rule [ rule-id ] { deny | permit } protocol [ destination { destination-ip-address destination-wildcard | any } | dscp dscp | fragment | precedence precedence | source { source-ip-address source-wildcard | any } | time-range time-name | tos tos | vpn-instance vpn-instancename ]*
根据IP承载的不同协议类型,在路由器上配置不同的高级访问控制列表。对于不同的协
01-07 ACL配置
Page 16 of 18
议类型,有不同的参数组合,TCP和UDP有 [ source-port operator port-number ] [ destination-port operator port-number ] 可选项,其它协议类型没有。 ----结束
7.2.6 配置ACL的步长
请在路由器上进行以下配置。 步骤 1 执行命令system-view,进入系统视图。 步骤 2 执行命令acl [ number ] acl-number [ match-order { auto | config } ],进入ACL视图。 步骤 3 执行命令step step,配置ACL步长。 ----结束 调整ACL的配置时,请注意以下情况。
l l
undo step命令把步长改为默认设定,同时对规则编号进行重新排列。 ACL规则步长(step-value)的默认值为5。
7.2.7 使能ACL统计
请在路由器上进行以下配置。 步骤 1 执行命令system-view,进入系统视图。 步骤 2 执行命令acl statistic enable,使能ACL统计功能。 ----结束
7.2.8 检查配置结果
在完成上述配置后,在任一视图下执行下面的display命令,查看ACL的运行信息,检查 配置的效果。运行信息的详细解释请参考《Quidway NetEngine20/20E 系列路由器 命令 参考》。 操作 显示配置的访问控制列表规则 显示时间段 显示ACL统计计数 命令 display acl { acl-number | all } display time-range { time-name | all } display acl statistic [ acl- number ]
只有当创建的ACL使用在防火墙、QoS、NAT和策略路由等特性中时,display acl statistic命令才会有显 示信息。
在配置成功时,执行上面的命令,应能得到如下的结果。
l l l
能够查看到ACL的编号、规则数量、步长和规则的具体内容 能够查看当前时间段的配置和状态 ACL匹配成功的报文字节数
7.3 维护访问控制列表
01-07 ACL配置
Page 17 of 18
清除统计信息后,以前的统计信息将无法恢复,务必仔细确认。 在确认需要清除ACL的运行信息后,请在用户视图下执行下面的reset命令。 操作 清除访问规则计数器 清除ACL统计计数器 命令 reset acl counter { acl-number | all } reset acl statistic [ acl-number ]
7.4 ACL基本配置举例
组网需求
如图7-1所示,某公司通过一台路由器的接口GE1/0/0访问Internet,路由器与内部网通过 以太网接口GE2/0/0连接。各设备间均有可达路由。公司内部对外提供WWW、FTP和 Telnet服务,公司内部子网为129.38.1.0,其中,内部FTP服务器地址为129.38.1.1,内部 Telnet服务器地址为129.38.1.2,内部WWW服务器地址为129.38.1.3,通过配置路由器, 希望实现以下要求。
l l
外部网络中只有特定用户可以访问内部服务器 内部网络中只有特定主机和服务器可以访问外部网络
假定外部特定用户的IP地址为202.39.2.3。 图7-1 ACL配置案例组网图
配置思路
配置ACL的思路如下。
l l
定义ACL编号; 定义ACL的具体规则。
数据准备
完成该举例,需要准备如下数据。
01-07 ACL配置
l l l
Page 18 of 18
ACL编号 允许通过的源IP地址 允许特定用户访问的目的IP地址
配置步骤
步骤 1 创建编号为3001的访问控制列表。
步骤 2 配置ACL规则,允许特定主机访问外部网,允许内部服务器访问外部网。
[Router-acl-adv-3001] [Router-acl-adv-3001] [Router-acl-adv-3001] [Router-acl-adv-3001] rule rule rule rule permit permit permit permit ip ip ip ip source source source source 129.38.1.4 129.38.1.1 129.38.1.2 129.38.1.3 0 0 0 0
步骤 3 配置ACL规则,禁止所有IP包通过。
[Router-acl-adv-3001] rule deny ip [Router-acl-adv-3001] quit
步骤 4 创建编号为3002的访问控制列表。
[Router] acl number 3002
步骤 5 配置ACL规则,允许特定用户从外部网访问内部服务器。
[Router-acl-adv-3002] rule permit tcp source 202.39.2.3 0 destination 129.38.1.1 0 [Router-acl-adv-3002] rule permit tcp source 202.39.2.3 0 destination 129.38.1.2 0 [Router-acl-adv-3002] rule permit tcp source 202.39.2.3 0 destination 129.38.1.3 0
通过上述配置完成了ACL的创建。 ----结束
配置文件
# sysname Router # acl number 3001 rule 5 permit ip source 129.38.1.4 0 rule 10 permit ip source 129.38.1.1 0 rule 15 permit ip source 129.38.1.2 0 rule 20 permit ip source 129.38.1.3 0 rule 25 deny ip acl number 3002 rule 5 permit tcp source 202.39.2.3 0 destination 129.38.1.1 0 rule 10 permit tcp source 202.39.2.3 0 destination 129.38.1.2 0 rule 15 permit tcp source 202.39.2.3 0 destination 129.38.1.3 0 # return
标准ACL配置与调试
实验5 标准ACL配置与调试 1.实验目标 在这个实验中,我们将在Cisco 2611XM路由器上配置标准ACL。通过该实验我们可以进一步了解ACL的定义和应用,并且掌握标准ACL的配置和调试。 2.实验拓扑 实验的拓扑结构如图1所示。 图1 ACL实验拓扑结构 3.实验要求 根据图1,设计标准ACL,首先使得PC1所在的网络不能通过路由器R1访问PC2所在的网络,然后使得PC2所在的网络不能通过路由器R2访问PC1所在的网络。本实验各设备的IP地址分配如下: ⑴路由器R1: s0/0:192.168.100.1/24 fa0/0:10.1.1.1/8 ⑵计算机PC1: IP:10.1.1.2/8 网关:10.1.1.1 ⑶路由器R2: s0/0:192.168.100.2/24
fa0/0:172.16.1.1/16 ⑷计算机PC2: IP:172.16.1.2/16 网关:172.16.1.1 4.实验步骤 在开始本实验之前,建议在删除各路由器的初始配置后再重新启动路由器。这样可以防止由残留的配置所带来的问题。在准备好硬件以及线缆之后,我们按照下面的步骤开始进行实验。 ⑴按照图1进行组建网络,经检查硬件连接没有问题之后,各设备上电。 ⑵按照拓扑结构的要求,给路由器各端口配置IP地址、子网掩码、时钟(DCE端),并且用“no shutdown”命令启动各端口,可以用“show interface”命令查看各端口的状态,保证端口正常工作。 ⑶设置主机A和主机B的 IP地址、子网掩码、网关,完成之后,分别ping自己的网关,应该是通的。 ⑷为保证整个网络畅通,分别在路由器R1和R2上配置rip路由协议:在R1和R2上查看路由表分别如下: ①R1#show ip route Gateway of last resort is not set R 172.16.0.0/16 [120/1] via 192.168.100.2, 00:00:08, Serial0/0 C 192.168.100.0/24 is directly connected, Serial0/0 C 10.0.0.0/8 is directly connected, FastEthernet0/0 ②R2#show ip route Gateway of last resort is not set C 192.168.100.0/24 is directly connected, Serial0/0 R 10.0.0.0/8 [120/1] via 192.168.100.1, 00:00:08, Serial0/0 C 172.16.0.0/16 is directly connected, FastEthernet0/0 ⑸ R1路由器上禁止PC2所在网段访问:
访问控制列表原理及配置技巧(acl)
1、访问控制列表的作用。 作用就是过滤实现安全性具网络可有管理性 一、过滤,经过路由器的数据包 二、控制增长的网络IP数据 2、访问控制列表的分类及其特性。 一、标准列表 只基于ip协议来工作,只能针对数据包种的源地址来做审核,由于无法确定具体的目的,所以在使用的过程中,应靠近目的地址,接口应为距目的地址最近的接口,方向为out。 访问控制别表具有方向性,是以路由器做参照物,来定义out或者in out:是在路由器处理完以后,才匹配的条目 in:一进入路由器就匹配,匹配后在路由。 编号范围为:1-99 二、扩展列表 可以很据数据包中的源ip地址和目的ip地址及相应的应用协议来工作,在工作的过程中常用在距源或组源最近的路由器上, 接口为距源最近的接口,方向为in,可以审核三层和四层的信息。 编号范围:100-199 如何判断应使用哪种类型的访问控制列表 标准:针对目的,允许或拒绝特定的源时,使用标准的(当目的唯一,具有多个源访问时。) 扩展:针对源地址,允许或拒绝源去往特定的目的。或者在涉及四层信息的审核时通常都会采用扩展列表。(当源确定下来,具有单个源可有多个目的地址时。) 编号的作用: a,标识表的类型 b,列表的名字 1.访问列表最后一条都隐含拒绝所有,使用拒绝列表时,必须有条允许语句。 2.访问列表按顺序自上而下逐条匹配,当匹配后立即执行,不会继续匹配。
3.具有严格限制的条目应该放在列表前。 4.删除列表不能有选择删除,若no access-list X 的一个条目,则这个列表被删除。 5.当别表没有被应用时,则是个无效的别表,不会影响到数据的审核. 6.在书写列表的过程中,应先编辑列表,再应用到相应的接口或者策略上. 7.当列表过滤掉一个数据包时,会返回给源一个不可达的icmp包,然后丢掉或过滤掉包 8.访问列表在应用中,标准的应靠近目的,而扩展则靠近源或组源。 9.当路由器调用了一个没有条目的列表,则执行列表隐含条目,deny any (拒绝所有) 10.在某个接口,某个方向上只能调用一个列表。 11.访问控制列表不能过滤自身产生的数据。 书写列表的步骤: 1.选择要应用的列表类型 2.选择要书写的路由器并书写列表 3.选择路由器的接口来调用列表实现过滤 4.选择应用列表的方向 标准访问控制列表的配置 1.回顾标准列表的特性 2.标准列表的配置语法(通配符) 配置的过程中,熟记配置规则 1.标准列表:只基于ip协议工作,控制数据包的源地址 应用过程中:距目的地址近的路由器和接口 2.配置列表的步骤 1)选择列表的类型 2)选择路由器(是要在哪个上路由器上配置列表) 3.)选择要应用的接口(在哪个接口上调用) 4)判断列表的方向性(in和out:相对路由器) 3.标准列表的配置语法 1)在全局模式下,书写规则 access-list 列表编号permit/deny 源网络地址源地址的通配符 列表的编号:1-99 和1300 - 1999 通配符:零所对应的位即为精确匹配位。通常所讲的反子掩码 255.255.255.0 == 通配符=0.0.0.255 255.255.255.255 - 正掩码 ——————————— 反子网掩码 2)调用列表
ACL配置命令
ACL配置命令 12.2.2.1 access-list(extended) 命令:access-list [num] {deny | permit} icmp {{[sipaddr] [smask]} | any-source | {host-s ource [sipaddr]}} {{[dipaddr] [dmask]} | any-destination | {host-destination [dipaddr]}} [[i cmp-type] [[icmp-code]]] [precedence [prec]] [tos [tos]] access-list [num] {deny | permit} igmp {{[sipaddr] [smask]} | any-source | {host-source [sipaddr]}} {{[dipaddr] [dmask]} | any-destination | {host-destination [dipaddr]}} [[igmp-ty pe]] [precedence [prec]] [tos [tos]] access-list [num] {deny | permit} tcp {{[sipaddr] [smask]} | any-source | {host-source [sipaddr]}} [sport [sport]] {{[dipaddr] [dmask]} | any-destination | {host-destination [dipa ddr]}} [dport [dport]] [ack | fin | psh | rst | syn | urg] [precedence [prec]] [tos [tos]] access-list [num] {deny | permit} udp {{[sipaddr] [smask]} | any-source | {host-source [sipaddr]}} [sport [sport]] {{[dipaddr] [dmask]} | any-destination | {host-destination [dipa ddr]}} [dport [dport]] [precedence [prec]] [tos [tos]] access-list [num] {deny | permit} {eigrp | gre | igrp | ipinip | ip | [int]} {{[sipaddr] [smask]} | any-source | {host-source [sipaddr]}} {{[dipaddr] [dmask]} | any-destination | {host-destination [dipaddr]}} [precedence [prec]] [tos [tos]] no access-list [num] 功能:创建一条匹配特定ip协议或所有ip协议的数字扩展ip访问规则;如果此编号数字扩展访问列表不存在,则创建此访问列表。 参数: [num]为访问表标号,100-199;[sipaddr]为源ip地址,格式为点分十进制;[smask ]为源i p的反掩码,格式为点分十进制;[dipaddr]为目的ip地址,格式为点分十进制;[dmask]为目的ip的反掩码,格式为点分十进制,关心的位置0,忽略的位置1;[igmp-type],igmp的类型;[icmp-type],icm p的类型;[icmp-code],icmp的协议编号;[prec],ip优先级,0-7;[tos],tos值,0-15;[sport],源端口号,0-65535;[dport],目的端口号,0-65535; 命令模式:全局配置模式 缺省情况:没有配置任何的访问列表。 使用指南:当用户第一次指定特定[num]时,创建此编号的acl,之后在此acl中添加表项。 举例:创建编号为110的数字扩展访问列表。拒绝icmp报文通过,允许目的地址为192.168.0.1目的端口为32的udp包通过。
ACL配置规范
ACL配置规范: ACL分类: 第一类是:基本ACL 1.标准ACL的编号范围:1-99和1300-1999; 2.标准ACL只匹配源ip地址 3.ACL的匹配顺序为从上往下(ACE序号从小到大)匹配ACE条目,若匹配对应的ACE条目后,就执行该ACE条目的行为(允许/拒绝),不会再往下匹配其他ACE条目。 4.ACL最后隐含一体deny any的ACE条目,会拒绝所有流量。若是禁止某网段访问,其他网段均放通,则应该在拒绝流量的ACE配置完成后,再加一条permit any的ACE条目,用来放行其他流量。 第二类是:扩展ACL 1.扩展ACL的编号范围:100-199和2000-2699。 2.标准ACL只匹配源ip地址,扩展ACL可以匹配数据流的五大元素(源ip地址、目的ip地址、源端口、目的端口、协议号) 3.ACL的匹配顺序为从上往下(ACE序号从小到大)匹配ACE条目,若匹配对应的ACE条目后,就执行该ACE条目的行为(允许/拒绝),不会再往下匹配其他ACE条目。 4.ACL最后隐含一体deny any的ACE条目,会拒绝所有流量。若是禁止某网段访问,其他网段均放通,则应该在拒绝流量的ACE配置完成后,再加一条permit any的ACE条目,用来放行其他流量。 ACL规划: 标准ACL总体规划如下: ACL范围编号用户备注 2000-2099 业务设备访问控制通用ACL 2100-2199 数据存储访问控制通用ACL 2200-2299 测试用户访问控制通用ACL 2300-2399 管理用户访问控制通用ACL 2400-2500 预留
注释:通用ACL即是一类用户的接口都调用的ACL. 扩展ACL总体规划如下: ACL范围编号用户备注 2000-2099 业务设备访问控制通用ACL 2100-2199 数据存储访问控制通用ACL 2200-2299 测试用户访问控制通用ACL 2300-2399 管理用户访问控制通用ACL 2400-2500 预留 ACL规范: ACL命名规范: 为了便于ACL的管理和检索,新增ACL命名规范需要统一制定规范,命名规范如下: 公式:XXX_YY_Z 各字段含义如下: ?XXX:所属部门名称单字的首拼音大写,如委办局则为WBJ; ?YY:区分不同的部门,如果为VLAN_10使用,则XX字段为10。 ?Z:在默认情况下是数字0,如果遇到XXX_XX都一致时,X就从1往上加。 ACL描述规范: 为了便于查看ACL的用途,需要增加ACL描述,描述规范如下: 公式:XXX_YYYYY ?XXX:所属部门名称首字的首拼音大写 ?YYYYY:所实现的功能,最多20个字符 举例说明:委办局的不能访问管理平台的ACL,则描述为 WBJ_JinZhiFangWenGuanLiPingTai ACL配置规范: 为配置ACL形成统一规范,便于管理,制定规范如下: ?启用ACL时,必须按照规划的ACL,编写Number、Name和description;
ACL配置实验报告
南京信息工程大学实验(实习)报告 实验(实习)名称ACL的配置实验(实习)日期得分指导教师刘生计算机专业计科年级 09 班次 03 姓名童忠恺学号 20092308916 1.实验目的 (1)了解路由器的ACL配置与使用过程,会运用标准、扩展ACL建立基于路由器的防火墙,保护网络边界。 (2)了解路由器的NA T配置与使用过程,会运用NA T保护网络边界。 2.实验内容 2.1 ACL配置 (1)实验资源、工具和准备工作。Catalyst2620路由器2台,Windows 2000客户机2台,Windows 2000 Server IIS服务器2台,集线器或交换机2台。制作好的UTP网络连接(双端均有RJ-45头)平行线若干条、交叉线(一端568A,另一端568B)1条。网络连接和子网地址分配可参考图8.39。 图8.39 ACL拓扑图 (2)实验内容。设置图8.39中各台路由器名称、IP地址、路由协议(可自选),保存配置文件;设置WWW服务器的IP地址;设置客户机的IP地址;分别对两台路由器设置扩展访问控制列表,调试网络,使子网1的客户机只能访问子网2的Web服务80端口,使子网2的客户机只能访问子网1的Web服务80端口。 3.实验步骤 按照图8.39给出的拓扑结构进行绘制,进行网络互连的配置。 ①配置路由器名称、IP地址、路由协议(可自选),保存配置文件。 ②设置WWW服务器的IP地址。设置客户机的IP地址。 ③设置路由器扩展访问控制列表,调试网络。使子网1的客户机只能访问子网2的Web服务80端口, 使子网2的客户机只能访问子网1的Web服务80端口。 ④写出各路由器的配置过程和配置命令。 按照图8.38给出的拓扑结构进行绘制,进行网络互连的配置。参考8.5.7节内容。写出各路由器的配置过程和配置命令。
ACL配置命令总结
ACL配置命令总结 A.标准ACL 1.access-list access-list-number {deny|permit} {source[source-wildcard] | any} [log] 创建ACL 2.ip access-group access-list-number in/out 在接口应用ACL 3.no access-list access-list-number 删除acl 4.no ip access-group access-list-number in/out 取消在接口应用ACL 5.[no] ip access-list standarded 名字 [no] Deny …… Permit ….. 创建/删除命名的acl Ip access-group 名字in/out 6.show access-lists 查看acl 7.no number 删除行 B.扩展ACL 1.扩展的编辑功能: 例子:ip access-list extended 100 15 permit ……. 插入编号15 2.Ip access-list resequence access-list-number start increase重新编号,有开始编号以及步长值
3.Established使用:只允许带有established的TCP包进入同理有:access-list 100 permit icmp any any echo-replay 即是单向ping有效 4.使用acl限制远程登录 Access-list 1 permit ip地址 Line vty 0 4 Access-class 1 in C.反射ACL 1.ip access-list extended out-acl Permit ip any any reflect out-ip 创建反射 Exit Ip access-list extended in-acl Evaluate out-ip 评估反射列表 Int s0/0/1 Ip access-group out-acl out 外出时叫做反射 Ip access-group in-acl in 进入时叫做评估
计算机网络实验报告(7)访问控制列表ACL配置实验
一、实验项目名称 访问控制列表ACL配置实验 二、实验目的 对路由器的访问控制列表ACL 进行配置。 三、实验设备 PC 3 台;Router-PT 3 台;交叉线;DCE 串口线;Server-PT 1 台; 四、实验步骤 标准IP访问控制列表配置: 新建Packet Tracer 拓扑图 (1)路由器之间通过V.35 电缆通过串口连接,DCE 端连接在R1 上,配置其时钟频率64000;主机与路由器通过交叉线连接。 (2)配置路由器接口IP 地址。 (3)在路由器上配置静态路由协议,让三台PC 能够相互Ping 通,因为只有在互通的前提下才涉及到方控制列表。 (4)在R1 上编号的IP 标准访问控制。 (5)将标准IP 访问控制应用到接口上。 (6)验证主机之间的互通性。 扩展IP访问控制列表配置: 新建Packet Tracer 拓扑图 (1)分公司出口路由器与外路由器之间通过V.35 电缆串口连接,DCE 端连接在R2 上,配置其时钟频率64000;主机与路由器通过交叉线连接。 (2)配置PC 机、服务器及路由器接口IP 地址。 (3)在各路由器上配置静态路由协议,让PC 间能相互ping 通,因为只有在互通的前提下才涉及到访问控制列表。 (4)在R2 上配置编号的IP 扩展访问控制列表。 (5)将扩展IP 访问列表应用到接口上。 (6)验证主机之间的互通性。 五、实验结果 标准IP访问控制列表配置: PC0: PC1:
PC2:
PC1ping:
PC0ping: PC1ping: 扩展IP 访问控制列表配置:PC0: Server0:
acl配置实验
ACL配置实验 一、实验目的: 深入理解包过滤防火墙的工作原理 二、实验容: 练习使用Packet Tracer模拟软件配置ACL 三、实验要求 A.拓扑结构如下图所示,1,2,3是主机,4是服务器 1、配置主机,服务器与路由器的IP地址,使网络联通; 2、配置标准ACL,使得主机1可以访问主机3和4,主机2不能访问主机3和4。使该配置生效,然后再删除该条ACL; 3、配置扩展ACL,使得主机1可以访问主机4的www服务,主机2不能访问主机4的www服务,4个主机间相互能够ping通。使该配置生效,然后再删除该条ACL; B.拓扑结构如下图所示(要求:跟拓扑上的ip地址配置不同)
1、配置ACL 限制远程登录(telnet)到路由器的主机。 路由器R0只允许192.168.2.2 远程登录(telnet)。 2、配置ACL 禁止192.168.3.0/24 网段的icmp 协议数据包通向与192.168.1.0/24 网段。 3、配置ACL 禁止特点的协议端口通讯。 禁止192.168.2.2 使用www (80)端口访问192.168.1.0 禁止192.168.2.3 使用dns (53)端口访问192.168.1.0 3、验证ACL 规则,检验并查看ACL。 四、实验步骤 1、配置主机,服务器与路由器的IP地址,使网络联通;
PC0 ping PC2
PC1 ping 服务器 服务器ping PC0
2、配置标准ACL,使得主机1可以访问主机3和4,主机2不能访问主机3和4。使该配置生效,然后再删除该条ACL;
Router>en Router#conf t Enter configuration commands, one per line. End with CNTL/Z. Router(config)#access-list 1 deny 192.168.1.2 Router(config)#access-list 1 permit any Router(config)#int f 0/1 Router(config-if)#ip access-group 1 out Router(config-if)#exit Router(config)#exit pc1 ping pc2和服务器
访问控制列表ACL配置-实验报告
课设5:访问控制列表ACL的配置 【实验目的】: 1.熟悉掌握网络的基本配置连接 2.对网络的访问性进行配置 【实验说明】: 路由器为了过滤数据包,需要配置一系列的规则,以决定什么样的数据包能够通过,这些规则就是通过访问控制列表ACL定义的。访问控制列表是偶permit/deny语句组成的一系列有顺序的规则,这些规则根据数据包的源地址、目的地址、端口号等来描述。 【实验设备】: 【实验过程记录】:
步骤1:搭建拓扑结构,进行配置 (1)搭建网络拓扑图: (2 虚拟机名IP地址Gateway PC0 PC1 PC2 PC3 PC4 上节课的实验已经展示了如何配置网关和IP地址,所以本次实验将不再展示,其配置对应数据见上表。 (3)设置路由信息并测试rip是否连通
三个路由器均做route操作。 对rip结果进行测试,测试结果为连通。
(4)连通后对访问控制列表ACL进行配置 代码如下: Route(config)#route rip Route(config-route)#net Route(config-route)#net Route(config-route)#exit Route(config)#access-list 1 deny Route(config)#access-list 1 permit any Route(config)#int s3/0 Route(config-if)#ip access-group 1 in Route(config-if)#end
步骤2:检验线路是否通畅 将访问控制列表ACL配置完成后点开PC0进行ping操作,ping 。 检验结果:结果显示目的主机不可达,访问控制列表ACL配置成功。
ACL详解
A公司的某位可怜的网管目前就面临了一堆这样的问题。A公司建设了一个企业网,并通过一台路由器接入到互联网。在网络核心使用一台基于IOS的多层交换机,所有的二层交换机也为可管理的基于IOS的交换机,在公司内部使用了VLAN技术,按照功能的不同分为了6个VLAN。分别是网络设备与网管(VLAN1,10.1.1.0/24)、内部服务器(VLAN2)、Internet 连接(VLAN3)、财务部(VLAN4)、市场部(VLAN5)、研发部门(VLAN6),出口路由器上Fa0/0接公司内部网,通过s0/0连接到Internet。每个网段的三层设备(也就是客户机上的缺省网关)地址都从高位向下分配,所有的其它节点地址均从低位向上分配。该网络的拓朴如下图所示: 自从网络建成后麻烦就一直没断过,一会儿有人试图登录网络设备要捣乱;一会儿领导又在抱怨说互联网开通后,员工成天就知道泡网;一会儿财务的人又说研发部门的员工看了不该看的数据。这些抱怨都找这位可怜的网管,搞得他头都大了。那有什么办法能够解决这些问题呢?答案就是使用网络层的访问限制控制技术――访问控制列表(下文简称ACL)。 那么,什么是ACL呢?ACL是种什么样的技术,它能做什么,又存在一些什么样的局限性呢? ACL的基本原理、功能与局限性 网络中常说的ACL是Cisco IOS所提供的一种访问控制技术,初期仅在路由器上支持,近些年来已经扩展到三层交换机,部分最新的二层交换机如2950之类也开始提供ACL的支持。只不过支持的特性不是那么完善而已。在其它厂商的路由器或多层交换机上也提供类似的技术,不过名称和配置方式都可能有细微的差别。本文所有的配置实例均基于Cisco IOS的ACL进行编写。 基本原理:ACL使用包过滤技术,在路由器上读取第三层及第四层包头中的信息如源地址、目的地址、源端口、目的端口等,根据预先定义好的规则对包进行过滤,从而达到访问控制的目的。 功能:网络中的节点资源节点和用户节点两大类,其中资源节点提供服务或数据,用户节点访问资源节点所提供的服务与数据。ACL的主要功能就是一方面保护资源节点,阻止非法用户对资源节点的访问,另一方面限制特定的用户节点所能具备的访问权限。 配置ACL的基本原则:在实施ACL的过程中,应当遵循如下两个基本原则: 最小特权原则:只给受控对象完成任务所必须的最小的权限 最靠近受控对象原则:所有的网络层访问权限控制 局限性:由于ACL是使用包过滤技术来实现的,过滤的依据又仅仅只是第三层和第四层包头中的部分信息,这种技术具有一些固有的局限性,如无法识别到具体的人,无法识别到应用内部的权限级别等。因此,要达到end to end的权限控制目的,需要和系统级及应
Cisco_ACL配置
1 / 9ACL的使用 ACL的处理过程: 1、语句排序 一旦某条语句匹配,后续语句不再处理。 2、隐含拒绝 如果所有语句执行完毕没有匹配条目默认丢弃数据包 要点: ACL能执行两个操作:允许或拒绝。语句自上而下执行。一旦发现匹配,后续语句就不再进行处理---因此先后顺序很重要。如果没有找到匹配,ACL末尾不可见的隐含拒绝语句将丢弃分组。一个ACL应该至少有一条permit语句;否则所有流量都会丢弃,因为每个ACL末尾都有隐藏的隐含拒绝语句。 如果在语句结尾增加deny any的话可以看到拒绝记录 Cisco ACL有两种类型一种是标准另一种是扩展,使用方式习惯不同也有两种方式一种是编号方式,另一种是命名方式。 示例: 编号方式 标准的ACL使用 1 ~ 99 以及1300~1999之间的数字作为表号,扩展的ACL使用100 ~ 199以及2000~2699之间的数字作为表号 一、标准(标准ACL可以阻止来自某一网络的所有通信流量,或者允许来自某一特定网络的所有通信流量,或者拒绝某一协议簇(比如IP)的所有通信流量。) 允许172.17.31.222通过,其他主机禁止 Cisco-3750(config)#access-list 1(策略编号)(1-99、1300-1999)permit host 172.17.31.222禁止172.17.31.222通过,其他主机允许 Cisco-3750(config)#access-list 1 deny host 172.17.31.222 Cisco-3750(config)#access-list 1 permit any 允许172.17.31.0/24通过,其他主机禁止 Cisco-3750(config)#access-list 1 permit 172.17.31.0 0.0.0.254(反码255.255.255.255减去子网掩码,如172.17.31.0/24的255.255.255.255—255.255.255.0=0.0.0.255) 禁止172.17.31.0/24通过,其他主机允许 Cisco-3750(config)#access-list 1 deny 172.17.31.0 0.0.0.254 Cisco-3750(config)#access-list 1 permit any 二、扩展(扩展ACL比标准ACL提供了更广泛的控制范围。例如,网络管理员如果希望做到“允许外来的Web通信流量通过,拒绝外来的FTP和Telnet等通信流量”,那么,他可以使用扩展ACL来达到目的,标准ACL不能控制这么精确。) 允许172.17.31.222访问任何主机80端口,其他主机禁止 Cisco-3750(config)#access-list 100 permit tcp host 172.17.31.222(源)any(目标)eq www 允许所有主机访问172.17.31.222主机telnet(23)端口其他禁止 Cisco-3750(config)#access-list 100(100-199、2000-2699)permit tcp any host 172.17.31.222 eq 远程配置业务与方案承接 【价格实惠 帮您解决工作上的问题】 https://www.360docs.net/doc/c318451957.html,/UL4GXf
13-ACL配置 MyPower S4330 V1.0 系列交换机配置手册
ACL配置
本手册著作权属迈普通信技术有限公司所有,未经著作权人书面许可,任何单位或个人不得以任何方式摘录、复制或翻译。 侵权必究。 策划:研究院资料服务处 * * * 迈普通信技术有限公司 地址:成都市高新区九兴大道16号迈普大厦 技术支持热线:400-886-8669 传真:(+8628)85148948 E-mail:support@https://www.360docs.net/doc/c318451957.html, 网址:https://www.360docs.net/doc/c318451957.html, 邮编:610041 版本:2011年 8月v1.0版
目录 第1章 ACL配置 (1) 1.1 ACL简介 (1) 1.1.1 ACL的匹配顺序 (1) 1.1.2 支持的ACL (2) 1.2 配置时间段 (3) 1.2.1 配置过程 (3) 1.2.2 配置举例 (4) 1.3 定义基本ACL (5) 1.3.1 配置过程 (5) 1.3.2 配置举例 (6) 1.4 定义扩展ACL (6) 1.4.1 配置过程 (6) 1.4.2 配置举例 (8) 1.5 定义二层ACL (9) 1.5.1 配置二层ACL (9) 1.5.2 配置举例 (10) 1.6 激活ACL (10) 1.6.1 激活ACL (10) 1.6.2 配置举例 (11) 1.7 ACL的显示和调试 (12)
第1章ACL配置 1.1 ACL简介 ACL(Access Control List,访问控制列表)主要用来实现流识别功能。网络设备为了过滤数据包,需要配置一系列的匹配规则,以识别需要过滤的对象。在识别出特定的对象之后,才能根据预先设定的策略允许或禁止相应的数据包通过。 ACL根据一系列的匹配条件对数据包进行分类,这些条件可以是数据包的源地址、目的地址、端口号等。交换机根据ACL中指定的条件来检测数据包,从而决定是转发还是丢弃该数据包。 由ACL定义的数据包匹配规则,还可以被其它需要对流进行区分的场合引用,如QoS 中流分类规则的定义。 根据应用目的,可将ACL 分为下面几种: ●基本ACL:只根据源IP地址制定规则。 ●扩展ACL:根据数据包的源IP地址信息、目的IP地址信息、IP承载的协议类型、协议特性等三、四层信息制定规则。 ●二层ACL:根据源MAC地址、目的MAC地址、VLAN优先级、二层协议类型等二层信息制定规则。 1.1.1 ACL的匹配顺序 由于同一条ACL可以配置多个子项,所以就出现了匹配顺序的问题。ACL支持两种匹配顺序: ●配置顺序:根据配置顺序匹配ACL规则。 ●自动排序:根据“深度优先”规则匹配ACL规则。 深度优先指的是最长的子项先匹配。
ACL IP访问控制列表配置实验
IP访问控制列表配置 目录: 第一个任务的:验证测试 (3) 第二个任务的:交换机的验证测试 (6) 第三个任务的:扩展访问验证测试 (10) 最后---总结: (12) ▲表示重要的 一、IP标准访问控制列表的建立及应用 工作任务 你是学校网络管理员,学校的财务处、教师办公室和校办企业财务科分属不同的3个网段,三个部门之间通过路由器进行信息传递,为了安全起见,学校领导要求你对网络的数据流量进行控制,实现校办企业财务科的主机可以访问财务处的主机,但是教师办公室主机不能访问财务处主机。 首先对两路由器进行基本配置,实现三个网段可以相互访问;然后对距离控制目的地址较近的路由器RouterB配置IP标准访问控制列表,允许192.168.1.0网段(校办企业财务科)主机发出的数据包通过,不允许192.168.2.0网段(教师办公室)主机发出的数据包通过,最后将这一策略加到路由器RouterB的Fa
0端口,如图所示。 第1步:基本配置 路由器RouterA: R >enable R #configure terminal R(config)#hostname RouterA RouterA (config)# line vty 0 4 VTY是路由器的远程登陆的虚拟端口,04表示可以同时打开5个会话,line vty 04是进入VTY端口,对VTY端口进行配置,比如说配置密码, RouterA (config-line)#login RouterA (config-line)#password 100 RouterA (config-line)#exit RouterA (config)# enable password 100 RouterA (config)#interface fastethernet 0/0 RouterA (config-if)#ip address 192.168.1.1 255.255.255.0 RouterA (config-if)#no shutdown RouterA (config-if)#Exit RouterA (config)#interface s0/3/0 RouterA (config-if)#ip address 192.168.12.1 255.255.255.0 RouterA (config-if)#no shutdown RouterA (config-if)#Exit RouterA (config)#interface s0/3/0 RouterA (config-if)#ip address 192.168.2.1 255.255.255.0 RouterA (config-if)#no shutdown RouterA (config-if)#Exit RouterA (config)#ip route 192.168.3.0 255.255.255.0 192.166.12.2 路由器RouterB: R >enable R #configure terminal R(config)#hostname RouterB RouterB (config)# line vty 0 4 RouterB (config-line)#login RouterB (config-line)#password 100 RouterB (config-line)#exit RouterB (config)# enable password 100 RouterB (config)#interface fastethernet 0/0 RouterB (config-if)#ip address 192.168.3.1 255.255.255.0 RouterB (config-if)#no shutdown RouterB (config-if)#Exit RouterB (config)#interface s0/3/1 RouterB (config-if)#ip address 192.168.12.2 255.255.255.0
标准ACL实验
标准ACL实验: 要求:配置标准ACL禁止PC3、PC4、PC5、PC6访问PC1和PC2。 1.绘制拓扑结构图 2.配置路由器R0的端口ip地址、串口时钟和动态路由协议Router>enable Router#configure terminal Router(config)#hostname R0 R0(config)#interface FastEthernet0/0 R0(config-if)#ip address 192.168.10.1 255.255.255.0 R0(config-if)#no shutdown R0(config-if)#exit R0(config)#interface FastEthernet1/0 R0(config-if)#ip address 192.168.20.1 255.255.255.0 R0(config-if)#no shutdown R0(config-if)#exit R0(config)#interface Serial2/0 R0(config-if)#ip address 172.16.1.1 255.255.255.0 R0(config-if)#clock rate 64000 R0(config-if)#no shutdown
R0(config-if)#exit R0(config)#interface Serial3/0 R0(config-if)#ip address 172.16.2.2 255.255.255.0 R0(config-if)#clock rate 64000 R0(config-if)#no shutdown R0(config-if)#exit R0(config)#router rip R0(config-router)#network 192.168.10.0 R0(config-router)#network 192.168.20.0 R0(config-router)#network 172.16.0.0 R0(config-router)#exit R0(config)# 3.配置路由器R1的端口ip地址、串口时钟和动态路由协议Router>enable Router#configure terminal Router(config)#hostname R1 R1(config)#interface FastEthernet0/0 R1(config-if)#ip address 192.168.30.1 255.255.255.0 R1(config-if)#no shutdown R1(config-if)#exit R1(config)#interface FastEthernet1/0 R1(config-if)#ip address 192.168.40.1 255.255.255.0 R1(config-if)#no shutdown R1(config-if)#exit R1(config)#interface Serial2/0 R1(config-if)#ip address 172.16.1.2 255.255.255.0 R1(config-if)#no shutdown R1(config-if)#exit R1(config)#router rip R1(config-router)#network 192.168.30.0 R1(config-router)#network 192.168.40.0 R1(config-router)#network 172.16.0.0 R1(config-router)#exit R1(config)#
ACL访问控制列表配置
ACL的使用 ACL的处理过程: 1.它是判断语句,只有两种结果,要么是拒绝(deny),要么是允许(permit) 2.语句顺序 按照由上而下的顺序处理列表中的语句 3. 语句排序 处理时,不匹配规则就一直向下查找,一旦某条语句匹配,后续语句不再处理。 4.隐含拒绝 如果所有语句执行完毕没有匹配条目默认丢弃数据包,在控制列表的末尾有一条默认拒绝所有的语句,是隐藏的(deny) 要点: 1.ACL能执行两个操作:允许或拒绝。语句自上而下执行。一旦发现匹配,后续语句就不再进行处理---因此先后顺序很重要。如果没有找到匹配,ACL末尾不可见的隐含拒绝语句将丢弃分组。一个ACL应该至少有一条permit语句;否则所有流量都会丢弃,因为每个ACL末尾都有隐藏的隐含拒绝语句。 2.如果在语句结尾增加deny any的话可以看到拒绝记录 3.Cisco ACL有两种类型一种是标准另一种是扩展,使用方式习惯不同也有两种方式一种是编号方式,另一种是命名方式。 示例: 编号方式 标准的ACL使用1 ~ 99以及1300~1999之间的数字作为表号,扩展的ACL使用100 ~ 199以及2000~2699之间的数字作为表号 一、标准(标准ACL可以阻止来自某一网络的所有通信流量,或者允许来自某一特定网络的所有通信流量,或者拒绝某一协议簇(比如IP)的所有通信流量。) 允许172.17.31.222通过,其他主机禁止 Cisco-3750(config)#access-list 1(策略编号)(1-99、1300-1999)permit host 172.17.31.222 禁止172.17.31.222通过,其他主机允许 Cisco-3750(config)#access-list 1 deny host 172.17.31.222 Cisco-3750(config)#access-list 1 permit any 允许172.17.31.0/24通过,其他主机禁止 Cisco-3750(config)#access-list 1 permit 172.17.31.0 0.0.0.254(反码255.255.255.255减去子网掩码,如172.17.31.0/24的255.255.255.255—255.255.255.0=0.0.0.255) 禁止172.17.31.0/24通过,其他主机允许 Cisco-3750(config)#access-list 1 deny 172.17.31.0 0.0.0.254 Cisco-3750(config)#access-list 1 permit any 二、扩展(扩展ACL比标准ACL提供了更广泛的控制范围。例如,网络管理员如果希望做到“允许外来的Web通信流量通过,拒绝外来的FTP和Telnet等通信流量”,那么,他可以使用扩展ACL来达到目的,标准ACL不能控制这么精确。) 允许172.17.31.222访问任何主机80端口,其他主机禁止 Cisco-3750(config)#access-list 100 permit tcp host 172.17.31.222(源)any(目标)eq www