第12章访问控制列表配置
知识要点:
使用防火墙是保护网络安全的主要措施之一,Cisco路由器的访问控制列表配置功能使其可作为包过滤防火墙使用。
访问列表分为基本访问列表和扩展访问列表,前者基于源IP地址对数据包进行过滤,后者基于源、目标IP地址和协议等对数据包进行过滤。
访问列表要绑定在路由器的接口上才能生效,在一个端口的一个方向上,只能绑定一条访问列表。
基于代理的防火墙能提供比包过滤更高的安全性,它能够隐藏内部网络的IP地址。
PIX防火墙也是基于代理的防火墙,且它使用自己的操作系统PIX,其安全防护能力较强。
配合路由器的包过滤与PIX的代理功能,设计两层或三层防火墙系统,是一种较为典型的Intranet防火墙安全系统构架。
12.1路由器对网络的安全保护
计算机网络提供了本地或远程共享和传输数据的能力。也正因为如此,网络又面临安全风险,因为数据可能被窃取、篡改或删除。
对于一个Intranet,安全风险可能来自Intranet内部,也可能来自外部。对来自外部的风险,首选防火墙技术进行防范。
12.1.1防火墙
防火墙的名字非常形象,在网络中的地位如它的名字所示,它是一道安全之墙。根据网络安全等级和可信任关系,将网络划分成一些相对独立的子网,两侧间的通信受到防火墙的检查控制。它可以根据既定的安全策略允许特定的数据包通过,同时把安全策略不允许的数据包隔离开来。
1.防火墙在网络中的位置与作用
根据防火墙的物理位置,可把其分为外部防火墙和内部防火墙。外部防火墙位于Intranet与Internet之间或Intranet与Intranet之间,内部防火墙则位于Intranet内部各个子网之间。
防火墙无法防止来自防火墙内侧的攻击。
防火墙对各种已知类型攻击的防御有赖于防火墙的正确的配置;对各种最新的攻击类型的防御则取决于防火墙软件更新的速度和相应的配置更新的速度。
防火墙一方面阻止来自Internet的对Intranet的未授权或未验证的访问,另一方面允许内部网络的用户对Internet进行访问,还可作为访问的权限控制关口,如只允许Intranet内的特定的人可以出访。防火墙同时还具有一些其他功能,如进行身份鉴别,对信息进行加密处理等。
防火墙不仅可用于对Internet的连接防护,也可以用来在Intranet之间和Intranet内部保护重要的设备和数据。对受保护数据的访问都必须经过防火墙的过滤,即使该访问是来自Intranet 内部。防火墙保护的最小单元可以是单台主机,这时在该机上安装防火墙软件。
当外部网络的用户访问网内资源时,要经过防火墙;而内部网络的用户访问网外资源时,也会经过防火墙。这样,防火墙就起到了一个“滤网”的作用,可以将需要禁止的数据包在这里过滤掉。
2. 网络层防火墙与应用层防火墙
通常可把防火墙分为两大类:网络层防火墙和应用层防火墙。
1)网络层防火墙
网络层防火墙主要获取数据包的包头信息,如协议号、源地址、目的地址和目的端口等,或者直接获取包头的一段数据,经过与既定策略比较后确定数据包的取舍。网络层防火墙主要的功能如下:
包过滤(Packet Filter)对每个数据包按照用户所定义规则进行过滤,如比较数据包的源地址、目的地址是否符合规则等。包过滤不管会话的状态,也不分析数据。如用户规定允许端口是80或者大于等于1 024的数据包通过,则只要在端口符合该条件,数据包便可以通过此防火墙。
代理(Proxy)通常情况下指的是地址代理,一般位于一台代理服务器或路由器上。它的机制是将网内主机的IP地址和端口替换为服务器或路由器的IP地址和端口。例如,一个公司内部网络的地址是192.168.33.0网段,而公司对外的合法IP地址是201.88.16.1~201.88.160.6,则内部的主机192.168.33.10通过浏览器以WWW方式访问Internet上的某一WWW服务器时,在通过代理服务器后,IP地址和端口可能为201.88.16.2:4001。在代理服务器中维护着一张地址对应表,当外部网络的WWW服务器返回结果时,代理服务器会将此IP地址和端口转化为内部网络的IP 地址和端口80。代理服务器阻止了所有的外部网络的主机与内部网络之间的直接访问,所有的通信都必须通过它来“代理”实现。这样就可起到对特定资源的保护作用。
网络地址转换(NAT)基于端口的NAT的原理和安全性与代理服务器类似。
2)应用层防火墙
应用层防火墙则对整个信息流进行分析,然后按既定策略确定数据包的取舍。
常见的应用层防火墙按作用机制大致有以下两种:
应用网关(ApplicationGateway)检验通过此网关的所有数据包中的应用层的数据。如FTP应用网关,对于连接的Client端来说是一个FTP Server,对于Server端来说是一个FTP Client。连接中传输的所有FTP数据包都必须经过此FTP应用网关。
电路级网关(Circuit-LevelGateway)此电路指虚电路。在TCP发起一个连接之前,验证该会话的可靠性。只有在握手被验证为合法且握手完成之后,才允许数据包的传输。一个会话建立后,此会话的信息被写入防火墙维护的有效连接表中。数据包只有在它所含的会话信息符合该有效连接表中的某一入口时,才被允许通过。会话结束时,该会话在表中的入口被删掉。电路级网关只对
连接在会话层进行验证。一旦验证通过,在该连接上可以运行任何一个应用程序。以FTP为例,电路层网关在一个FTP会话开始时,在TOP层对此会话进行验证。如果验证通过,则所有的数据都可以通过此连接进行传输,直至会话结束。
3.硬件防火墙与软件防火墙
防火墙产品按形态又可分为硬件防火墙和软件防火墙。防火墙的功能都是靠软件来实现,所谓硬件防火墙是指软件固化在存储器芯片中的防火墙;所谓软件防火墙则是指需要安装在通用计算机上才能使用的防火墙软件。
12.1.2路由器的防火墙功能
路由器的主要功能是发现到达目标网络的路径,但也可用做防火墙,算是一种功能较为简单的硬件防火墙。一般路由器的防火墙功能主要是基于包过滤和网络地址转换NAT。
此外,还能提供其他一些安全防护功能。
Cisco路由器的网络安全防护功能主要有:
AAA服务验证(Authentication)、授权(Authorization)和记账(Accounting)。
安全服务器协议RADIUSRADIUS是一种分布式客户服务器系统,通过AAA实现网络访问安全,禁止未授权的访问。
验证协议在PPP线路上支持CHAP和PAP 等验证。
包过滤用访问控制列表实现,允许指定可以通过(或禁止通过)路由器的数据包类型。
地址转换隐藏内部IP地址。
事件日志可用于记录系统安全方面事件,实时跟踪非法侵入。
相邻路由器验证确保交换所交换路由信息的可靠性。
终端访问用户安全命令行分级保护,特权用户口令,防止未授权用户的非法侵入。
本章主要介绍Cisco路由器的包过滤功能和Cisco PIX防火墙。
12.2访问列表配置
路由器的包过滤是通过配置访问列表来实现的。路由器配置访问列表可以控制网络流量,按规则过滤数据报文,提高网络的安全性。
12.2.1两种访问列表
当外部数据包进或出路由器的某个端口时,路由器首先检查该数据包是否可以传送出去,该端口中定义了数据包的过滤规则,如果包过滤规则不允许该数据包通过,则路由器将丢掉该数据包;否则该数据包通过路由器。
包过滤规则称为访问列表。访问列表有两种,对于IP,IPX或Apple Talk网络,其过滤规则有差异,IP网络的称为IP 访问列表(Access List),包括:
标准IP访问列表该种包过滤规则只对数据包中的源地址进行检查。
扩展IP访问列表该种包过滤规则对数据包中的源地址、目的地址、协议(如TCP,UDP,ICMP,Telnet,FTP等)或者端口号进行检查。
1.标准IP访问列表与通配符掩码
1)标准IP访问列表
标准访问列表使得路由器通过对源IP地址的识别来控制来自某个或某一网段的主机的数据包的过滤。在全局配置模式下,标准IP访问列表的命令格式为:
Access-list access-list-number deny | permitsource-ip-addreswildcard-mask
其中,access-ist-number为列表号,取值1~99;deny | permit意为“允许或拒绝”,必选其一,source-ip-address为源IP地址或网络地址;wildcard-mask为通配符掩码。
该命令的含义为:定义某号访问列表,允许(或拒绝)来自由IP地址和通配符掩码确定的某个或某网段的主机的数据通过路由器。
2) 通配符掩码
通配符掩码的作用与子网掩码类似,与IP地址一起使用,以确定某个主机或某网段(或子网或超网)的所有主机。
通配符掩码也是32b的二进制数,与子网掩码相反,它的高位是连续的0,低位是连续的1。它也常用点分十进制来表示。
IP地址与通配符掩码的作用规则是:32b的IP地址与32b的通配符掩码逐位进行比较,通配符为0的位要求IP地址的对应位必须匹配,通配符为1的位所对应的IP地址的位不必匹配,可为任值(0或1)。例如:
IP地址192.168.1.0|11000000 10101000 00000001 00000000
通配符掩码0.0.0.255|00000000 00000000 00000000 11111111
该通配符掩码的前24b为0,对应的IP地址位必须匹配,即必须保持原数值不变。该通配符掩码的后8b为1,对应的IP地址位不必匹配,即IP地址的最后8b的值可以任取,就是说,可在
00000000~11111111之间取值。换句话说,192.168.1.00.0.0.255代表的就是IP地址
192.16.8.1.1~192.168.1.254共254个。
又如:
IP地址128.32.4.16|10000000 00100000 00000100 00010000
通配符掩码0.0.0.15|00000000 00000000 00000000 00001111
该通配符掩码的前28b为0,要求匹配,后4b为1,不必匹配。即是说,对应的IP地址前28b的值固定不变,后4b的值可以改变。这样,该IP地址的前24b用点分十进制表示仍为128.32.4,最后8b则为00010000~00011111,即16~31。
即是说,128.32.4.160.0.0.15代表的是IP地址128.32.4.16~128.32.4.31共16个。
3)通配符掩码使用举例
[例12.1]123.1.2.30.0.0.0
全0的通配符掩码是默认的掩码,要求对应IP地址的所有位都必须匹配。故例一表示的就是IP 地址123.1.2.3本身,在访问列表中亦可表示为
host 123.1.2.3
[例12.2]0.0.0.0255.255.255.255
全1的通配符掩码表示对应的IP地址位都不必匹配。也就是说,IP地址可任意。故例中表示的就是任意的主机IP地址,在访问列表中亦可表示为
any
[例12.3]111.11.0.00.0.255.255
表示网络111.11.0.0中的所有主机的IP地址。
2. 扩展IP访问列表
扩展访问列表除了能与标准访问列表一样基于源IP地址对数据包进行过滤外,还可以基于目标IP地址,基于网络层、传输层和应用层协议或者端口号,对数据包进行控制。
在全局配置模式下,命令格式为:
access-list access-list-number deny | permitprotocol | protocol-keywordsource-ip wildcardmask destination-ip wildcard mask[other parameters ]
各参数的含义见表12.1。
表12.1IP访问列表的参数及含义
在其他可选参数(otherparameters)中,最常用的是
eqprotocol-name | port-number
含义为对协议或其端口进行匹配。例如,要允许或拒绝文件传输,则该项配置就写成
eqftp | 21
常用的协议及其端口号如表12.2所示。
表12.2常用的协议及其端口号
一条控制列表可以包含一系列检查条件。即可以用同一标识号码定义一系列access list语句,路由器将从最先定义的条件开始依次检查,如数据包满足某个语句的条件,则执行该语句;如果数据包不满足规则中的所有条件,Cisco路由器默认禁止该数据包通过,即丢掉该数据包。也可以认为,路由器在访问列表最后默认一条禁止所有数据包通过的语句。
12.2.2 IP访问控制配置
配置标准或扩展IP访问列表后,再把列表作用(绑定)在路由器的某个端口上,就完成了访问控制的配置。控制列表的绑定在接口配置模式下进行。
绑定端口的命令格式为:
ipaccess-groupaccess-list-numberout | in
其中,access-list-number 为访问列表号,out 表示在数据包从路由器出去的端口上进行检查,in则表示在数据包进入路由器的端口上进行检查。Cisco路由器默认的是在出口上进行检查。
1.标准IP访问列表配置举例
[例12.4]在如图12.1所示的网络中,要求在61.128.64.0这个网段上只允许主机61.128.64.1访问网段2,网段3(172.16.0.0)可以访问网段2,其他的任何主机对网段2的访问均被拒绝。试写出访问控制列表配置。
图12.1路由器的访问控制列表配置
配置如下:
router(config)# access-list 10 permit 61.128.64.10.0.0.0
router(config)# access-list 10 permit 172.16.0.00.0.255.255
//最后是默认语句access-list 10denyany。
router(config)# interface ethernet 0
router(config-if)# ip access-group 10 out
[例12.5]在如图12.1所示的网络中,若要求只允许网段2的主机使用Telnet登录路由器,试进行访问控制配置。
配置如下:
router(config)# access-list 16permit 192.168.1.00.0.0.255
//建立访问列表16号。
router(config)# line vty 0 4
//建立0~4号共5个虚拟终端端口。
router(config-line)# access-class 16in
//把16号访问列表绑定在虚拟端口上,注意此处是access-class而不是access-group。
2.扩展IP访问列表配置举例
[例12.6]在如图12.2所示的网络中,要求允许网段3的所有主机能登录Internet,但只能浏览WWW;要求网段2中的192.168.1.4~192.168.1.7这四台主机可向Internet提供WWW,SMTP 和FTP服务,其余主机不能被Internet访问,试进行访问控制配置。
图12.2把访问列表绑定在两个端口(E1和S1)上
本例先在全局配置模式下配置扩展访问列表,然后分别绑定在E1和S0口:
access-list 101 permit tcp 172.16.0.0 0.0.255.255 any eq www|http|80
access-list 101 permit tcp any 192.168.1.4 0.0.0.3 eq www|http|80
access-list 101 permit tcp any 192.168.1.4 0.0.0.3 eq smtp|25
access-list 101 permit tcp any 192.168.1.4 0.0.0.3 eq ftp|21
注意: 192.168.1.40.0.0.3即表示主机192.169.1.4~192.169.1.7。
interface ethernet 1
ip access-group 101 in
interface serial 1
ip access-group 101 in
本例更简单的做法是绑定在E0口上,效果与上面相同。
12.3 Cisco PIX 防火墙简介
在路由器上配置访问控制列表,使其作为包过滤防火墙使用。但是,路由器对访问列表的处理要占用内存和CPU资源,传输性能会受到影响。而且,包过滤功能的防护能力也较弱,黑客攻击时容易突破。
12.3.1 Cisco PIX防火墙配置
若要对网络提供足够的安全性,需要使用专用的防火墙。Cisco PIX 防火墙也是基于代理服务的防火墙。大多数提供代理服务的专用防火墙是基于UNIX系统的,也有部分是基于Windows
NT/2000系统的。而这些操作系统本身存在安全漏洞。Cisco的PIX防火墙,它运行的是自己专有的操作系统PIX(Private Internet Exchange,私有Internet交换),故它对试图破坏安全性的攻击具有较强的防护能力。
另外,PIX的配置也十分简单,主要的步骤就是指定一个IP地址和一个用于外部访问的地址库,一个针对内部连接的IP地址等。
1. 建立本地配置环境
用Console线缆连接PIX与PC,线缆一端接到PIX的Console口,一端接到PC的串口,在PC 上运行超级终端程序;检查电源系统,确认无误后给PIX上电。
PIX启动过程在PC屏幕上显示,最后进入PIX系统,出现系统提示符
pixfirewall>
此时就可以对PIX进行配置了。
2.基本配置
a.进入特权用户模式和全局配置模式。
pixfirewall>enable
pixfirewall#configure terminal
pixfirewall(config)#
b.在全局配置模式下配置以太网端口参数。
interface ethernet0 auto
interface ethernetl auto
//auto选项设置系统自适应网卡的类型。
c.配置内外网卡的IP地址和子网掩码。
ip address inside ip-address netmas k
ip address outside ip-address netmask
d.指定全局(外部)地址范围。
global ip-address-ip-address
e.指定要进行转换的内部地址。
nat 1 ip-address netmask
f.配置指向内部网络和外部网络的默认路由。
route inside 0 0 insede-default-router-ip-address
route outside 0 0 outside-default-router-ip-address
g.指定静态IP地址映射。
static outside ip-address inside ip-address
h.配置telnet选项。
telnet local-ip [netmask]
//该项配置允许网络中的计算机通过telnet程序对PIX进行配置,local-ip 为被允许通过telnet访问PIX的IP地址。
i.设置控制参数。
conduit global-ipport[port]protocol foreign-ip[netmask]
//其中global-ip为要控制的全局地址;port为所作用的端口,其中0代表所有端口;protocol 为连接协议,如TCP、UDP等;foreign-ip 表示可访问 global-ip的外部IP地址,其中0代表所有的IP。
j.保存配置。
write memory
12.3.2 Cisco PIX 防火墙的典型应用
使用CiscoPIX防火墙的企业网络的典型构架如图12.3所示。在图中,采用了三级防火墙系统,PIX用做堡垒主机,是系统的核心设备。图中各设备的IP地址如下:
图12.3PIX用做堡垒主机的防火墙系统
R1的局域网口61.168.2.2/24PIX外部地址61.168.2.1/24R2相邻PIX端 172.16.1.2/24 WWW Server61.168.2.6/24PIX内部地址172.16.1.1/24Admin Client172.16.2.4/24
FTP Server61.168.2.5/24Mail Server172.16.1.3
1. 防火墙系统构架
该防火墙系统由外部防火墙R1,PIX防火墙和内部防火墙R2三部分组成,R1和R2就由路由器充当。
外部防火墙R1是网络的第一道安全防线,它的作用一是保护PIX防火墙免受直接攻击,二是保护WWW和FTP服务器。同时还作为一个警报系统,在发现非法访问时立即向位于网管工作站上的系统日志服务器发送事件记录信息,向网络管理员报警。
内部防火墙R2是网络的最后一道安全防线,它是进入内部网络的入口。
R2在配置时与PIX进行功能互补。
配置PIX防火墙后,PIX防火墙外部的攻击者无法在外部连接上找到可以连接的开放端口,也不能判断出内部网络任何一台主机的IP地址。
R2则进行包过滤配置,凡是以内部网络为目标的数据包,均拒绝通过R2。这样,即使黑客发现了内部网络主机的IP地址,也不可能直接对它们进行连接。
这样就可实现对整个内部网络的有效保护。
2.防火墙系统的配置
a. 配置PIX:
ip address outside 61.168.2.1// 配置PIX防火墙的外部地址
ip address inside 172.16.1.1// 配置PIX防火墙的内部地址
global 1 61.168.2.5 61.168.2.254// 设置全局地址范围
nat 1 172.16.0.0// 允许网络地址172.16.0.0被PIX转换成全局地址
static 61.168.2.3172.16.1.3// 邮件服务器Mail Server静态地址映射
static 61.168.2.4172 .16.2.4// 网管工作站Admin Client静态地址映射
mailhost 61.168.2.3172.16.1.3// 允许从外部发起的对邮件服务器的连接
conduit 1 61.168.2.4514 udp 61.168.2.1 // 允许R1发送系统日志包通过PIX到网管工作站
telnet 172.16.2.4//允许网络管理员通过telnet远程登录PIX防火墙
syslog facility 20.7
syslog host 172.16.2.4// 在网管工作站的日志服务器上记录所有事件日志
b. 配置R1:
no service tcp small servers// 阻止对路由器R1本身的攻击。
logging trap debugging// 记录路由器 R1上的所有事件。
logging 61.168.2.4//允许把所有事件记录发送到网管工作站(系统日志服务器)上。
enable secret ×××××××
interface ethernet 0
ip address 61.168.2.2255.255.255.0
interface serial 0
ip unnumbered ethernet 0
ip acess-group 101 in// 在广域网口上绑定access-list 101
access-list 101 deny ip 61.168.2.00.0.0.255 any log // 禁止任何显示源IP地址为
61.168.2..0网段的数据包进入R1以防止欺骗攻击,并记录日志
access-list 101 deny ip any host 61.168.2.1//禁止对PIX防火墙外部端口的直接访问并记录日志
access-list 101 permit tcp any 61.168.2.10.0.0.255 established//允许已建立TCP会话的数据包通过。
access-list 101 permit tcp any host 61.168.2.5 eq ftp//允许访问FTP服务器。
access-list 101 permit tcp any host 61.168.2.5 eq ftp data//允许和FTP服务器的数据连接
access-list 101 permit tcp any host61.168.2.6 eq www// 允许访问WWW服务器
access-list 101 permit ip any host 61.168.2.5 log// 禁止和FTP服务器别的连接并记录日志(允许IP,默认就禁止其他协议的连接)
access-list 101 permit ip any host 61.168.2.6 log// 禁止和WWW服务器别的连接并记录日志
access-list 101 permit ip any 61.168.2.0 0.0.0.255 //允许IP数据包访问网段61.168.2.0
access-list 10 permithost 61.168.2.4
line vty 0 4
login
psassword ×××××××
access-class 10 in
//只允许网管工作站以口令×××××××远程登录到R1
c. 配置R2:
logging trap debugging
logging 61.168.2.4
interface ethernet 0
ip address 172.16.1.2255.255.255.0
no ip proxy-arp
ip access-group 102 in
access-list 102 permit udp host 172.16.1.2172.16.1.00.0.0.255
access-list 102 deny ip any host 172.16.1.2 log//禁止从PIX防火墙传来的别的类型的数据包通过
access-list permit tcp host 172.16.1.3172.16.0.00.0.255.255 eq smtp //允许内部网络和邮件服务器的SMTP连接
access-list 102 deny ip host 172.16.1.3172.16.0.00.0.255.255//禁止其他类型的数据包访问邮件服务器
access-list 102 deny ip any 172.16.1.00.0.0.255//防止内部网络的地址欺骗
access-list permit ip 172.16.1.0 0.0.0.255172.16.0.0 0.0.255.255//允许所有别的来自PIX 防火墙和路由器R2之间的数据包通过
access-list 11 permit ip any 172.16.2.4
line vty 0 4
login
password ×××××××
access-class 11 in
//只允许网管工作站使用以口令×××××××Telnet登录到R2。
按以上设置配置好PIX防火墙和路由器后,PIX防火墙外部的攻击者将无法在外部连接上找到可以连接的开放端口,也不可能判断出内部任何一台主机的IP地址。即使知道了内部主机的IP 地址,要想直接对它们进行Ping和连接也是不可能的,这样就可以对整个内部网络进行有效的保护。
访问控制列表(ACL)总结
访问控制列表(ACL)总结 一、什么是ACL? 访问控制列表简称为ACL,访问控制列表使用包过滤技术,在路由器上读取第三层及第四层包头中的信息如源地址,目的地址,源端口,目的端口等,根据预先定义好的规则对包进行过滤,从而达到访问控制的目的。该技术初期仅在路由器上支持,近些年来已经扩展到三层交换机,部分最新的二层交换机也开始提供ACL的支持了。 二、访问控制列表使用原则 由于ACL涉及的配置命令很灵活,功能也很强大,所以我们不能只通过一个小小的例子就完全掌握全部ACL的配置。在介绍例子前为大家将ACL设置原则罗列出来,方便各位读者更好的消化ACL知识。 1、最小特权原则 只给受控对象完成任务所必须的最小的权限。也就是说被控制的总规则是各个规则的交集,只满足部分条件的是不容许通过规则的。 2、最靠近受控对象原则 所有的网络层访问权限控制。也就是说在检查规则时是采用自上而下在ACL中一条条检测的,只要发现符合条件了就立刻转发,而不继续检测下面的ACL语句。 3、默认丢弃原则 在CISCO路由交换设备中默认最后一句为ACL中加入了DENY ANY ANY,也就是丢弃所有不符合条件的数据包。这一点要特别注意,虽然我们可以修改这个默认,但未改前一定要引起重视。 由于ACL是使用包过滤技术来实现的,过滤的依据又仅仅只是第三层和第四层包头中的部分信息,这种技术具有一些固有的局限性,如无法识别到具体的人,无法识别到应用内部的权限级别等。因此,要达到端到端的权限控制目的,需要和系统级及应用级的访问权限控制结合使用。 三、标准访问列表 访问控制列表ACL分很多种,不同场合应用不同种类的ACL。其中最简单的就是标准访问控制列表,标准访问控制列表是通过使用IP包中的源IP地址进行过滤,使用的访问控制列表号1到99来创建相应的ACL 标准访问控制列表的格式: 访问控制列表ACL分很多种,不同场合应用不同种类的ACL。其中最简单的就是标准访问控制列表,他是通过使用IP包中的源IP地址进行过滤,使用的访问控制列表号1到99 来创建相应的ACL。 它的具体格式如下:access-list ACL号permit|deny host ip地址 例:access-list 10 deny host 192.168.1.1这句命令是将所有来自192.168.1.1地址的数据包丢弃。 当然我们也可以用网段来表示,对某个网段进行过滤。命令如下:access-list 10 deny 192.168.1.0 0.0.0.255 通过上面的配置将来自192.168.1.0/24的所有计算机数据包进行过滤丢弃。为什么后头的子网掩码表示的是0.0.0.255呢?这是因为CISCO规定在ACL中用反向掩玛表示子网掩码,反向掩码为0.0.0.255的代表他的子网掩码为255.255.255.0。 注:对于标准访问控制列表来说,默认的命令是HOST,也就是说access-list 10 deny 192.168.1.1表示的是拒绝192.168.1.1这台主机数据包通讯,可以省去我们输入host命令。 标准访问控制列表实例一:
标准访问控制列表配置
13.标准访问列表的实现 一.实训目的 1.理解标准访问控制列表的概念和工作原理。 2.掌握标准访问控制列表的配置方法。 3.掌握对路由器的管理位置加以限制的方法。 二.实训器材及环境 1.安装有packet tracer5.0模拟软件的计算机。 2.搭建实验环境如下: 三.实训理论基础 1.访问列表概述 访问列表是由一系列语句组成的列表,这些语句主要包括匹配条件和采取的动作(允许或禁止)两个内容。 访问列表应用在路由器的接口上,通过匹配数据包信息与访问表参数来决定允许数据包通过还是拒绝数据包通过某个接口。 数据包是通过还是拒绝,主要通过数据包中的源地址、目的地址、源端口、目的端口、协议等信息来决定。 访问控制列表可以限制网络流量,提高网络性能,控制网络通信流量等,同时ACL也是网络访问控制的基本安全手段。 2.访问列表类型 访问列表可分为标准IP访问列表和扩展IP访问列表。
标准访问列表:其只检查数据包的源地址,从而允许或拒绝基于网络、子网或主机的IP地址的所有通信流量通过路由器的出口。 扩展IP访问列表:它不仅检查数据包的源地址,还要检查数据包的目的地址、特定协议类型、源端口号、目的端口号等。 3.ACL的相关特性 每一个接口可以在进入(inbound)和离开(outbound)两个方向上分别应用一个ACL,且每个方向上只能应用一个ACL。 ACL语句包括两个动作,一个是拒绝(deny)即拒绝数据包通过,过滤掉数据包,一个是允许(permit)即允许数据包通过,不过滤数据包。 在路由选择进行以前,应用在接口进入方向的ACL起作用。 在路由选择决定以后,应用在接口离开方向的ACL起作用。 每个ACL的结尾有一个隐含的“拒绝的所有数据包(deny all)”的语句。 4.ACL转发的过程 5.IP地址与通配符掩码的作用规 32位的IP地址与32位的通配符掩码逐位进行比较,通配符掩码为0的位要求IP地址的对应位必须匹配,通配 符掩码为1的位所对应的IP地址位不必匹配。
ACL访问控制列表配置
ACL的使用 ACL的处理过程: 1.它是判断语句,只有两种结果,要么是拒绝(deny),要么是允许(permit) 2.语句顺序 按照由上而下的顺序处理列表中的语句 3. 语句排序 处理时,不匹配规则就一直向下查找,一旦某条语句匹配,后续语句不再处理。 4.隐含拒绝 如果所有语句执行完毕没有匹配条目默认丢弃数据包,在控制列表的末尾有一条默认拒绝所有的语句,是隐藏的(deny) 要点: 1.ACL能执行两个操作:允许或拒绝。语句自上而下执行。一旦发现匹配,后续语句就不再进行处理---因此先后顺序很重要。如果没有找到匹配,ACL末尾不可见的隐含拒绝语句将丢弃分组。一个ACL应该至少有一条permit语句;否则所有流量都会丢弃,因为每个ACL末尾都有隐藏的隐含拒绝语句。 2.如果在语句结尾增加deny any的话可以看到拒绝记录 3.Cisco ACL有两种类型一种是标准另一种是扩展,使用方式习惯不同也有两种方式一种是编号方式,另一种是命名方式。 示例: 编号方式 标准的ACL使用1 ~ 99以及1300~1999之间的数字作为表号,扩展的ACL使用100 ~ 199以及2000~2699之间的数字作为表号 一、标准(标准ACL可以阻止来自某一网络的所有通信流量,或者允许来自某一特定网络的所有通信流量,或者拒绝某一协议簇(比如IP)的所有通信流量。) 允许172.17.31.222通过,其他主机禁止 Cisco-3750(config)#access-list 1(策略编号)(1-99、1300-1999)permit host 172.17.31.222 禁止172.17.31.222通过,其他主机允许 Cisco-3750(config)#access-list 1 deny host 172.17.31.222 Cisco-3750(config)#access-list 1 permit any 允许172.17.31.0/24通过,其他主机禁止 Cisco-3750(config)#access-list 1 permit 172.17.31.0 0.0.0.254(反码255.255.255.255减去子网掩码,如172.17.31.0/24的255.255.255.255—255.255.255.0=0.0.0.255) 禁止172.17.31.0/24通过,其他主机允许 Cisco-3750(config)#access-list 1 deny 172.17.31.0 0.0.0.254 Cisco-3750(config)#access-list 1 permit any 二、扩展(扩展ACL比标准ACL提供了更广泛的控制范围。例如,网络管理员如果希望做到“允许外来的Web通信流量通过,拒绝外来的FTP和Telnet等通信流量”,那么,他可以使用扩展ACL来达到目的,标准ACL不能控制这么精确。) 允许172.17.31.222访问任何主机80端口,其他主机禁止 Cisco-3750(config)#access-list 100 permit tcp host 172.17.31.222(源)any(目标)eq www
实验十一:标准访问控制列表配置
《网络互联技术》课程实验指导书 实验十一:标准访问控制列表配置 当网络管理员想要阻止某一网络的所有通信流量时,或者允许来自某一特定网络的所有通信流量时,或者想要拒绝某一协议簇的所有通信流量时,可以使用标准访问控制列表实现这一目标。 标准ACL检查可以过滤被路由的数据包的源地址、从而允许或拒绝基于网络、子网或主机IP地址的某一协议簇通过路由器出口。 一、网络拓朴 二、实验内容 1、在路由器的E 0/0口添加“ACL 访问控制列表6”并对转出(从路由器端口出来转向交换机或主机)的数据包进行过滤,实现功能:禁止将HostC、HostD的数据包通过路由器E 0/0 口转发到HostA、HostB。其结果是:(对于TCP数据包来说,访问是双向的,只要A不能访问B,则B也将不能访问A) ●HostA和HostB之间可以通信,但无法访问HostC、HostD。 ●HostC和HostD之间可以通信,但无法访问HostA、HostB。 2、在路由器的E 0/1口添加“ACL 访问控制列表10”并对转出(从路由器端口出来转向
交换机或主机)的数据包进行过滤,实现功能:禁止HostA、HostC访问Server E服务器。 由于标准ACL访问控制列表只能根据数据包的源地址来过滤通信流量,因此,应该将ACL 访问控制列表放置离目标地址最近的地方。 三、实验目的 1、掌握标准访问控制列表的原理 2、掌握标准访问控制列表的配置 四、实验设备 1、一台台思科(Cisco)3620路由器 2、两台思科(Cisco)2950二层交换机 3、思科(Cisco)专用控制端口连接电缆 4、四台安装有windows 98/xp/2000操作系统的主机 5、一台提供WWW服务的WEB服务器 6、若干直通网线与交叉网线 五、实验过程(需要将相关命令写入实验报告) 1、根据上述图示进行交换机、路由器、主机的连接 2、设置主机的IP地址、子网掩码和默认网关 3、配置路由器接口 Router> enable Router# configure terminal Router(config)# interface ethernet 0/0 Router(config-if)# ip address 192.168.1.1 255.255.255.0 Router(config-if)# no shutdown Router(config-if)# exit Router(config)# interface ethernet 0/1 Router(config-if)# ip address 192.168.3.1 255.255.255.0 Router(config-if)# no shutdown Router(config-if)# exit Router(config)# interface ethernet 0/2 Router(config-if)# ip address 192.168.2.1 255.255.255.0 Router(config-if)# no shutdown Router(config-if)#exit 4、配置访问控制列表6并将之添加到Ethernet 0/0接口的out方向上 Router(config)# access-list 6 deny 192.168.2.0 0.0.0.255 Router(config)# access-list 6 permit any
ACL访问控制列表配置案例
访问控制列表练习----扩展访问控制列表 R1#configure R1(config)#intloo 1 R1(config-if)#ip add 1.1.1.1 255.255.255.0 R1(config-if)#no shutdown R1(config-if)# intfa 0/0 R1(config-if)#ip add 12.12.12.1 255.0.0.0 R1(config-if)#no shutdown R1(config-if)#do show ipint b R1(config-if)# R1(config)#ip route 23.0.0.0 255.0.0.0 fa0/0 R1(config)#ip route 3.3.3.0 255.255.255.0 fa0/0 R1(config)#ip route 100.100.100.0 255.255.255.0 fa0/0 R1(config)#exit R1#show ip route
R2#configure R2(config)#intfa 0/0 R2(config-if)#ip add 12.12.12.2 255.0.0.0 R2(config-if)#no shutdown R2(config-if)# intfa 0/1 R2(config-if)#ip add 23.23.23.1 255.0.0.0 R2(config-if)#no shutdown R2(config-if)#do show ipint b R2(config-if)# R2(config)#ip route 1.1.1.0 255.255.255.0 fa0/0 R2(config)#ip route 3.3.3.0 255.255.255.0 fa0/1 R2(config)#ip route 100.100.100.0 255.255.255.0 fa0/1 R2(config)#exit
访问控制列表原理及配置技巧(acl)
1、访问控制列表的作用。 作用就是过滤实现安全性具网络可有管理性 一、过滤,经过路由器的数据包 二、控制增长的网络IP数据 2、访问控制列表的分类及其特性。 一、标准列表 只基于ip协议来工作,只能针对数据包种的源地址来做审核,由于无法确定具体的目的,所以在使用的过程中,应靠近目的地址,接口应为距目的地址最近的接口,方向为out。 访问控制别表具有方向性,是以路由器做参照物,来定义out或者in out:是在路由器处理完以后,才匹配的条目 in:一进入路由器就匹配,匹配后在路由。 编号范围为:1-99 二、扩展列表 可以很据数据包中的源ip地址和目的ip地址及相应的应用协议来工作,在工作的过程中常用在距源或组源最近的路由器上, 接口为距源最近的接口,方向为in,可以审核三层和四层的信息。 编号范围:100-199 如何判断应使用哪种类型的访问控制列表 标准:针对目的,允许或拒绝特定的源时,使用标准的(当目的唯一,具有多个源访问时。) 扩展:针对源地址,允许或拒绝源去往特定的目的。或者在涉及四层信息的审核时通常都会采用扩展列表。(当源确定下来,具有单个源可有多个目的地址时。) 编号的作用: a,标识表的类型 b,列表的名字 1.访问列表最后一条都隐含拒绝所有,使用拒绝列表时,必须有条允许语句。 2.访问列表按顺序自上而下逐条匹配,当匹配后立即执行,不会继续匹配。
3.具有严格限制的条目应该放在列表前。 4.删除列表不能有选择删除,若no access-list X 的一个条目,则这个列表被删除。 5.当别表没有被应用时,则是个无效的别表,不会影响到数据的审核. 6.在书写列表的过程中,应先编辑列表,再应用到相应的接口或者策略上. 7.当列表过滤掉一个数据包时,会返回给源一个不可达的icmp包,然后丢掉或过滤掉包 8.访问列表在应用中,标准的应靠近目的,而扩展则靠近源或组源。 9.当路由器调用了一个没有条目的列表,则执行列表隐含条目,deny any (拒绝所有) 10.在某个接口,某个方向上只能调用一个列表。 11.访问控制列表不能过滤自身产生的数据。 书写列表的步骤: 1.选择要应用的列表类型 2.选择要书写的路由器并书写列表 3.选择路由器的接口来调用列表实现过滤 4.选择应用列表的方向 标准访问控制列表的配置 1.回顾标准列表的特性 2.标准列表的配置语法(通配符) 配置的过程中,熟记配置规则 1.标准列表:只基于ip协议工作,控制数据包的源地址 应用过程中:距目的地址近的路由器和接口 2.配置列表的步骤 1)选择列表的类型 2)选择路由器(是要在哪个上路由器上配置列表) 3.)选择要应用的接口(在哪个接口上调用) 4)判断列表的方向性(in和out:相对路由器) 3.标准列表的配置语法 1)在全局模式下,书写规则 access-list 列表编号permit/deny 源网络地址源地址的通配符 列表的编号:1-99 和1300 - 1999 通配符:零所对应的位即为精确匹配位。通常所讲的反子掩码 255.255.255.0 == 通配符=0.0.0.255 255.255.255.255 - 正掩码 ——————————— 反子网掩码 2)调用列表
标准访问控制列表配置命令
标准访问控制列表配置命令一、拒绝PC0 Router>enable Router#configure terminal Router(config)#interface fastEthernet 0/0 Router(config-if)#ip address 192.168.0.1 255.255.255.0 Router(config-if)#no shutdown Router(config-if)#exit Router(config)#interface fastEthernet 1/0 Router(config-if)#ip address 192.168.1.1 255.255.255.0 Router(config-if)#no shutdown Router(config-if)#exit Router(config)#ip access-list standard 1 Router(config-std-nacl)#deny host 192.168.0.2 Router(config-std-nacl)#permit any Router(config-std-nacl)#exit Router(config)#interface fastEthernet 0/0 Router(config-if)#ip access-group 1 in Router(config-if)#exit Router(config)#interface fastEthernet 1/0 Router(config-if)#ip access-group 1 out Router(config-if)#exit Router(config)#exit Router#write
标准ACL配置与调试
实验5 标准ACL配置与调试 1.实验目标 在这个实验中,我们将在Cisco 2611XM路由器上配置标准ACL。通过该实验我们可以进一步了解ACL的定义和应用,并且掌握标准ACL的配置和调试。 2.实验拓扑 实验的拓扑结构如图1所示。 图1 ACL实验拓扑结构 3.实验要求 根据图1,设计标准ACL,首先使得PC1所在的网络不能通过路由器R1访问PC2所在的网络,然后使得PC2所在的网络不能通过路由器R2访问PC1所在的网络。本实验各设备的IP地址分配如下: ⑴路由器R1: s0/0:192.168.100.1/24 fa0/0:10.1.1.1/8 ⑵计算机PC1: IP:10.1.1.2/8 网关:10.1.1.1 ⑶路由器R2: s0/0:192.168.100.2/24
fa0/0:172.16.1.1/16 ⑷计算机PC2: IP:172.16.1.2/16 网关:172.16.1.1 4.实验步骤 在开始本实验之前,建议在删除各路由器的初始配置后再重新启动路由器。这样可以防止由残留的配置所带来的问题。在准备好硬件以及线缆之后,我们按照下面的步骤开始进行实验。 ⑴按照图1进行组建网络,经检查硬件连接没有问题之后,各设备上电。 ⑵按照拓扑结构的要求,给路由器各端口配置IP地址、子网掩码、时钟(DCE端),并且用“no shutdown”命令启动各端口,可以用“show interface”命令查看各端口的状态,保证端口正常工作。 ⑶设置主机A和主机B的 IP地址、子网掩码、网关,完成之后,分别ping自己的网关,应该是通的。 ⑷为保证整个网络畅通,分别在路由器R1和R2上配置rip路由协议:在R1和R2上查看路由表分别如下: ①R1#show ip route Gateway of last resort is not set R 172.16.0.0/16 [120/1] via 192.168.100.2, 00:00:08, Serial0/0 C 192.168.100.0/24 is directly connected, Serial0/0 C 10.0.0.0/8 is directly connected, FastEthernet0/0 ②R2#show ip route Gateway of last resort is not set C 192.168.100.0/24 is directly connected, Serial0/0 R 10.0.0.0/8 [120/1] via 192.168.100.1, 00:00:08, Serial0/0 C 172.16.0.0/16 is directly connected, FastEthernet0/0 ⑸ R1路由器上禁止PC2所在网段访问:
计算机网络实验报告(7)访问控制列表ACL配置实验
一、实验项目名称 访问控制列表ACL配置实验 二、实验目的 对路由器的访问控制列表ACL 进行配置。 三、实验设备 PC 3 台;Router-PT 3 台;交叉线;DCE 串口线;Server-PT 1 台; 四、实验步骤 标准IP访问控制列表配置: 新建Packet Tracer 拓扑图 (1)路由器之间通过V.35 电缆通过串口连接,DCE 端连接在R1 上,配置其时钟频率64000;主机与路由器通过交叉线连接。 (2)配置路由器接口IP 地址。 (3)在路由器上配置静态路由协议,让三台PC 能够相互Ping 通,因为只有在互通的前提下才涉及到方控制列表。 (4)在R1 上编号的IP 标准访问控制。 (5)将标准IP 访问控制应用到接口上。 (6)验证主机之间的互通性。 扩展IP访问控制列表配置: 新建Packet Tracer 拓扑图 (1)分公司出口路由器与外路由器之间通过V.35 电缆串口连接,DCE 端连接在R2 上,配置其时钟频率64000;主机与路由器通过交叉线连接。 (2)配置PC 机、服务器及路由器接口IP 地址。 (3)在各路由器上配置静态路由协议,让PC 间能相互ping 通,因为只有在互通的前提下才涉及到访问控制列表。 (4)在R2 上配置编号的IP 扩展访问控制列表。 (5)将扩展IP 访问列表应用到接口上。 (6)验证主机之间的互通性。 五、实验结果 标准IP访问控制列表配置: PC0: PC1:
PC2:
PC1ping:
PC0ping: PC1ping: 扩展IP 访问控制列表配置:PC0: Server0:
华为交换机ACL控制列表设置
华为交换机ACL控制列表设置
交换机配置(三)ACL基本配置 1,二层ACL . 组网需求: 通过二层访问控制列表,实现在每天8:00~18:00时间段内对源MAC为00e0-fc01-0101目的MAC为00e0-fc01-0303报文的过滤。该主机从GigabitEthernet0/1接入。 .配置步骤: (1)定义时间段 # 定义8:00至18:00的周期时间段。[Quidway] time-range huawei 8:00 to 18:00 daily (2)定义源MAC为00e0-fc01-0101目的MAC为00e0-fc01-0303的ACL # 进入基于名字的二层访问控制列表视图,命名为traffic-of-link。 [Quidway] acl name traffic-of-link link # 定义源MAC为00e0-fc01-0101目的MAC为00e0-fc01-0303的流分类规则。 [Quidway-acl-link-traffic-of-link] rule 1 deny ingress 00e0-fc01-0101 0-0-0 egress
00e0-fc01-0303 0-0-0 time-range huawei (3)激活ACL。 # 将traffic-of-link的ACL激活。[Quidway-GigabitEthernet0/1] packet-filter link-group traffic-of-link 2 三层ACL a)基本访问控制列表配置案例 . 组网需求: 通过基本访问控制列表,实现在每天8:00~18:00时间段内对源IP为10.1.1.1主机发出报文的过滤。该主机从GigabitEthernet0/1接入。.配置步骤: (1)定义时间段 # 定义8:00至18:00的周期时间段。[Quidway] time-range huawei 8:00 to 18:00 daily (2)定义源IP为10.1.1.1的ACL # 进入基于名字的基本访问控制列表视图,命名为traffic-of-host。 [Quidway] acl name traffic-of-host basic # 定义源IP为10.1.1.1的访问规则。[Quidway-acl-basic-traffic-of-host] rule 1 deny
三层交换机配置ACL(访问控制列表)
三层交换机配置ACL(访问控制列表) 说明:书本上讲述的ACL主要是应用在路由器上,但现在三层交换机在大中型企业中的应用越来越广泛,三层交换机因拥有路由器的功能而逐渐代替路由器。ACL访问控制列表是构建安全规范的网络不可缺少的,但在三层交换机上配置ACL却不为一些刚进企业的初级网络管理维护人员所知。在这里我介绍一下在三层交换机上配置ACL的试验过程。 试验拓扑介绍: 三层交换机上配置本地Vlan 实现下层接入层交换机不同Vlan互通。 PC1 192.168.20.10 VLAN 192.168.20.1 PC2 192.168.30.20 VLAN 192.168.30.1 PC3 192.168.40.30 VLAN 192.168.40.1 PC4 192.168.50.40 VLAN 192.168.50.1 F0/1 192.168.70.2 (开启路由功能) 路由器上配置 F0/0 192.168.60.1 PC5 192.168.60.50 F0/1 192.168.70.1 试验步骤: 1、在二层交换机上把相应的PC加入VLAN 查看交换机Switch0 Switch0(config)#show run ! interface FastEthernet0/1
switchport access vlan 2 ! interface FastEthernet0/2 switchport access vlan 3 ! 查看交换机Switch1 Switch1#show run ! interface FastEthernet0/3 switchport access vlan 4 ! interface FastEthernet0/4 switchport access vlan 5 ! 2、在三层交换机上配置相应的本地VALN Switch(config)#inter vl 2 Switch(config-if)#ip add 192.168.20.1 255.255.255.0 Switch(config-if)#no shut Switch(config)#inter vl 3 Switch(config-if)#ip add 192.168.30.1 255.255.255.0 Switch(config-if)#no shut Switch(config)#inter vl 4 Switch(config-if)#ip add 192.168.40.1 255.255.255.0 Switch(config-if)#no shut Switch(config)#inter vl 5 Switch(config-if)#ip add 192.168.50.1 255.255.255.0 Switch(config-if)#no shut Switch(config-if)#exi 在接口itnerface f0/1上开启路由接口 Switch(config)#inter f0/1 Switch(config-if)#no switchport 3、在二层交换机和三层交换机之间开启中继链路 4、在路由器和三层交换机上配置动态路由协议RIP Router(config)#router rip Router(config)#network 192.168.60.0 Router(config)# network 192.168.70.0 三层交换机上配置 Switch(config)#router rip Switch(config-router)#ne Switch(config-router)#network 192.168.70.0 Switch(config-router)#network 192.168.20.0 Switch(config-router)#network 192.168.30.0 Switch(config-router)#network 192.168.40.0 Switch(config-router)#network 192.168.50.0 Switch(config-router)# 5、验证各PC互通 PC>ping 192.168.30.20 Pinging 192.168.30.20 with 32 bytes of data: Request timed out.
ACL IP访问控制列表配置实验
IP访问控制列表配置 目录: 第一个任务的:验证测试 (3) 第二个任务的:交换机的验证测试 (6) 第三个任务的:扩展访问验证测试 (10) 最后---总结: (12) ▲表示重要的 一、IP标准访问控制列表的建立及应用 工作任务 你是学校网络管理员,学校的财务处、教师办公室和校办企业财务科分属不同的3个网段,三个部门之间通过路由器进行信息传递,为了安全起见,学校领导要求你对网络的数据流量进行控制,实现校办企业财务科的主机可以访问财务处的主机,但是教师办公室主机不能访问财务处主机。 首先对两路由器进行基本配置,实现三个网段可以相互访问;然后对距离控制目的地址较近的路由器RouterB配置IP标准访问控制列表,允许192.168.1.0网段(校办企业财务科)主机发出的数据包通过,不允许192.168.2.0网段(教师办公室)主机发出的数据包通过,最后将这一策略加到路由器RouterB的Fa
0端口,如图所示。 第1步:基本配置 路由器RouterA: R >enable R #configure terminal R(config)#hostname RouterA RouterA (config)# line vty 0 4 VTY是路由器的远程登陆的虚拟端口,04表示可以同时打开5个会话,line vty 04是进入VTY端口,对VTY端口进行配置,比如说配置密码, RouterA (config-line)#login RouterA (config-line)#password 100 RouterA (config-line)#exit RouterA (config)# enable password 100 RouterA (config)#interface fastethernet 0/0 RouterA (config-if)#ip address 192.168.1.1 255.255.255.0 RouterA (config-if)#no shutdown RouterA (config-if)#Exit RouterA (config)#interface s0/3/0 RouterA (config-if)#ip address 192.168.12.1 255.255.255.0 RouterA (config-if)#no shutdown RouterA (config-if)#Exit RouterA (config)#interface s0/3/0 RouterA (config-if)#ip address 192.168.2.1 255.255.255.0 RouterA (config-if)#no shutdown RouterA (config-if)#Exit RouterA (config)#ip route 192.168.3.0 255.255.255.0 192.166.12.2 路由器RouterB: R >enable R #configure terminal R(config)#hostname RouterB RouterB (config)# line vty 0 4 RouterB (config-line)#login RouterB (config-line)#password 100 RouterB (config-line)#exit RouterB (config)# enable password 100 RouterB (config)#interface fastethernet 0/0 RouterB (config-if)#ip address 192.168.3.1 255.255.255.0 RouterB (config-if)#no shutdown RouterB (config-if)#Exit RouterB (config)#interface s0/3/1 RouterB (config-if)#ip address 192.168.12.2 255.255.255.0
访问控制列表实验
0分计。 4. 实验报告文件以PDF 格式提交。 【实验题目】访问控制列表(ACL )实验。 【实验目的】 1. 掌握标准访问列表规则及配置。 2. 掌握扩展访问列表规则及配置。 3. 了解标准访问列表和扩展访问列表的区别。 【实验内容】 完成教材实例5-4(P190),请写出步骤0安装与建立FTP 、WEB ,的步骤,并完成P192~P193的测试要求。 【实验要求】 重要信息信息需给出截图, 注意实验步骤的前后对比。 【实验记录】(如有实验拓扑请自行画出) 【实验拓扑】 本实验的拓扑图结构如下图: 【实验设备】 路由器一台,PC 5台(其中两台作为WWW Server 和FTP Server )。 【实验原理】 基于时间的ACL 是在各种ACL 规则(标准ACL 、扩展ACL 等)后面应用时间段选项(time-range )以实现基于时间段的访问控制。当ACL 规则应用了时间段后,只有在此时间范围内规则才能生效。此外,只有配置了时间段的规则才会在指定的时间段内生效,其他未引用时间段的规则将不受影响。 要基于时间的ACL 一生效,一般需要下面的配置步骤。
(1)定义时间段及时间范围。 (2)ACL自身的配置,即将详细的规则添加到ACL中。 (3)应用ACL,将设置好的ACL添加到相应的端口中。 【实验步骤】 步骤0: (1)配置3台PC(PC1、PC2和Manager)的IP地址、掩码、网关。 (2)检查PC与服务器的连通性如何? PC与服务器无法连通,因为还未安装FTP Server和WWW Server和配置路由器。 (3)在服务器上安装FTP Server和WWW Server。FTP Server需至少创建一个用户名和口令。 FTP Server我们选择Serv-U,下载安装后见如下界面。
标准IP访问控制列表配置
第十三章标准IP访问控制列表配置 实验目标 理解标准IP访问控制列表的原理及功能; 掌握编号的标准IP访问控制列表的配置方法; 实验背景 你是公司的网络管理员,公司的经理部、财务部们和销售部门分属于不同的3个网段,三部门之间用路由器进行信息传递,为了安全起见,公司领导要求销售部门不能对财务部进行访问,但经理部可以对财务部进行访问。 PC1代表经理部的主机、PC2代表销售部的主机、PC3代表财务部的主机。 技术原理 ACLs的全称为接入控制列表(Access Control Lists),也称访问控制列表(Access Lists),俗称防火墙,在有的文档中还称包过滤。ACLs通过定义一些规则对网络设备接口上的数据包文进行控制;允许通过或丢弃,从而提高网络可管理型和安全性; IP ACL分为两种:标准IP访问列表和扩展IP访问列表,编号范围为1~99、1300~1999、100~199、2000~2699; 标准IP访问控制列表可以根据数据包的源IP地址定义规则,进行数据包的过滤; 扩展IP访问列表可以根据数据包的原IP、目的IP、源端口、目的端口、协议来定义规则,进行数据包的过滤; IP ACL基于接口进行规则的应用,分为:入栈应用和出栈应用; 实验步骤 新建Packet Tracer拓扑图 (1)路由器之间通过V.35电缆通过串口连接,DCE端连接在R1上,配置其时钟频率64000;主机与路由器通过交叉线连接。 (2)配置路由器接口IP地址。 (3)在路由器上配置静态路由协议,让三台PC能够相互Ping通,因为只有在互通的前提下才涉及到方控制列表。 (4)在R1上编号的IP标准访问控制 (5)将标准IP访问控制应用到接口上。 (6)验证主机之间的互通性。
实验七 标准IP访问控制列表配置
实验七标准IP访问控制列表配置 一、实验目的 1.理解标准IP访问控制列表的原理及功能。 2.掌握编号的标准IP访问控制列表的配置方法。 二、实验环境 R2600(2台)、主机(3台)、交叉线(3条)、DCE线(1条)。 三、实验背景 你是公司的网络管理员,公司的经理部、财务部和销售部分属于不同的3个网段,三部门之间用路由器进行信息传递,为了安全起见,公司领导要求销售部不能对财务部进行访问,但经理部可以对财务部进行访问 PC1代表经理部的主机,PC2代表销售部的主机,PC3代表财务部的主机。四、技术原理 ACLs的全称为接入控制列表;也称为访问列表,俗称为防火墙,在有的文档中还称之为包过滤。ACLs通过定义一些规则对网络设备接口上的数据报文进行控制:允许通过或丢弃,从而提高网络可管理性和安全性。 IP ACLs分为两种:标准IP访问列表和扩展IP访问列表,标号范围分别为1~99、100~199。 标准IP访问列表可以根据数据包的源IP地址定义规则,进行数据包的过滤。 扩展IP访问列表可以数据包的源IP、目的IP、源端口、目的端口、协议来定义规则,进行数据包的过滤。 IP ACL基于接口进行规则的应用,分为:入栈应用和出栈应用。 五、实验步骤 1、新建拓扑图 2、路由器R1、R2之间通过V.35线缆通过串口连接,DCE端连接在R1上,
配置其时钟频率64000;主机与路由器通过交叉线连接。 3、配置路由器接口IP地址。 4、在路由器R1、R2上配置静态路由协议或动态路由协议,让三台PC能互相 ping通,因为只有在互通的前提下才能涉及到访问控制列表。 5、在R1上配置编号的IP标准访问列表。 6、将标准IP访问控制列表应用到接口上。 7、验证主机之间的互通性。 六、实验过程中需要的相关知识点 1、进入指定的接口配置模式 配置每个接口,首先必须进入这个接口的配置模式模式,首先进入全局配置模式,然后输入进入指定接口配置模式,命令格式如下 例如:进入快速以太网口的第0个端口,步骤是: Router#config terminal Router(config)#interface FastEthernet 1/0 2、配置IP地址 除了NULL接口,每个接口都有其IP地址,IP地址的配置是使用接口必须考虑的,命令如下: Router#config terminal
详解cisco访问控制列表ACL
详解cisco访问控制列表ACL 一:访问控制列表概述 〃访问控制列表(ACL)是应用在路由器接口的指令列表。这些指令列表用来告诉路由器哪些数据包可以通过,哪些数据包需要拒绝。 〃工作原理:它读取第三及第四层包头中的信息,如源地址、目的地址、源端口、目的端口等。根据预先设定好的规则对包进行过滤,从而达到访问控制的目的。 〃实际应用:阻止某个网段访问服务器。 阻止A网段访问B网段,但B网段可以访问A网段。 禁止某些端口进入网络,可达到安全性。 二:标准ACL 〃标准访问控制列表只检查被路由器路由的数据包的源地址。若使用标准访问控制列表禁用某网段,则该网段下所有主机以及所有协议都被禁止。如禁止了A网段,则A网段下所有的主机都不能访问服务器,而B网段下的主机却可以。 用1----99之间数字作为表号 一般用于局域网,所以最好把标准ACL应用在离目的地址最近的地方。 〃标准ACL的配置: router(config)#access-list表号 deny(禁止)网段/IP地址反掩码 ********禁止某各网段或某个IP router(config)#access-list表号 permit(允许) any 注:默认情况下所有的网络被设置为禁止,所以应该放行其他的网段。 router(config)#interface 接口 ******进入想要应用此ACL的接口(因为访问控制列表只能应用在接口模式下)
router(config-if)#ip access-group表号 out/in ***** 设置在此接口下为OUT或为IN 其中router(config)#access-list 10 deny 192.168.0.1 0.0.0.0 = router(config)#access-list 10 deny host 192.168.0.1 router(config)#access-list 10 deny 0.0.0.0 255.255.255.255 = router(config)#access-list 10 deny any router#show access-lists ******查看访问控制列表。 〃标准访问控制列表的工作原理。 (每当数据进入路由器的每口接口下,都会进行以下进程。) 注:当配置访问控制列表时,顺序很重要。要确保按照从具体到普遍的次序来排列条目。