标准IP访问控制列表配置
标准IP访问控制列表的配置及应用
标准IP访问控制列表的配置及应用一、拓扑结构图;二、访问控制列表的概念;1.访问控制列表(Access Control List,ACL)是应用在路由器(或三层交换机)端口上的控制列表。
ACL可以允许(permit)或拒绝(deny)进入或离开路由器的数据包(分组),通过设置可以允许或拒绝网络用户使用路由器的某些端口,对网络系统起到安全保护作用。
访问控制列表(ACL)实际上是一系列允许和拒绝匹配准则的集合。
2.IP访问控制列表可以分为两大类:标准IP访问控制列表,只对数据包的源IP地址进行检查。
其列表号为1~99或者1300~1999。
扩展IP访问控制列表,对数据包的源和目标IP地址、源和目标端口号等进行检查,可以允许或拒绝部分协议。
其列表号为100~199或2000~2699。
3.访问控制列表对每个数据包都以自上向下的顺序进行匹配。
如果数据包满足第一个匹配条件,那么路由器就按照该条语句所规定的动作决定是拒绝还是允许;如果数据包不满足第一个匹配条件,则继续检测列表的下一条语句,以此类推。
数据包在访问控制列表中一旦出现了匹配,那么相应的操作就会被执行,并且对此数据包的检测到此为止。
后面的语句不可能推翻前面的语句,因此访问控制列表的过滤规则的放置顺序是很讲究的,不同的放置顺序会带来不同的效果。
三、技术原理;假设某公司的经理部,销售部和财务部分别属于不同的网段,出于安全考虑,公司要求经理部的网络可以访问财务部,而销售部无法访问财务部的网络,其他网络之间都可以实现互访。
访问控制列表一般是布局于需要保护的网络与其他网络联接的路由器中,即为距离被保护网络最接近的路由器上。
配置标准IP访问控制列表:1.定义标准IP访问控制列表;Router (config)#access-list access-list-number deny/permit source-address source-wildcard/*source-wildcard为数据包源地址的通配符掩码。
原程序(标准IP访问控制列表配置)
ROUTER0配置:Router>enRouter#conf tRouter(config)#int f0/0Router(config-if)#ip address 192.168.10.1 255.255.255.0 Router(config-if)#no shutdownRouter(config-if)#exitRouter(config)#int f0/1Router(config-if)#ip address 192.168.20.1 255.255.255.0 Router(config-if)#no shutdownRouter(config-if)#exitRouter(config)#int s0/0/0Router(config-if)#ip address 192.168.30.1 255.255.255.0 Router(config-if)#no shutdownRouter(config-if)#clock rate 64000Router(config-if)#exitRouter(config)#router ripRouter(config-router)#version 2Router(config-router)#network 192.168.10.0Router(config-router)#network 192.168.20.0Router(config-router)#network 192.168.30.0Router(config-router)#no auto-summaryRouter(config-router)#ROUTER1配置:Router>enRouter#conf tRouter(config)#int f0/0Router(config-if)#ip address 192.168.40.1 255.255.255.0 Router(config-if)#no shutdownRouter(config-if)#exitRouter(config)#int s0/0/0Router(config-if)#ip address 192.168.30.2 255.255.255.0Router(config-if)#no shutdownRouter(config-if)#exitRouter(config)#route ripRouter(config-router)#version 2Router(config-router)#network 192.168.30.0Router(config-router)#network 192.168.40.0Router(config-router)#no auto-summaryRouter(config-router)#exitRouter(config)#ip access-list standard aa //关于配置标准IP 访问控制列表,采用命名的标准ACL(命名为aa)Router(config-std-nacl)#permit 192.168.10.0 0.0.0.255 //允许来自198.162.10.0 网段的流量通过Router(config-std-nacl)#deny 192.168.20.0 0.0.0.255 //拒绝来自198.162.20.0 网段的流量通过Router(config-std-nacl)#exitRouter(config)#int f0/0Router(config-if)#ip access-group aa out //在接口下访问控制列表出栈流量调用interface fa 0/0Router(config-if)#end测试:。
PT5.3 ACL综合实验TFTP ping
PT5.3 ACL综合实验TFTP ping标准访问控制列表:只允许网段1和网段2之间互相访问扩展访问控制列表:只允许网段1(10.10.1.0/24)访问R2路由器内部的WWW服务和PING服务,拒绝访问该服务器上的其他服务;只允许网段2(10.10.2.0/24)访问R3路由器内部的TFTP服务和PING服务,拒绝访问该服务器上的其他服务。
做访问控制列表实验之前先在各个路由器上配置了(动态/静态)路由协议,使整个网络互通。
标准访问控制列表配置:只允许网段1和网段2之间互相访问R1配置:R1#conf tR1(config)#access-list 1 deny 10.10.1.0 0.0.0.255R1(config)#access-list 1 deny 10.10.2.0 0.0.0.255R1(config)#access-list 1 permit anyR1(config)#int f0/0R1(config-if)#ip access-group 1 out测试省略扩展访问控制列表配置:只允许网段1(10.10.1.0/24)访问R2路由器内部的WWW服务和PING服务,拒绝访问该服务器上的其他服务;只允许网段2(10.10.2.0/24)访问R3路由器内部的TFTP服务和PING服务,拒绝访问该服务器上的其他服务。
首先删除标准访问控制列表:R1(config)#int f0/0R1(config-if)#no ip access-group 1 outR1(config-if)#exitR1(config)#no access-list 1R1配置:R1#conf tR1(config)#access-list 101 permit tcp 10.10.1.0 0.0.0.255 host 172.16.1.1 eq 80R1(config)#access-list 101 permit icmp 10.10.1.0 0.0.0.255 host 172.16.1.1R1(config)#access-list 101 permit udp 10.10.2.0 0.0.0.255 host 172.16.5.1 eq 69R1(config)#access-list 101 permit icmp 10.10.2.0 0.0.0.255 host 172.16.5.1 echoR1(config)#access-list 101 permit icmp 10.10.2.0 0.0.0.255 host 172.16.5.1 echo-replyR1(config)#int f0/0R1(config-if)#ip access-group 101 out测试:PC1:PC1#ping 172.16.1.1 通PC1#ping 172.16.5.1 不通PC2:PC2#ping 172.16.1.1 不通PC2#ping 172.16.5.1 通。
VPN中IP地址的防火墙配置和访问控制列表
VPN中IP地址的防火墙配置和访问控制列表在VPN中,IP地址的防火墙配置和访问控制列表(ACL)起着至关重要的作用。
通过正确配置防火墙和ACL,可以保护VPN网络免受潜在的安全威胁。
本文将介绍如何正确配置VPN中的IP地址防火墙和ACL,以提高网络安全性。
一、什么是IP地址防火墙?IP地址防火墙是用于控制网络流量的一种安全措施。
主要通过规则和策略来限制或允许特定的IP地址、协议和端口访问网络资源。
IP地址防火墙可以在VPN服务器、VPN客户端或VPN路由器上进行配置。
二、防火墙和ACL的重要性1. 保护网络安全:通过防火墙和ACL,可以限制恶意用户或攻击者对网络资源的访问,提高网络的安全性。
2. 简化网络管理:通过合理配置防火墙和ACL,可以将网络流量进行分组和管理,简化网络操作和维护。
3. 提高网络性能:通过限制无效或不必要的网络流量,可以提高网络的性能和响应速度。
三、配置IP地址防火墙的步骤1. 确定网络资源和访问需求:在配置IP地址防火墙之前,首先需要明确网络中存在的资源以及对这些资源的访问需求。
2. 列出规则和策略:根据网络资源和访问需求,列出访问规则和策略,包括允许或阻止特定IP地址、协议和端口的访问。
3. 配置防火墙规则:在VPN服务器、VPN客户端或VPN路由器上,根据列出的规则和策略,配置相应的防火墙规则。
4. 测试和优化:配置完成后,进行测试和优化,确保防火墙规则能够正确地限制或允许特定的网络流量。
四、配置访问控制列表(ACL)的步骤1. 确定访问控制需求:在配置ACL之前,首先需要确定对网络资源的访问控制需求,包括允许或阻止特定IP地址、协议和端口的访问。
2. 列出访问规则:根据访问控制需求,列出ACL中需要包含的访问规则。
3. 配置ACL:在VPN服务器、VPN客户端或VPN路由器上,根据列出的访问规则,配置相应的ACL。
4. 测试和优化:配置完成后,进行测试和优化,确保ACL能够正确地限制或允许特定的网络流量。
ip标准访问控制列表的规则序号范围
ip标准访问控制列表的规则序号范围IP标准访问控制列表(StandardAccessControlList,简称SACL)是一种按照特定格式编制的访问控制规则,可以实施不同程度的访问控制方案。
SACL的核心在于按照规则序号进行序列化编码,从而将访问控制规则的设置一步步的添加、修改、删除进行有序的操作。
规则序号是访问控制规则的主要分类标准。
IP标准访问控制列表规则序号范围是0-99,每条规则最多可以有99条。
每条规则序号代表一个确切的意义,每条规则序号的设置及其排列顺序决定了访问控制规则的最终形成,是进行访问控制的核心依据。
在IP标准访问控制列表规则数量上,SACL一般可以设置接近100条规则,但是有时候当用户尝试设置规则超过99条时,系统会出现错误。
这是因为SACL规则序号范围是0-99,用户最多只能设置99条规则,而超过99条则会超出序号范围,导致系统报错。
IP标准访问控制列表规则序号设置范围一定要严格遵守,以避免不必要的错误发生,特别是当用户尝试设置规则超过99条时,要特别注意不要超出序号范围,以免出现意料之外的系统错误。
同时,用户在设置SACL时,应当特别注意规则序号的顺序,以免出现访问控制规则实现时规则未正确生效的情况。
SACL的规则及其序号设置是路由网络中最重要的一项功能,它控制了数据包的流向,能够有效的实施网络的安全管理,有效的提升网络的安全性。
因此,设置SACL时,一定要严格按照规则序号范围,其范围为0-99,每条规则最多可以设置99条,使用者一定要注意规则序号的设置顺序,以免出现访问控制规则未正确生效等情况。
同时,当用户尝试设置规则超过99条时,一定要注意不要超出序号范围,以免出现意料之外的系统错误。
访问控制列表(ACL)总结配置与应用
Router(config)#no access-list access-list-number 注意:对于扩展 ACL 来说,不能删除单条 ACL 语法,只能删除整个 ACL,这 意味着如果要改变一条或多条 ACL 语句,必须删除整个 ACL,然后输入所要的 ACL。
5
标准 ACL 配置实例
如图:要求配置标准 ACL 实现禁止主机 PC1 访问主机 PC2,而允许其他所有流量
3
1、 分析哪个接口应用标准 ACL
应用在入站还是出站接口。 路由器对进入的数据包先检查入访问控制列表,对允许传输的数据包才查询路由
表,而对于外出的数据包先查询路由表,确定目标后才查看出访问控制列表。因此应该 尽量把访问控制列表应用入站方向,因为它比应用到出站接口效率更高:将要丢弃的数 据包在路由器进行路由表查询处理之前就拒绝掉。 应用在哪台路由器上。
R1#show access-lists
Extended IP access list 101 10 permit tcp host 192.168.1.2 host 192.168.4.2 eq www 20 deny ip host 192.168.1.2 host 192.168.4.2
6
R1#show running-config
由于标准 ACL 只能根据源地址过滤数据包,如果应用在路由器 R1 或 R2 的入站 接口,那 PC1 不仅不能访问 PC2,而且不能访问 192.168.4.0,二应用在 R3 的入接口 接可以实现。
2、 配置标准 ACL 并应用到接口上
R3(config)#access-list 1 deny host 192.168.1.2 R3(config)#access-list 1 permit any R3(config)#interface fastEthernet0/0 R3(config-if)#ip access-group 1 in
实验八 访问控制列表ACL配置
(进入配置命令) R0(config)#ip access-list 1 (为标准IP访问配置命令命名) R0(config-std-nacl)#permit 172.16.1.0 0.0.0.255 (允许连通/访问172.16.1.0) R0(config-std-nacl)#deny 172.16.2.0 0.0.0.0.255 (禁止连通/访问172.16.2.0) R0(config)#int s 1/0 R0(config-if)#ip access-group 1 out
R0(config-if)#end
(ACL配置在 S 1/0 端口的应用)
实验步骤
1. 新建拓扑图
2. 设置PC机的IP地址 3. 设置路由器 (1)配置路由器接口IP地址 (2)配置路由器静态路由 (3)在R0上配置IP标准访问控制列表,并将其应用到接口上 4. 验证主机间的互通性
议端口号等信息用来告诉路由器哪能些数据 包可以收、哪能数据包需要拒绝。
标准IP访问控制列表编号为1-99 or 13001999,扩展IP 访问控制列表编号为100-199
or 2000-2699。
ACL 并不复杂,但在实际应用中的,要想 恰当地应用ACL,必需要制定合理的策略。
基本配置命令
访问财务处。我们该如何配置网络?
实验实例
实验原理
ACL
ACL 全称为访问控制列表,俗称防火墙, ACL 通过定义一些规则对网络设备接口上
的数据报文进行控制:允许通过或丢弃,
从而提高网络可管理性和安全性。
分为标准ACL和扩展ACL,是应用在路由器
接口的指令列表。这些指令列表根据数据包
ACL案例及说明
ACL案例及说明技术从来都是一把双刃剑,网络应用与互联网的普及在大幅提高企业的生产经营效率的同时,也带来了诸如数据的安全性,员工利用互联网做与工作不相干事等负面影响。
如何将一个网络有效的管理起来,尽可能的降低网络所带来的负面影响就成了摆在网络管理员面前的一个重要课题。
A公司的某位可怜的网管目前就面临了一堆这样的问题。
A公司建设了一个企业网,并通过一台路由器接入到互联网。
在网络核心使用一台基于IOS的多层交换机,所有的二层交换机也为可管理的基于IOS的交换机,在公司内部使用了VLAN技术,按照功能的不同分为了6个VLAN。
分别是网络设备与网管(VLAN1,10.1.1.0/24)、内部服务器(VLAN2)、Internet连接(VLAN3)、财务部(VLAN4)、市场部(VLAN5)、研发部门(VLAN6),出口路由器上Fa0/0接公司内部网,通过s0/0连接到Internet。
每个网段的三层设备(也就是客户机上的缺省网关)地址都从高位向下分配,所有的其它节点地址均从低位向上分配。
该网络的拓朴如下图所示:自从网络建成后麻烦就一直没断过,一会儿有人试图登录网络设备要捣乱;一会儿领导又在抱怨说互联网开通后,员工成天就知道泡网;一会儿财务的人又说研发部门的员工看了不该看的数据。
这些抱怨都找这位可怜的网管,搞得他头都大了。
那有什么办法能够解决这些问题呢?答案就是使用网络层的访问限制控制技术――访问控制列表(下文简称ACL)。
那么,什么是ACL呢?ACL是种什么样的技术,它能做什么,又存在一些什么样的局限性呢?ACL的基本原理、功能与局限性网络中常说的ACL是Cisco IOS所提供的一种访问控制技术,初期仅在路由器上支持,近些年来已经扩展到三层交换机,部分最新的二层交换机如2950之类也开始提供ACL的支持。
只不过支持的特性不是那么完善而已。
在其它厂商的路由器或多层交换机上也提供类似的技术,不过名称和配置方式都可能有细微的差别。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
deny 172.16.2.0 0.0.0.255 (如果有上面的permit默认跟一个deny,所以此命令可不写)
conf t
int s 2/0
ip access-group 5ijsj out
end
PC0
ping 172.16.4.2 (success)
IP ACL分为两种:标准IP访问列表和扩展IP访问列表,编号范围为1~99、1300~1999、100~199、2000~2699;
标准IP访问控制列表可以根据数据包的源IP地址定义规则,进行数据包的过滤;
扩展IP访问列表可以根据数据包的原IP、目的IP、源端口、目的端口、协议来定义规则,进行数据包的过滤;
no shutdown
int fa 1/0
ip address 172.16.2.1 255.255.255.0
no shutdown
int s 2/0
ip address 172.16.3.1 255.255.255.0
no ቤተ መጻሕፍቲ ባይዱhutdown
clock rate 64000
Router1
en
conf t
PC1代表经理部的主机、PC2代表销售部的主机、PC3代表财务部的主机。
技术原理
ACLs的全称为接入控制列表(Access Control Lists),也称访问控制列表(Access Lists),俗称防火墙,在有的文档中还称包过滤。ACLs通过定义一些规则对网络设备接口上的数据包文进行控制;允许通过或丢弃,从而提高网络可管理型和安全性;
host R1 int s 2/0
ip address 172.16.3.2 255.255.255.0
no shutdown
int fa 0/0
ip address 172.16.4.1 255.255.255.0
no shutdown
Router0
exit
ip route 172.16.4.0 255.255.255.0 172.16.3.2
(4)在R1上编号的IP标准访问控制
(5)将标准IP访问控制应用到接口上。
(6)验证主机之间的互通性。
实验设备
PC 3台;Router-PT 2台;交叉线;DCE串口线;
PC0
IP: 172.16.1.2
Submask: 255.255.255.0
Gageway: 172.16.1.1
PC1
IP: 172.16.2.2
Submask: 255.255.255.0
Gageway: 172.16.2.1
PC2
IP: 172.16.4.2
Submask: 255.255.255.0
Gageway: 172.16.4.1
Router0
en
conf t
host R0
int fa 0/0
ip address 172.16.1.1 255.255.255.0
IP ACL基于接口进行规则的应用,分为:入栈应用和出栈应用;
实验步骤
新建Packet Tracer拓扑图
(1)路由器之间通过V.35电缆通过串口连接,DCE端连接在R1上,配置其时钟频率64000;主机与路由器通过交叉线连接。
(2)配置路由器接口IP地址。
(3)在路由器上配置静态路由协议,让三台PC能够相互Ping通,因为只有在互通的前提下才涉及到方控制列表。
第十三章标准IP访问控制列表配置
实验目标
理解标准IP访问控制列表的原理及功能;
掌握编号的标准IP访问控制列表的配置方法;
实验背景
你是公司的网络管理员,公司的经理部、财务部们和销售部门分属于不同的3个网段,三部门之间用路由器进行信息传递,为了安全起见,公司领导要求销售部门不能对财务部进行访问,但经理部可以对财务部进行访问。
Router1
exit
ip route 0.0.0.0 0.0.0.0 172.16.3.1
end
show ip route
PC0
ping 172.16.4.2 (success)
PC1
ping 172.16.4.2 (success)
Router0
ip access-list standard 5ijsj
PC1
ping 172.16.4.2 (Replay from 172.16.2.1: Destination host unreachable)