码迷,mamicode.com
首页 > 其他好文 > 详细

访问控制列表(二)

时间:2015-12-11 07:06:19      阅读:253      评论:0      收藏:0      [点我收藏+]

标签:source   protocol   

访问控制列表(二)

n 扩展访问控制列表的配置

1. 创建ACL

命令语法如下:

Router(config)# access-list access-list-number { permit | deny } protocol { source source-wildcard destination destination-wildcard } [ operator operan ]

下面是命令参数的详细说明:

? access-list-number访问控制列表表号,对于扩展ACL来说,是100-199的一个数字。

? permit|deny如果满足测试条件,则允许|拒绝该通信流量。

? protocol用来指定协议类型,如IP、TCP、UDP、ICMP等。

? source、destination:源和目的,分别用来标识源地址和目的地址

? source-wildcard、destination-wildcard:反码,source-wildcard是源反码,与源地址向对应;destination-wildcard是目的反码,与目的地址对应。

? operator operanlt(小于)、gt(大于)、eq(等于)或neq(不等于)一个端口号。

例1 允许网络192.168.1.0/24访问网络192.168.2.0/24的IP流量通过,而拒绝其他任何流量,ACL命令如下所示:

Router(config)# access-list 101 permit ip 192.168.2.0/24 0.0.0.255 192.168.2.0 0.0.0.255

Router(config)# access-list 101 deny ip any any

例2 拒绝网络192.168.1.0/24访问FTP服务器192.168.2.2/24的IP流量通过,而允许其他任何流量,ACL命令如下所述:

Router(config)# access-list 101 deny tcp 192.168.1.0 0.0.0.255 host 192.168.2.2 eq 21

Router(config)# access-list 101 permit ip any any

例3 禁止网络192.168.1.0/24中的主机ping通服务器192.168.2.2/24,而允许其他任何流量,ACL命令如下所述:

Router(config)# access-list 101 deny icmp 192.168.1.0 0.0.0.255 host 192.168.2.2 echo

Router(config)# access-list 101 permit ip any any

删除已建立的扩展ACL命令语法与标准ACL一样,如下所示:

Router(config)# no access-list access-list-number

扩展ACL与标准ACL一样,也不能删除单条ACL语句,只能删除整个ACL。

2. 将ACL应用于接口

与标准ACL一样,只有将ACL应用于接口,ACL才会生效。

命令语法与标准ACL一样,如下所示:

Router(config-if)# ip access-group access-list-number {in | out}

要在接口上取消ACL的应用,可以使用如下命令:

Router(config-if)# no ip access-group access-list-number {in | out}

n 扩展ACL的配置实例

技术分享

实验要求:

? 拓扑图如上所示,现允许主机PC1访问Web服务器的WWW服务,而禁止主机PC1访问Web服务器的其他任何服务。

? 允许主机PC1访问网络192.168.2.0/24。

配置步骤:

1. 配置全网互通。

2. 分析在哪个接口应用扩展ACL

? 应用在入站接口还是出站接口

与标准ACL一样,应该尽量把访问控制列表应用到入站接口

? 应用在哪台路由器上

由于扩展ACL可以根据源IP地址、目的IP地址、指定协议、端口等过滤数据包,因此最好应用到路由器R1的入站接口。如果应用在路由器R2或R3的入站接口上,会导致所经过的路由器占用不必要的资源。也就是说,应该把扩展ACL应用在离源地址最近的路由器上。

3. 配置扩展ACL并应用到接口上。

命令如下:

技术分享

4. 查看并验证配置

? 使用show access-list命令查看ACL配置。

技术分享

? 验证配置

u 在PC1上可以访问Web服务器的WWW服务,但不能ping通Web服务器

技术分享

u 在PC1上可以ping通网络192.168.2.0/24中的任一台主机

技术分享

n 命令访问控制列表的配置

1. 创建ACL

命令语法如下:

Router(config)# ip access-list {standard | extended} access-list-name

参数access-list-name可以使用一个由字母、数字组合的字符串

如果是标准命令ACL,命令语法如下所述:

Router(config-std-nacl)# [Sequence-Number] {permit | deny} source [source-wildcard]

如果是扩展命名ACL,命令语法如下所述:

Router(config-std-nacl)# [Sequence-Number] { permit | deny } protocol {source source-wildcard destination destination-wildcard} [ operator operan ]

无论是配置标准命名ACL语句还是配置扩展命名ACL语句,都有一个可选参数Sequence-Number。Sequence-Number参数表明了配置的ACL语句在命令ACL中所处的位置,默认情况下,第一条为10,第二条为20,依次类推。

Sequence-Number可以很方便的将新添加的ACL语句插入到原有的ACL列表的指定位置,如果不选择Sequence-Number,参数就会添加到ACL列表末尾并且序列号加10。

例4 允许来自主机192.168.1.1/24的流量通过,而拒绝其他流量,标准命名ACL命令如下所述:

Router(config)# ip access-list standard cisco

Router(config-std-nacl)# permit host 192.168.1.1

Router(config-std-nacl)# deny any

使用show access-list命令查看ACL配置,结果如下所述:

Router# show access-list

Standard IP access-list cisco //标准访问控制列表cisco

10 permit 192.168.1.1 //配置的第1条ACL语句序列号为10

20 deny any //配置的第2条ACL语句序列号为20

此时更改需求,除允许来自主机192.168.1.1/24的流量通过外,也允许来自主机192.168.2.1/24的流量通过,可以进行如下配置:

Router(config)# ip access-list standard cisco

Router(config-std-nacl)# 15 permit host 192.168.2.1 //配置ACL语 句序列号为15

再次查看配置的ACL,结果如下:

Router# show access-list

Standard IP access-list cisco

10 permit 192.168.1.1

15 permit 192.168.2.1 //新配置的ACL语句,放到了ACL列表的指 定位置

20 deny any

注意:如果不指定序列号,则新添加的ACL被添加到列表的末尾。

例5 拒绝网络192.168.1.0/24访问FTP服务器192.168.2.2/24的流量通过,而允许其他任何流量,扩展命名ACL命令如下所述:

Router(config)# ip access-list extended cisco

Router(config-ext-nacl)# deny tcp 192.168.1.0 0.0.0.255 host 192.168.2.2 eq 21

Router(config-ext-nacl)# permit ip any any

删除已建立的命令ACL

命令语法如下:

Router(config)# no ip access-list {standard | extended} access-list-name

对命名ACL来说,可以删除单条ACL语句,而不必删除整个ACL。并且,ACL语句可以有选择的插入到列表中的某个位置,使得ACL配置更加方便灵活。

如果要删除某一ACL语句,可以使用“no Sequence-Number”或“no ACL语句”两种方式。例如,在例1中删除“permit host 192.168.1.1”的语句命令如下:

Router(config)# ip access-list standard cisco

Router(config-std-nacl)# no 10

Router(config)# ip access-list standard cisco

Router(config-std-nacl)# no permit host 192.168.1.1

2. 将ACL应用于接口

创建命令ACL后,也必须将ACL应用于接口才会生效。

命令语法如下:

Router(config-if)# ip access-group access-list-name {in | out}

要在接口上取消命令ACL的应用,可以使用如下命令:

Router(config-if)# no ip access-group access-list-name {in | out}

n 命名ACL配置实例

技术分享

实验要求:

一.公司新建了一台服务器(IP地址:192.168.2.2),出于安全方面考虑要求如下:

? 192.168.1.0/24网段中除192.168.1.1和192.168.1.3外的其余地址都不能访问服务器。

? 其他公司网段都可以访问服务器。

具体步骤:

1. 拓扑图如上所示,配置全网互通。

2. 设备配置ACL如下:

技术分享

技术分享

3. 使用show access-list命令查看配置的ACL信息,结果如下:

技术分享

4. 验证配置。主机192.168.1.1和192.168.1.3能ping通服务器,主机192.168.1.2不能。

技术分享

二.网络运行一段时间后,由于公司人员调整,需要变更访问服务器的ACL,要求如下:

? 不允许主机192.168.1.1和192.168.1.3 访问服务器

? 允许主机192.168.1.2访问服务器

具体步骤:

1. ACL变更配置如下:

技术分享

2. 再次查看配置的ACL信息,结果如下:

技术分享

3. 验证配置。主机192.168.1.1和192.168.1.3不能ping通服务器了,主机192.168.1.2可以ping通服务器。

技术分享

注意:如果不指定序列号,则新添加的ACL被添加到列表的末尾。

n 访问控制列表的应用

技术分享

公司内部网络已经建成,拓扑图如上所示。

公司内部网络规划如下:

? 根据公司现有各部门主机数量和以后增加主机的情况,为每个部门分配一个C类地址并且每个部门使用一个VLAN,便于管理。

? 分配一个C类地址作为设备的管理地址

按照上述规划配置设备,已经实现了网络连通

基于信息安全方面考虑,公司要求如下:

? 限定不同的部门能够访问的服务器,例如:财务部只能访问财务部服务器,生产部只能访问生产部服务器。

? 网络管理员可以访问所有服务器。

? 网络设备只允许网管区IP地址通过TELNET登录,并配置设备用户名为benet,密码为123456。

? 只有网络管理员才能通过远程桌面、TELNET、SSH等登录方式管理服务器。

? 要求所有部门之间不能互通,但都可以和网络管理员互通。

? 公司中有几名信息安全员,公司要求信息安全员可以访问服务器,但不能访问Internet。

? 外网只能访问特定服务器的特定服务。

网络规划如下:

? 公司全部使用192.168.0.0/16网段地址。

? 配置设备的网管地址。其中SW3L为192.168.0.1/24,SW1为192.168.0.2/24,SW2为192.168.0.3/24,R1为1.1.1.1/32。

? PC1为网络管理区主机,其IP地址为192.168.2.2/24,网关为192.168.2.1/24,属于VLAN 2;PC2为财务部主机,IP地址为192.168.3.2/24,网关为192.168.3.1/24,属于VLAN 3;PC3为信息安全员主机,IP地址为192.168.4.2/24,网关为192.168.4.1/24,属于VLAN 4。

? 在SW3L交换机VLAN 2接口的IP地址为192.168.2.1/24,VLAN 3接口的IP地址为192.168.3.1/24,VLAN 4接口的IP地址为192.168.4.1/24,VLAN 100接口的IP地址为192.168.100.1/24。

? 服务器IP地址为192.168.100.2/24,网关地址为192.168.100.1/24,属于VLAN 100。

? SW3L和R1的互联地址为10.0.0.0/30。

? 配置R1路由器的Loopback接口地址的为123.0.1.1/24,模拟外网地址。

按照公司网络规划和要求配置设备。

具体配置:

1. 配置设备,实现全网互通

R1配置如下:

R1(config)# int f0/0

R1(config-if)# ip address 10.0.0.1 255.255.255.252

R1(config-if)# no sh

R1(config)# int loopback 0

R1(config-if)# ip address 123.0.1.1 255.255.255.0

R1(config)# ip route 192.168.0.0 255.255.0.0 10.0.0.2

R1(config)# int loopback 1

R1(config-if)# ip address 1.1.1.1 255.255.255.255

SW3L配置信息如下:

SW3L(config)# vlan 2

SW3L(config)# vlan 3

SW3L(config)# vlan 4

SW3L(config)# vlan 100

SW3L(config)# int f0/1

SW3L(config-if)# no switchport

SW3L(config-if)# ip address 10.0.0.2 255.255.255.252

SW3L(config)#ip route 0.0.0.0 0.0.0.0 10.0.0.1

SW3L(config)# int range int f0/13 -14

SW3L(config-if-range)# switchport trunk encapsulation dot1q

SW3L(config-if-range)# seitchport mode trunk

SW3L(config)# int vlan 2

SW3L(config-if)# ip address 192.168.2.1 255.255.255.0

SW3L(config-if)# no sh

SW3L(config)# int vlan 3

SW3L(config-if)# ip address 192.168.3.1 255.255.255.0

SW3L(config-if)# no sh

SW3L(config)# int vlan 4

SW3L(config-if)# ip address 192.168.4.1 255.255.255.0

SW3L(config-if)# no sh

SW3L(config)# int vlan 100

SW3L(config-if)# ip address 192.168.100.1 255.255.255.0

SW3L(config-if)# no sh

SW3L(config)# ip routing

SW3L(config)# int vlan 1

SW3L(config-if)# ip address 192.168.0.1 255.255.255.0

SW3L(config-if)# no sh

SW1配置信息如下:

SW1(config)# vlan 2

SW1(config)# vlan 3

SW1(config)# vlan 4

SW1(config)# int f0/14

SW1(config-if)# switchport mode trunk

SW1(config)#int f0/1

SW1(config-if)# switchport mode access

SW1(config-if)# switchport access vlan 2

SW1(config)#int f0/2

SW1(config-if)# switchport mode access

SW1(config-if)# switchport access vlan 3

SW1(config)#int f0/3

SW1(config-if)# switchport mode access

SW1(config-if)# switchport access vlan 4

SW1(config)# int vlan 1

SW1(config-if)# ip address 192.168.0.2 255.255.255.0

SW1(config-if)# no sh

SW1(config)# ip default-gateway 192.168.0.1

SW2配置信息如下:

SW3(config)# vlan 100

SW3(config-vlan)# exit

SW3(config)#int f0/14

SW3(config-if)#switchport mode trunk

SW3(config)# int f0/1

SW3(config-if)# switchport mode access

SW3(config-if)# switchport access vlan 100

SW3(config)#int vlan 1

SW3(config-if)# ip address 192.168.0.3 255.255.255.0

SW3(config-if)# no sh

SW3(config)# ip default-gateway 192.168.0.1

2. 配置ACL实现公司要求

配置实现网络设备只允许网管去IP地址可以通过TELNET登录,并配置设备用户名为benet,密码为123456,R1的配置如下:

R1(config)# access-list 1 permit 192.168.2.0 0.0.0.255

R1(config)# username benet password 123456

R1(config)# line vty 0 4

R1(config-line)# login local

R1(config-line)# access-class 1 in

R1(config-line)# exit

SW3L、SW1、SW2的配置与R1相同

公司其他要求的配置命令如下:

//ACL 100 表示内网主机都可以访问服务器,但是只有网络管理员才能通过TELNET、SSH和远程桌面登录服务器,外网只能访问服务器的80端口

SW3L(config)#access-list 100 permit ip 192.168.2.0 0.0.0.255 host 192.168.100.2

//上述一条ACL表示:允许网络管理员网段192.168.2.0/24访问服务器

SW3L(config)#access-list 100 deny tcp 192.168.0.0 0.0.255.255 host 192.168.100.2 eq telnet

SW3L(config)#access-list 100 deny tcp 192.168.0.0 0.0.255.255 host 192.168.100.2 eq 22

SW3L(config)#access-list 100 deny tcp 192.168.0.0 0.0.255.255 host 192.168.100.2 eq 3389

//上述四条ACL表示:除192.168.2.0/24网段外其他所有内网地址均不能通过TELNET、SSH和远程桌面登录服务器

SW3L(config)#access-list 100 permit ip 192.168.0.0 0.0.255.255 host 192.168.100.2

SW3L(config)#access-list 100 permit tcp any host 192.168.100.2 eq 80

//上述两条ACL表示:允许内网主机访问服务器,允许外网主机访问服务器的80端口

SW3L(config)#access-list 100 deny ip any any

SW3L(config)# int vlan 100

SW3L(config-if)# ipaccess-group 100 out

SW3L(config-if)# exit

//ACL 101表示192.168.3.0/24网段主机可以访问服务器,可以访问网络管理员网段,但不能访问其他部门网段,也不能访问外网

SW3L(config)#access-list 101 permit ip 192.168.3.0 0.0.0.255 host 192.168.100.2

SW3L(config)#access-list 101 permit ip 192.168.3.0 0.0.0.255 192.168.2.0 0.0.0.255

SW3L(config)#access-list 101 deny ip any any

SW3L(config)# int vlan 3

SW3L(config-if)# ip access-group 101 in

SW3L(config-if)# exit

//ACL 102表示192.168.4.0/24网段主机可以访问服务器,可以访问网络管理员网段,但不能访问其他部门网段,可以访问外网(这里用于测试目的)

SW3L(config)#access-list 102 permit ip 192.168.4.0 0.0.0.255 host 192.168.100.2

SW3L(config)#access-list 102 permit ip 192.168.4.0 0.0.0.255 192.168.2.0 0.0.0.255

SW3L(config)#access-list 102 deny ip 192.168.4.0 0.0.0.255 192.168.0.0 0.0.255.255

SW3L(config)#access-list 102 permit ip any any

SW3L(config)# int vlan 4

SW3L(config-if)# ip access-group 102 in

SW3L(config-if)# exit

访问控制列表(二)

标签:source   protocol   

原文地址:http://luwenjuan.blog.51cto.com/10967115/1721819

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!