14.9 元
下载资源

ACL原理及配置实例.ppt

上传人:xin****828 文档编号:6286022 上传时间:2020-02-21 格式:PPT 页数:53 大小:1.20MB
返回 下载 相关 举报
ACL原理及配置实例.ppt_第1页
第1页 / 共53页
ACL原理及配置实例.ppt_第2页
第2页 / 共53页
ACL原理及配置实例.ppt_第3页
第3页 / 共53页
点击查看更多>>
资源描述
上次回顾 广域网接口配置配置PPP协议PPP协议的验证方式 本次内容 补充 理解ACL的基本原理会配置标准ACL会配置扩展ACL会配置ACL对网络进行控制理解NAT会配置NAPT 2 需求 需求1 作为公司网络管理员 当公司领导提出下列要求时你该怎么办 为了提高工作效率 不允许员工上班时间进行QQ聊天 MSN聊天等 但需要保证正常的访问Internet 以便查找资料了解客户及市场信息等 公司有一台服务器对外提供有关本公司的信息服务 允许公网用户访问 但为了内部网络的安全 不允许公网用户访问除信息服务器之外的任何内网节点 需求2 访问控制列表 ACL ACL概述基本ACL配置扩展ACL配置 访问控制列表概述 访问控制列表 ACL 读取第三层 第四层包头信息根据预先定义好的规则对包进行过滤 IP报头 TCP报头 数据 源地址目的地址 源端口目的端口 访问控制列表利用这4个元素定义的规则 7 访问控制列表的工作原理 访问控制列表在接口应用的方向访问控制列表的处理过程 8 访问控制列表类型 标准访问控制列表扩展访问控制列表命名访问控制列表定时访问控制列表 9 标准访问控制列表配置3 1 创建ACLRouter config access listaccess list number permit deny source source wildcard 删除ACLRouter config noaccess listaccess list number 允许数据包通过应用了访问控制列表的接口 拒绝数据包通过 10 标准访问控制列表配置3 2 应用实例Router config access list1permit192 168 1 00 0 0 255Router config access list1permit192 168 2 20 0 0 0允许192 168 1 0 24和主机192 168 2 2的流量通过隐含的拒绝语句Router config access list1deny0 0 0 0255 255 255 255关键字hostany 11 Hostany Host192 168 2 2 192 168 2 20 0 0 0any 0 0 0 0255 255 255 255R1 config access list1deny192 168 2 20 0 0 0R1config access list1permit0 0 0 0255 255 255 255与R1 config access list1denyhost192 168 2 2R1 config access list1permitany相同 标准访问控制列表配置3 3 将ACL应用于接口Router config if ipaccess groupaccess list number in out 在接口上取消ACL的应用Router config if noipaccess groupaccess list number in out 13 标准访问控制列表配置实例 实验编号的标准IP访问列表 实验目的 掌握路由器上编号的标准IP访问列表规则及配置 背景描述 你是一个公司的网络管理员 公司的经理部 财务部门和销售部门分属不同的3个网段 三部门之间用路由器进行信息传递 为了安全起见 公司领导要求销售部门不能对财务部门进行访问 但经理部可以对财务部门进行访问 PC1代表经理部的主机 PC2代表销售部门的主机 PC3代表财务部门的主机 技术原理 IPACL IP访问控制列表或IP访问列表 是实现对流经路由器或交换机的数据包根据一定的规则进行过滤 从而提高网络可管理性和安全性 标准IP访问列表可以根据数据包的源IP地址定义规则 进行数据包的过滤 IPACL基于接口进行规则的应用 分为 入栈应用和出栈应用 入栈应用是指由外部经该接口进行路由器的数据包进行过滤 出栈应用是指路由器从该接口向外转发数据时进行数据包的过滤 IPACL的配置有两种方式 按照编号的访问列表 按照命名的访问列表 标准IP访问列表编号范围是1 99 1300 1999 扩展IP访问列表编号范围是100 199 2000 2699 实现功能 实现网段间互相访问的安全控制 实验设备 RSR10路由器 两台 V 35线缆 1条 交叉线 3条 实验拓扑 实验步骤 步骤1 Router1 Router2基本配置IP地址等步骤2 路由表步骤3 访问控制列表访问控制列表应用在接口步骤4 测试 配置静态路由Router1 config iproute172 16 4 0255 255 255 0serial1 2Router2 config iproute172 16 1 0255 255 255 0serial1 2Router2 config iproute172 16 2 0255 255 255 0serial1 2测试命令 showiproute 步骤2配置标准IP访问控制列表 Router2 config access list1permit172 16 1 00 0 0 255 允许来自172 16 1 0网段的流量通过Router2 config access list1deny172 16 2 00 0 0 255 拒绝来自172 16 2 0网段的流量通过验证测试 Router2 showaccess lists1StandardIPaccesslist1includes2items deny172 16 2 0 wildcardbits0 0 0 255permit172 16 1 0 wildcardbits0 0 0 255 步骤3把访问控制列表在接口下应用 Router2 config interfacefastEthernet1 0Router2 config if ipaccess group1out 在接口下访问控制列表出栈流量调用 验证测试 Router2 showipinterfacefastEthernet1 0 步骤4 验证测试 ping 172 16 2 0网段的主机不能ping通172 16 4 0网段的主机 172 16 1 0网段的主机能ping通172 16 4 0网段的主机 注意事项 1 注意在访问控制列表的网络掩码是反掩码 2 标准控制列表要应用在尽量靠近目的地址的接口 参考配置 Router1 showrunning config 查看路由器1的全部配置 扩展访问控制列表配置2 1 创建ACLRouter config access listaccess list number permit deny protocol sourcesource wildcarddestinationdestination wildcard operatoroperan 删除ACLRouter config noaccess listaccess list number将ACL应用于接口Router config if ipaccess groupaccess list number in out 在接口上取消ACL的应用Router config if noipaccess groupaccess list number in out 27 扩展访问控制列表配置2 2 应用实例1Router config access list101permitip192 168 1 00 0 0 255192 168 2 00 0 0 255Router config access list101denyipanyany应用实例2Router config access list101denytcp192 168 1 00 0 0 255host192 168 2 2eq21Router config access list101permitipanyany应用实例3Router config access list101denyicmp192 168 1 00 0 0 255host192 168 2 2echoRouter config access list101permitipanyany 28 扩展ACL的编号为100 199 扩展ACL增强了标准ACL的功能增强ACL可以基于下列参数进行网络传输的过滤目的地址IP协议可以使用协议的名字来设定检测的网络协议或路由协议 例如 ICMP TCP和UDP等等TCP IP协议族中的上层协议可以使用名称来表示上层协议 例如 ftp 或 www 也可以使用操作符eq gt lt和neq equalto greaterthan lessthan和notequalto 来处理部分协议例如 希望允许除了http之外的所有通讯 其语句是permittcpanyanyneq80 请复习TCP和UDP的端口号也可以使用名称来代替端口号 例如 使用telnet来代替端口号23 端口号 放置扩展ACL的正确位置 在下图中 需要设定网络221 23 123 0中的所有节点不能访问地址为198 150 13 34服务器在哪个路由器的哪个接口上放置ACL 在RouterC的E0接口上放置这将防止221 23 123 0中的所有机器访问198 150 13 34 但是他们可以继续访问Internet 由于扩展ACL可以控制目的地地址 所以应该放置在尽量接近数据发送源的路由器上 减少网络资源的浪费 放置扩展ACL的正确位置 Router C config access list100denyip221 23 123 00 0 0 255198 150 13 340 0 0 0Router C config access list100permitipanyanyRouter C config inte0Router C config if ipaccess group100in 使用ACL 配置练习 PC1不能对Server0进行WWW访问 扩展访问控制列表例 如上图 网络221 23 123 0中部门经理使用的IP地址为221 23 123 1 部门经理可以访问内网server及与内网结点通信 并访问Internet 员工不能访问server 但可以和内网其他节点通信 只允许员工访问Internet的WWW的服务和收发邮件 答案Access list100permitiphost221 23 123 1anyAccess listdenyip221 23 123 00 0 255host198 150 13 34Access listpermitip221 23 123 00 0 0 255198 150 13 00 0 0 255Access listpermittcp221 23 123 00 0 0 255anyeqwww 或80 Access listpermittcp221 23 123 00 0 0 255anyeqpop3 或110 Access listpermittcp221 23 123 00 0 0 255anyeqsmtp 或25 扩展访问控制列表例 扩展访问控制列表例 如上图 允许serverping221 23 123 0网络内的节点 但是不允许该网络内节点pingserver 允许其他所有访问 答案 access list100permiticmp221 23 123 00 0 0 255host192 150 13 34echo replyaccess list100denyicmp221 23 123 00 0 0 255host192 150 13 34echoAccess list100permitipanyany 命名访问控制列表配置5 1 创建ACLRouter config ipaccess list standard extended access list name配置标准命名ACLRouter config std nacl Sequence Number permit deny source source wildcard 配置扩展命名ACLRouter config ext nacl Sequence Number permit deny protocol sourcesource wildcarddestinationdestination wildcard operatoroperan 标准命名ACL 扩展命名ACL Sequence Number决定ACL语句在ACL列表中的位置 38 命名访问控制列表配置5 2 标准命名ACL应用实例 查看ACL配置信息Router showaccess listsStandardIPaccesslistcisco10permit192 168 1 120denyany Router config ipaccess liststandardciscoRouter config std nacl permithost192 168 1 1Router config std nacl denyany允许来自主机192 168 1 1 24的流量通过 更改ACL 又允许来自主机192 168 2 1 24的流量通过Router config ipaccess liststandardciscoRouter config std nacl 15permithost192 168 2 1 Router showaccess listsStandardIPaccesslistcisco10permit192 168 1 115permit192 168 2 120denyany 添加序列号为15的ACL语句 ACL语句添加到了指定的ACL列表位置 39 命名访问控制列表配置5 3 扩展命名ACL应用实例Router config ipaccess listextendedciscoRouter config ext nacl denytcp192 168 1 00 0 0 255host192 168 2 2eq21Router config ext nacl permitipanyany 40 命名访问控制列表配置5 4 删除整组ACLRouter config noipaccess list standard extended access list name删除组中单一ACL语句noSequence NumbernoACL语句 创建ACLRouter config ipaccess liststandardciscoRouter config std nacl permithost192 168 1 1Router config std nacl endRouter showaccess listsStandardIPaccesslistcisco10permit192 168 1 1删除组中单一ACL语句Router config std nacl no10或Router config std nacl nopermithost192 168 1 1 41 命名访问控制列表配置5 5 将ACL应用于接口Router config if ipaccess groupaccess list name in out 在接口上取消ACL的应用Router config if noipaccess groupaccess list name in out 42 命名访问控制列表配置实例 公司添加服务器 要求如下192 168 1 4 192 168 1 7可以访问服务器192 168 1 0 24中除上述地址外都不能访问服务器其他公司网段都可以访问服务器公司人员调整 更改服务器访问权限不允许192 168 1 5和192 168 1 7主机访问服务器允许192 168 1 10主机访问服务器 43 定义时间范围 定义时间范围的名称Router config time rangetime range name指定该时间范围何时生效定义一个时间周期Router config time range periodicdays of the weekhh mmto days of the week hh mm定义一个绝对时间Router config time range absolute starthh mmdaymonthyear endhh mmdaymonthyear 参数days of the week的取值 44 定时访问控制列表配置2 1 扩展ACL中引入时间范围Router config access listaccess list number permit deny protocol sourcesource wildcarddestinationdestination wildcard operatoroperan time rangetime range name将ACL应用于接口Router config if ipaccess groupaccess list number in out 45 定时访问控制列表配置2 2 应用实例1Router config time rangemytimeRouter config time range periodicweekdays8 30to17 30Router config time range exitRouter config access list101permitipanyanytime rangemytimeRouter config intf0 0Router config if ipaccess group101in应用实例2Router config time rangemytimeRouter config time range absolutestart8 0010may2009end18 0020may2009Router config time range exitRouter config access list101permitipanyanytime rangemytimeRouter config intf0 0Router config if ipaccess group101in 46 小结 请思考ACL的作用是什么 ACL通过哪几个参数过滤数据包 ACL分为几种 47 案例 访问控制列表的应用 公司安全方面考虑要求限定不同的部门能访问的服务器网络管理员可以访问所有服务器网络设备只允许网管区IP地址可以通过TELNET登录只有网管能使用远程桌面 TELNET SSH等管理服务器所有部门之间不能互通 但可以和网管互通公司信息安全员可以访问服务器 不能访问Internet外网只能访问特定服务器的特定服务限制员工上网时间为工作日的8 00 18 00 公司网络拓扑图 48 访问控制列表的应用2 2 案例实施网络拓扑图 F0 24 F0 24 F0 24 F0 23 F0 1 F0 1 F0 3 F0 2 SW2 SW3 SW1 R1 F0 1 F0 0 PC1 PC2 PC3 服务器 49 下次实验 综合实验 实验环境拓扑 INTERNET运营商 Rj ISP S3650 S1916 2 F0 23 F0 24 F0 22 F0 22 S1916 1 F0 23 F0 24 F0 10 F1 0 S1 2 S1 2 F1 0 VLAN10 VLAN20 VLAN10 VLAN30 FTPserver 实验要求 实验具体要求 1 S1946 1划分两个VLAN VLAN10 VLAN20 其中F0 1 5属于VLAN10 F0 6 10属于VLAN20 2 S1916 2划分两个VLAN VLAN10 VLAN30 其中F0 1 5属于VLAN10 F0 6 10属于VLAN30 3 S2126G 1利用两条链路接入核心交换机 采用802 3ad提高链路带宽 提供冗余链路 4 S3750和出口路由器Rj相连 采用SVI方式进行配置 5 Rj路由器和电信端路由器利用V 35直连 采用PPP链路协议进行通讯 实验要求 实验具体要求 序 6 局域网内部三层交换机和路由器间利用RIPv2实现全网互通 路由器连外网配置缺省路由 7 配置动态NAPT实现局域网访问互联网 8 在全网配置安全策略1 VLAN10的主机可以访问VLAN20的主机 VLAN30的主机不可以访问VLAN20的主机 2 VLAN30的主机不可以访问FTPServer
展开阅读全文
相关资源
相关搜索

当前位置:首页 > 图纸专区 > 课件教案


copyright@ 2023-2025  zhuangpeitu.com 装配图网版权所有   联系电话:18123376007

备案号:ICP2024067431-1 川公网安备51140202000466号


本站为文档C2C交易模式,即用户上传的文档直接被用户下载,本站只是中间服务平台,本站所有文档下载所得的收益归上传人(含作者)所有。装配图网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。若文档所含内容侵犯了您的版权或隐私,请立即通知装配图网,我们立即给予删除!