第12章 ACL的基本配置.doc

20 网络工程实践教程-实验指南第12章 ACL12.1 ACL理论指导ACL是一种对网络通信流量的控制手段。可以限制网络流量、提高网络性能。在路由器端口处决定哪种类型的通信流量被转发或被阻塞。ACL使用包过滤技术，在路由器上读取第三层及第四层包头中的信息如源地址、目的地址、源端口、目的端口等，根据预先定义好的规则对包进行过滤，从而达到访问控制的目的。ACL 是一系列 permit 或 deny 语句组成的顺序列表，应用于 IP 地址或上层协议。ACL 可以从数据提取以下信息，根据规则进行测试，然后决定是“允许”还是“拒绝”：源 IP 地址目的 IP 地址ICMP 消息类型TCP/UDP 源端口TCP/UDP 目的端口当每个数据包经过接口时，都会与该接口上的 ACL 中的语句从上到下一行一行进行比对，如果数据包报头与某条 ACL 语句匹配，由匹配的语句决定是允许还是拒绝该数据包。如果数据包报头与 ACL 语句不匹配，那么将使用列表中的下一条语句测试数据包。直到抵达列表末尾。最后一条隐含的语句适用于不满足之前任何条件的所有数据包。并会发出“拒绝”指令。直接丢弃它们。最后这条语句通常称为“隐式 deny any 语句”或“拒绝所有流量”语句。由于该语句的存在，所以 ACL 中应该至少包含一条 permit 语句，否则 ACL 将阻止所有流量。3P 原则：每种协议 (per protocol)、每个方向 (per direction)、每个接口 (per interface) 配置一个 ACL。在适当的位置放置 ACL 可以过滤掉不必要的流量，使网络更加高效。一般原则：尽可能把扩展acl 放置在距离要被拒绝的通信流量近的地方。标准ACL由于不能指定目的地址，所以它们应该尽可能放置在距离目的地最近的地方。当要删除ACL时，首先在接口上输入 no ip access-group 命令，然后输入全局命令 no access-list 删除整个 ACL。通配符掩码通配符掩码是一串二进制数字，它告诉路由器应该查看子网号的哪个部分。尽管通配符掩码与子网掩码没有任何功能上的联系，但它们确实具有相似的作用。此掩码用于确定应该为地址匹配应用多少位 IP 源或目的地址。掩码中的数字 1 和 0 标识如何处理相应的 IP 地址位。通配符掩码位 0 匹配地址中对应位的值通配符掩码位 1 忽略地址中对应位的值标准IP ACL标准IP ACL 的序列号的范围是1 到99或 1300 到 1999 之间.标准IP ACL仅仅根据源 IP 地址允许或拒绝流量,其中反掩码用于控制网段范围.另外如果使用关键字host,反掩码即为,可省略不写.并且要一记住IP ACL 末尾默认隐含的全部拒绝.标准IP ACL的格式为：Router(config)# access-list access-list-number permit|deny host source-ip-addressinverse-mask接口配置模式下应用IP ACL:Router(config-if)#ip access-group access-list-number in|out参数说明：access-list-number：ACL 的编号。deny：匹配条件时拒绝访问。Permit：匹配条件时准许访问。Remark：在 IP 访问列表中添加备注，增强列表的可读性。source-ip-address：源IP。inverse-mask：通配符掩码。In：在数据进入路由器前检测数据。Out：在数据出路由器前检测数据。例如：在图4-1 中禁止PC 1 访问路由器ASUQA: 图 4-1路由器ASUQA 配置如下:ASUQA#configure terminalEnter configuration commands, one per line. End with CNTL/Z.ASUQA(config)#access-list 1 deny 55ASUQA(config)#access-list 1 permit anyASUQA(config)#interface serial 0ASUQA(config-if)#ip access-group 1 inASUQA(config-if)#endASUQA#测试:AIKO#pingProtocol ip:Target IP address: Repeat count 5:Datagram size 100:Timeout in seconds 2:Extended commands n: ySource address or interface: Type of service 0:Set DF bit in IP header? no:Validate reply data? no:Data pattern 0xABCD:Loose, Strict, Record, Timestamp, Verbosenone:Sweep range of sizes n:Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to , timeout is 2 seconds:Packet sent with a source address of .Success rate is 0 percent (0/5)AIKO#扩展IP ACL扩展IP ACL 的序列号的范围是100 到199.扩展 ACL 根据多种属性（例如，协议类型、源和 IP 地址、目的 IP 地址、源 TCP 或 UDP 端口、目的 TCP 或 UDP 端口）过滤 IP 数据包，并可依据协议类型信息（可选）进行更为精确的控制。扩展IP ACL的格式为：Router（config）# access-list access-list-number permit|deny protocol source inverse-mask operator port-number destination inverse-mask operator port-number established接口配置模式下应用IP ACL:Router(config-if)#ip access-group access-list-number in|out参数说明：protocol：用来指定协议类型，如IP、TCP、UDP、ICMP以及IGRP等inverse-mask：源和目的的通配符掩码operator ：operand包括It，gt，eq，neq（分别是小于、大于、等于、不等于）和一个端口号port-number ：端口号。例如：在图4-1 中对禁止PC 1 Telnet路由器ASUQA, 拒绝来自子网 的 FTP 流量进入子网 ，但允许所有其它流量路由器ASUQA 配置如下:ASUQA#configure terminalEnter configuration commands, one per line. End with CNTL/Z.ASUQA(config)#access-list 101 deny tcp 55 host eq 23ASUQA(config)#access-list 101 deny tcp 55 host eq 23ASUQA(config)#access-list 101 permit ip any any ASUQA(config)#interface serial 0ASUQA(config-if)#ip access-group 101 inASUQA(config-if)#end路由器AIKO 配置如下:ASUQA#configure terminalEnter configuration commands, one per line. End with CNTL/Z.AIKO (config)#access-list 102 deny tcp 55 eq 21AIKO (config)# access-list 102 deny tcp 55 eq 20AIKO (config)#access-list 102 permit ip any any AIKO(config)#interface e 0AIKO (config-if)#ip access-group 102 inAIKO (config-if)#end命名IP ACL命名ACL 允许在标准ACL 和扩展ACL 中，使用字符串代替前面所使用的数字来表示ACL。命名 ACL 让人更容易理解其作用。命名 IP ACL 允许您删除指定 ACL 中的具体条目。您可以使用序列号将语句插入命名 ACL 中的任何位置。配置模式和命令语法与普通ACL略有不同。标准命名ACL格式为：Router(config)#ip access-list standard nameRouter(config-std-nacl)# permit|deny host source-ip-addressinverse-mask接口配置模式下应用命名 ACL:Router(config-if)#ip access-group name in|out扩展命名ACL格式为：Router(config)#ip access-list extended nameRouter(config-ext-nacl)#permit|deny protocol source inverse-mask operator port-number destination inverse-mask operator port-number established接口配置模式下应用命名 ACL:Router(config-if)#ip access-group name in|out参数说明：extended：用来指定该ACL为命名的扩展ACL。standard：用来指定该ACL为命名的扩展ACL例如：在图4-1 中禁止PC 1 访问路由器ASUQA:路由器ASUQA 配置如下:ASUQA#configure terminalEnter configuration commands, one per line. End with CNTL/Z.ASUQA(config)#ip access-list jinzhipc1ASUQA(config-std-nacl)# deny 55ASUQA(config-std-nacl)# permit anyASUQA(config)#interface serial 0ASUQA(config-if)#ip access-group jinzhipc1 inASUQA(config-if)#endASUQA#例如：在图4-1 中对禁止PC 1 Telnet路由器ASUQA,.路由器ASUQA 配置如下:ASUQA#configure terminalEnter configuration commands, one per line. End with CNTL/Z.ASUQA(config)#ip access-list extended dpc1tASUQA(config-ext-nacl)# deny tcp 55 host eq 23ASUQA(config-ext-nacl)# deny tcp 55 host eq 23ASUQA(config-ext-nacl)# permit ip any any ASUQA(config)#interface serial 0ASUQA(config-if)#ip access-group dpc1t inASUQA(config-if)#end在接口上应用ACL使用 ip access-group 命令将其关联到接口： 语法格式：Router(config-if)#ip access-group access-list-number | access-list-name in | out参数说明：access-list-number：ACl的编号。access-list-name ：ACL的名字。in ：把ACl放在入口。Out：把ACl放在出口。例如：Router(config)#interface serial 0/0Router(config-if)#ip access-group dpc1t in在VTY上应用ACL在vty线路上使用ACL，过滤流量，使vty更加安全。只有编号访问列表可以应用到 VTY。 语法格式：Router(config-line)# access-class access-list-number in vrf-also | out参数说明：in ：限制特定 Cisco 设备与访问列表中地址之间的传入连接。Out：限制特定 Cisco 设备与访问列表中地址之间的传出连接。例如：router(config)#line vty 0 4router(config-line)#pass cisco router(config-line)#loginrouter(config-line)#access-class 11 in12.2 实验1:标准ACL1、实验目的通过本实验掌握标准ACL的配置。2、虚拟场景假设某公司有三个部门财务部，销售部，人事部，禁止销售部，人事部访问财务部的。禁止财务部上外网。3、实验拓扑 图4-2 实验1，实验2，实验3和实验4拓扑图4、实验步骤步骤1：在各路由器上配置IP地址，串口时钟和路由协议，保证直连链路的连通在财务部路由器R2上按图4-2进行设置如下:ROUTERenableROUTER #config terminal Enter configuration commands, one per line. End with CNTL/Z.ROUTER(config)#hostname cwCW(config)#inter f0/0CW(config-if)#ip address CW(config-if)#no shutdown CW(config)#inter f0/1CW(config-if)#ip address CW(config-if)#no shutdown CW(config-if)#inter s0/0CW(config-if)#ip address 0CW(config-if)#clock rate 64000CW(config-if)#no shutdown CW(config-if)#inter s0/1CW(config-if)#ip address 0CW(config-if)#clock rate 64000CW(config-if)#no shutdown CW(config)#router ospf 1CW (config-router)#network 55 area 0CW (config-router)#network 55 area 0CW (config-router)# network area 0CW (config-router)# network area 0在人事部路由器上按图4-2进行设置如下:ROUTER(config)#hostname rshRSH(config)#inter f0/0RSH(config-if)#ip address RSH(config-if)#no shutdown RSH(config)#inter f0/1RSH(config-if)#ip address RSH(config-if)#no shutdown RSH(config-if)#inter s0/0RSH(config-if)#ip address 0 0RSH(config-if)#clock rate 64000RSH(config-if)#no shutdown RSH(config-if)#inter s0/1RSH(config-if)#ip address 0RSH(config-if)#no shutdown RSH(config)#router ospf 1RSH (config-router)#network 55 area 0RSH (config-router)#network 55 area 0RSH (config-router)# network area 0RSH (config-router)# network area 0在销售部路由器上按图4-2进行设置如下ROUTER(config)#hostname xshXSH(config)#inter f0/0XSH(config-if)#ip address XSH(config-if)#no shutdown XSH(config)#inter f0/1XSH(config-if)#ip address XSH(config-if)#no shutdown XSH(config-if)#inter s0/0XSH(config-if)#ip address 172.16.0. 1 0XSH(config-if)#no shutdown XSH(config-if)#inter s0/1XSH(config-if)#ip address 0XSH(config-if)#no shutdown XSH(config-if)#inter s0/2XSH(config-if)#ip address 0XSH(config-if)#no shutdown XSH(config)#router ospf 1XSH (config-router)#network 55 area 0XSH (config-router)#network 55 area 0XSH (config-router)# network area 0XSH (config-router)# network area 0XSH (config-router)# network area 0步骤2：在各个路由器上放置标准ACLCW(config)#access-list 2 deny 55CW(config)#access-list 2 deny 55CW(config)#access-list 2 permit anyCW(config)#access-list 1 deny 55CW(config)#access-list 1deny 55CW(config)#access-list 1 permit anyCW(config-if)#inter s0/0CW(config-if)#ip access-group 1 inCW(config-if)#inter s0/2CW(config-if)#ip access-group 2 inXSH(config)#access-list 1 deny 55XSH(config)#access-list 1deny 55XSH(config)#access-list 1 permit anyXSH(config-if)#inter s0/2XSH(config-if)#ip access-group 1 out5、实验调试及注意事项在没有应用ACL前测试连通性：人事部，销售部的主机ping财务部的主机都会出现:PCping Pinging with 32 bytes of data:Reply from : bytes=32 time=125ms TTL=126Reply from : bytes=32 time=79ms TTL=126Reply from : bytes=32 time=94ms TTL=126Reply from : bytes=32 time=93ms TTL=126Ping statistics for : Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),Approximate round trip times in milli-seconds: Minimum = 79ms, Maximum = 125ms, Average = 97ms 财务部主机ping ISP：PCping Pinging with 32 bytes of data:Reply from : bytes=32 time=32ms TTL=254Reply from : bytes=32 time=63ms TTL=254Reply from : bytes=32 time=62ms TTL=254Reply from bytes=32 time=62ms TTL=254Ping statistics for : Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),Approximate round trip times in milli-seconds: Minimum = 32ms, Maximum = 63ms, Average = 54ms这说明在我们的配置没问题，各路由器是联通的。配置ACL后：人事部，销售部的主机ping财务部的主机：PCping Pinging with 32 bytes of data:Request timed out.Request timed out.Request timed out.Request timed out.Ping statistics for :Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),财务部主机ping ISP：PCping Pinging with 32 bytes of data:Reply from : Destination host unreachable.Reply from : Destination host unreachable.Reply from : Destination host unreachable.Reply from : Destination host unreachable.Ping statistics for :Packets: Sent = 4, Received = 0, Lost = 4 (100% loss), 注意事项：（1）、每台路由器必须配置好路由协议，并且测试其连通性。（2）、注意标准ACL的放置位置：尽可能放置在距离目的地最近的地方。6、实验思考问题：(1)、在财务部路由器上access-list 1只放在s0/0的入口上可以吗？为什么不同时放在s0/1的入口？（2）、在财务部路由器上access-list 1只放在s0/0的出口上可以吗？为什么？12.3实验2:扩展ACL1、实验目的通过本实验掌握扩展ACL的配置。2、虚拟场景假设某公司有三个部门财务部，销售部，人事部，禁止销售部访问财务部的FTP服务器和Telnet到财务部路由器；禁止财务部上网。仅允许已建立 TCP 会话进入PC4，不允许 ping 应答访问WEB服务器.3、实验拓扑：图4-3 4、实验步骤步骤1：在各路由器上配置IP地址，串口时钟和路由协议，保证直连链路的连通 参照实验1步骤1步骤2：在各路由器上配置扩展ACL在财务部的路由器上：cw(config)#access-list 111 deny tcp 55 host eq 21cw(config)#access-list 111 deny tcp 55 host eq 21cw(config)#access-list 111 deny tcp 55 host eq 20cw(config)#access-list 111 deny tcp 55 host eq 20cw(config)#access-list 111 deny tcp 55 any eq 23cw(config)#access-list 111 deny tcp 55 any eq 23cw(config)#access-list 111 permit ip any any cw(config)#inter s0/0cw(config-if)#ip access-group 111 incw(config)# access-list 112 permit tcp 55 host eq wwwcw(config)# access-list 112 deny tcp 55 any eq wwwcw(config)# access-list 112 permit tcp 55 host eq wwwcw(config)# access-list 112 deny tcp 55 any eq wwwcw(config)# access-list 112 permit ip any anycw(config)#inter s0/0cw(config-if)#ip access-group 112 out在销售部的路由器上：xsh(config)#access-list 111 permit tcp any host established xsh(config)#inter f0/1xsh(config-if)#ip access-group 111 out在人事部的路由器上：rsh(config)#access-list 111 deny icmp any host echo-reply rsh(config)#access-list 111 permit ip any any rsh(config)#inter f0/0rsh(config-if)#ip access-group 111 out5、实验调试及注意事项查看每个路由器的ACL：cw#show ip access-lists Extended IP access list 111 deny tcp 55 host eq ftp deny tcp 55 host eq ftp deny tcp 55 any eq telnet deny tcp 55 any eq telnet permit ip any any (147 match(es)Extended IP access list 112 permit tcp 55 host eq www deny tcp 55 any eq www permit tcp 55 host eq www deny tcp 55 any eq wwwpermit ip any anyrsh#show ip access-lists Extended IP access list 111deny icmp any host echo-reply permit ip any anyxsh#show ip access-lists Extended IP access list 111permit tcp any any established检查结果：在销售部的主机上PCtelnet Trying .% Connection timed out; remote host not respondingPCPCping Pinging with 32 bytes of data:Request timed out.Request timed out.Request timed out.Request timed out.Ping statistics for :Packets: Sent = 4, Received = 0, Lost = 4 (100% loss), 用财务部的主机：PCping Pinging with 32 bytes of data:Reply from : Destination host unreachable.Reply from : Destination host unreachable.Reply from : Destination host unreachable.Reply from : Destination host unreachable.Ping statistics for : Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),但是用PC4;PCping Pinging with 32 bytes of data:Reply from : bytes=32 time=94ms TTL=126Reply from : bytes=32 time=93ms TTL=126Reply from : bytes=32 time=78ms TTL=126Reply from : bytes=32 time=94ms TTL=126Ping statistics for : Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),Approximate round trip times in milli-seconds: Minimum = 78ms, Maximum = 94ms, Average = 89ms用财务部的主机ping WEB服务器：PCping Pinging with 32 bytes of data:Reply from : Destination host unreachable.Reply from : Destination host unreachable.Reply from : Destination host unreachable.Reply from : Destination host unreachable.Ping statistics for : Packets: Sent = 4, Received = 0, Lost = 4 (100% loss), 注意事项：（1）、如果access-list 出错，只需no access-list access-list number ，再重新编写即可。（2）、仔细体会ACL放置的地方。6、实验思考问题：(1)、如果禁止财务部上外网应该怎么配置呢？和标准ACL有什么不同？使用扩展ACL比标准ACL有哪些好处？（2）、在路由器R2上，设置两条如下默认路由，可以吗？R2(config)#ip route R2(config)#ip route 12.4 实验3:命名ACl1、实验目的通过本实验掌握命名ACL的配置。2、虚拟场景假设某公司有三个部门财务部，销售部，人事部，禁止销售部Telnet到财务部路由器。禁止财务部上外网。 3、实验拓扑：图4-3 4、实验步骤步骤1：在