锐捷实训12-1-标准IP访问控制列表的配置

实训11-1 标准IP访问控制列表的配置【实训目的】 （1）理解IP访问控制列表的原理及功能；（2）掌握编号的标准IP访问控制列表的配置方法；【实训技术原理】IP ACL（IP访问控制列表或IP访问列表）是实现对流经路由器或交换机的数据包根据一定的规则进行过滤，从而提高网络可管理性和安全性；IP ACL分为两种：标准IP访问列表和扩展IP访问列表，编号范围分别为199、13001999，100199、20002699；标准IP访问列表可以根据数据包的源IP地址定义规则，进行数据包的过滤；扩展IP访问列表可以根据数据包的源IP、目的IP、源端口、目的端口、协议来定义规则，进行数据包的过滤；IP ACL 基于接口进行规则的应用，分为：入栈应用和出栈应用；1什么是访问控制列表ACLs 的全称为接入控制列表(Access Control Lists)，也称为访问列表（Access Lists），俗称为防火墙，在有的文档中还称之为包过滤。ACLs 通过定义一些规则对网络设备接口上的数据报文进行控制：允许通过或丢弃。按照其使用的范围，可以分为安全ACLs 和QoS ACLs。对数据流进行过滤可以限制网络中的通讯数据的类型，限制网络的使用者或使用的设备。安全ACLs 在数据流通过网络设备时对其进行分类过滤，并对从指定接口输入或者输出的数据流进行检查，根据匹配条件(Conditions)决定是允许其通过(Permit)还是丢弃(Deny)。总的来说，安全ACLs 用于控制哪些数据流允许从网络设备通过，Qos 策略对这些数据流进行优先级分类和处理。ACLs 由一系列的表项组成，我们称之为接入控制列表表项(Access Control Entry：ACE)。每个接入控制列表表项都申明了满足该表项的匹配条件及行为。 访问列表规则可以针对数据流的源地址、目标地址、上层协议，时间区域等信息。访问控制列表语句的执行必须严格按照表中语句的顺序，从第一条语句开始比较，一旦一个数据包的报头跟表中的某个条件判断语句相匹配，那么后面的语句就将被忽略，不再进行检查。2基本IP访问控制列表创建访问列表时，定义的规则将应用于设备上所有的分组报文，设备通过判断分组是否与规则匹配来决定是否转发或阻断分组报文。基本访问列表包括标准访问列表和扩展访问列表，访问列表中定义的典型规则主要有以下：l 源地址l 目标地址l 上层协议l 时间区域标准IP 访问列表（编号为1 - 99，1300 - 1999）主要是根据源IP 地址来进行转发或阻断分组的，扩展IP 访问列表（编号为100 199，2000 - 2699）使用以上四种组合来进行转发或阻断分组的。其他类型的访问列表根据相关特征来转发或阻断分组的。对于单一的访问列表来说，可以使用多条独立的访问列表语句来定义多种规则，其中所有的语句引用同一个编号或名字，以便将这些语句绑定到同一个访问列表。不过，使用的语句越多，阅读和理解访问列表就越来越困难。1）隐含“拒绝所有数据流”规则语句在每个访问列表的末尾隐含着一条“拒绝所有数据流”规则语句，因此如果分组与任何规则都不匹配，将被拒绝。如下例：access-list 1 permit host 192.168.4.12此列表只允许源主机为192.168.4.12 的报文通过，其它主机都将被拒绝。因为这条访问列表最后包含了一条规则语句：access-list 1 deny any。又如：Access-list 1 deny host 192.168.4.12如果列表只包含以上这一条语句，则任何主机报文通过该端口时都将被拒绝。2）输入规则语句的顺序加入的每条规则都被追加到访问列表的最后，语句被创建以后，就无法单独删除它，而只能删除整个访问列表。所以访问列表语句的次序非常重要。设备在决定转发还是阻断分组时，设备按语句创建的次序将分组与语句进行比较，找到匹配的语句后，便不再检查其他规则语句。假设创建了一条语句，它允许所有的数据流通过，则后面的语句将不被检查。如下例：access-list 101 deny ip any anyaccess-list 101 permit tcp 192.168.12.0 0.0.0.255 eq telnet any由于第一条规则语句拒绝了所有的IP 报文，所以192.168.12.0/24 网络的主机Telnet 报文将被拒绝，因为设备在检查到报文和第一条规则语句匹配，便不再检查后面的规则语句。3）配置IP地址访问控制列表基本访问列表的配置包括以下两步：l 定义基本访问列表l 将基本访问列表应用于特定接口要配置基本访问列表，有以下两种方式：方式一 在全局配置模式下执行以下命令：方式二在ACL 配置模式下执行以下命令：4）显示IP 列表的配置要监控访问列表，请在特权用户模式执行以下命令：Ruijie# show access-lists id | name /此命令可以查看IP 访问列表【实现功能】实现网段间互相访问的安全控制；【实训背景描述】你是公司的网络管理员，公司的经理部、财务部门和销售部分别属于不同的3个网段，三部门之间用路由器进行信息传递，为了安全起见，公司领导要求销售部门不能对财务部进行访问，但经理部可以对财务部进行访问；PC1代表经理部的主机、PC2代表销售部的主机、PC3代表财务部的主机【实训设备】R1700（2台），PC（2台）、直连线（3条）、V.35线（1条）【实训内容】（1）按照拓扑进行网络连接（2）配置路由器接口IP地址（3）配置路由器静态路由（4）配置编号的IP标准访问控制列表（5）将访问列表应用到接口【实训拓扑图】 【实训步骤】（1）配置路由器R1、R2接口IP地址；（2）配置R1、R2静态路由；R1(config)#ip route 172.16.4.0 255.255.255.0 172.16.3.2R2(config)#ip route 172.16.1.0 255.255.255.0 172.16.3.1R2(config)#ip route 172.16.2.0 255.255.255.0 172.16.3.1用show ip route查看路由表，此时有直连路由，如R1R1#show ip route Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, * - candidate default U - per-user static routeGateway of last resort is not set172.16.0.0/24 is subnetted, 1 subnetsC 172.16.2.0 is directly connected, FastEthernet1/1172.16.0.0/24 is subnetted, 1 subnetsC 172.16.1.0 is directly connected, FastEthernet1/0172.16.0.0/24 is subnetted, 1 subnetsC 172.16.3.0 is directly connected, serial1/2S 172.16.4.0 1/0 via 172.16.3.2（3）R2配置编号的IP标准访问控制列表R2(config)#access-list 1 deny 172.16.2.0 0.0.0.255 ！拒绝来自172.16.2.0网段的流量通过R2(config)#access-list 1 permit 172.16.1.0 0.0.0.255 ！允许来自172.16.1.0网段的流量通过验证测试R2#show access-lists 1Standard IP access list 1 1 deny 172.16.2.0 0.0.0.255 (0 matches) 1 permit 172.16.1.0 0.0.0.255 (0 matches)（3）将访问列表应用到接口R2(config)#interface fastethernet 1/0R2(config-if)#ip access-group 1 out【实训测试】（1）用销售部主机172.16.2.8ping财务部主机172.16.4.2，不能ping通；（