企业网络规划与实施 课件 第11章 访问控制列表

第11章访问控制列表11.1ACL的原理11.2ACL的配置11.3ACL的综合应用本章小结

11.1ACL的原理

1. ACL访问控制列表(AccessControlList，ACL)是应用在设备接口的指令列表(即规则)，如图11.1所示，在路由器接口上配置了ACL，可以实现禁止主机PC1访问服务器Server，允许主机PC2访问服务器Server。

图11.1ACL(1)

那么ACL如何进行访问控制呢？通常来说，我们常用的ACL读取的是网络层、传输层的报文头信息，其中包括源IP地址、目标IP地址、源端口号、目标端口号，ACL会根据预先定义好的规则对报文进行过滤，如图11.2所示。

图11.2ACL(2)

2. ACL的类型

ACL有很多类型，本章只介绍最常用的基本ACL和高级ACL。

(1)基本ACL会根据源IP地址来过滤数据包。

(2)高级ACL会根据源IP地址、目的IP地址、源端口、目的端口、协议来过滤数据包。

3. ACL的规则

每个ACL可以包含多个规则，路由器根据规则对数据包进行过滤，如图11.3所示。

图11.3ACL规则

11.2ACL的配置

11.2.1基本ACL的配置1. 创建基本ACL基本ACL基于源IP地址过滤数据包，列表号范围是2000～2999。

2. 将ACL应用于接口创建ACL后，只有将ACL应用于接口，ACL才会生效。

3. 路由器基本ACL配置案例

如图11.4所示，使用eNSP搭建实验环境，要求禁止PC1(IP地址为)访问服务器Server1，允许其他所有的访问流量。

图11.4路由器基本ACL配置案例

4. 交换机基本ACL配置案例

如图11.5所示使用eNSP搭建实验环境，要求禁止PC1访问服务器Server1，允许其他所有的访问流量。

图11.5交换机基本ACL配置案例

11.2.2高级ACL的配置

1. 创建高级ACL

高级ACL基于源IP地址、目的IP地址、源端口、目的端口、协议来过滤数据包，列表号是3000～3999。

2. 将ACL应用于接口

与基本ACL一样，只有将ACL应用于接口，ACL才会生效。

3. 高级ACL配置案例

如图11.6所示，使用eNSP搭建实验环境，要求如下：

(1) 允许Client1访问Server1的Web服务。

(2) 允许Client1访问网络/24。

(3) 禁止Client1访问其他网络。

图11.6高级ACL配置案例

测试：首先在Server1搭建Web服务，如图11.7所示。图11.7搭建Web服务

测试Client1可以访问Server1的Web服务，如图11.8所示。图11.8访问测试

11.3ACL的综合应用

如图11.9所示，公司网络建设规划如下：(1) 公司内每个部门使用一个VLAN，每个VLAN分配一个C类地址。(2) 使用MSTP实现VLAN负载均衡。(3) 双核心使用VRRP技术。

图11.9项目概述(1)

为了加强公司网络的内网安全，现在要求对其进行安全规划及配置，具体的需求如下：

(1) 网络设备只允许网管区IP登录。

(2) 各部门之间全机不能互通，但都可以和网管区互通。

(3) 财务部主机不能访问Internet。

(4) 各部门主机只能访问服务器的WWW服务。

(5) 只有网络管理员才能通过远程桌面来管理服务器。

因为本章主要介绍ACL的应用，所以对该实验进行简化，使用eNSP搭建实验环境，用路由器代替交换机，用路由器模拟WG主机。如图11.10所示，要求如下：

(1) AR1只允许WG主机登录，WG主机能ping通Server1和Client1。

(2) YF和CW主机之间不能互通，但都可以和WG互通。

(3) YF可以访问Client1。

(4) CW不能访问Client1。

(5) YF和CW只能访问Server1的WWW服务。

(6) 只有WG才能访问Server1的所有服务。

图11.10项目概述(2)

(6) 测试。WG能远程登录AR1，WG能ping通Server1和Client1。

YF()和CW()之间不能互通，但可以和WG()互通，如图11.11和图11.12所示。

图11.11项目测试(1)

图11.12项目测试(2)

YF()不能ping通Server1()，如图11.13所示。图11.13项目测试(3)

YF()能访问Server1()的WWW服务，如图11.14所示。

图11.14项目测试(4)

本章小结

我们常用的ACL读取的是网络层、传输层的报文头信息，包括源IP地址、目标IP地址、源端口号、目标端口号，根据预先定义好的规则对报文进行过滤，来实现访问控制。基本ACL会根据源IP地址来过滤数据包，列表号范围是2000～2999。高级ACL会根据源IP地址、目的IP地址、源端口、目的端口、协议来过滤数据包，列表号范围是3000～3999。

应用在接口的ACL只能通过由滤路由器转发的数据包，而不会通过由路由器始发的数据包。例如，在路由器上使用ping命令发出的数据包等，不会