ACL

| 文章字数:1.9k | 阅读时长:9min
这是一篇更新于 517 天前的文章,其中的信息可能已经有所发展或是发生改变。
访问控制列表(Access Control List,ACL) 是路由器和交换机接口的指令列表,用来控制端口进出的数据包。ACL适用于所有的被路由协议,如IP、IPX、AppleTalk等。ACL可以过滤网络中的流量,是控制访问的一种网络技术手段。ACL是物联网中保障系统安全性的重要技术,在设备硬件层安全基础上,通过对在软件层面对设备间通信进行访问控制,使用可编程方法指定访问规则,防止非法设备破坏系统安全,非法获取系统数据。

此篇博客主要讲ACL的一些基础配置,以及两个有关于自己平时学习上有关于ACL的综合实验。

ACL基础知识

ACL综合实验

实验要求:某公司有一台三层交换机,公司的服务器、部门A、部门B的用户都连接到这台交换机上,并有以下规定:

  1. 完成PC、服务器、交换机、路由器的基础配置(包括接口地址、vlan划分、静态或者动态路由等)
  2. 部门A和部门B的用户不允许访问FTP服务器和VOD服务器,但可以随时访问Mail服务器。
  3. 内部用户可以通过代理192.168.3.100(提示:路由器R0的下接口地址)访问Internet,但不允许部门A的用户访问Internet。(路由器router0上方的网络模拟为外网Internet)
  4. 部门A和部门B的总经理(IP地址分别为192.168.1.100和192.168.2.100)可以访问Internet和所有服务器。

    提示:cisco 访问控制列表建立与规则书写的格式如下:
    access-list 表号 permit(deny) 协议 源地址 目的地址 运算符 端口号
    在接口下应用ACL的指令如下:
    Ip access-group 表号 out (in)

注意此实验二层交换机不需要做配置
配置三层交换机S1

Switch>
Switch>en
Switch#conf t
Switch(config)#vlan 2
Switch(config-vlan)#exit
Switch(config)#vlan 3
Switch(config-vlan)#exit
Switch(config)#vlan 4
Switch(config-vlan)#exit
Switch(config)#int fa 0/1
Switch(config-if)#sw acc vlan 1
Switch(config-if)#exit
Switch(config)#int fa 0/2
Switch(config-if)#sw acc vlan 2
Switch(config-if)#exit
Switch(config)#int fa 0/3
Switch(config-if)#sw acc vlan 3
Switch(config-if)#exit
Switch(config)#int fa 0/4
Switch(config-if)#sw acc vlan 4
Switch(config-if)#exit
Switch(config)#int vlan 1
Switch(config-if)#ip add 192.168.1.1 255.255.255.0
Switch(config-if)#no shutdown
Switch(config-if)#exit
Switch(config)#int vlan 2
Switch(config-if)#ip add 192.168.2.1 255.255.255.0
Switch(config-if)#no shutdown
Switch(config-if)#exit
Switch(config)#int vlan 3
Switch(config-if)#ip add 192.168.3.1 255.255.255.0
Switch(config-if)#no shutdown
Switch(config-if)#exit
Switch(config)#int vlan 4
Switch(config-if)#ip add 192.168.4.1 255.255.255.0
Switch(config-if)#no shutdown
Switch(config-if)#exit
Switch(config)#ip routing
Switch(config)#router rip
Switch(config-router)#network 192.168.1.0
Switch(config-router)#network 192.168.2.0
Switch(config-router)#network 192.168.3.0
Switch(config-router)#network 192.168.4.0
Switch(config-router)#version 2
Switch(config)#ip access-list extended 100
Switch(config-ext-nacl)#permit ip host 192.168.1.100 any
Switch(config-ext-nacl)#deny ip 192.168.1.100 0.0.0.255 host 192.168.4.60
Switch(config-ext-nacl)#deny ip 192.168.1.100 0.0.0.255 host 192.168.4.70
Switch(config-ext-nacl)#deny ip 192.168.1.100 0.0.0.255 host 192.168.3.100
Switch(config-ext-nacl)#permit ip any any
Switch(config-ext-nacl)#int vlan 1
Switch(config-if)#ip access-group 100 in
Switch(config-if)#ip access-list extended 101
Switch(config-ext-nacl)#permit ip host 192.168.2.100 any
Switch(config-ext-nacl)#deny ip 192.168.2.100 0.0.0.255 host 192.168.4.60
Switch(config-ext-nacl)#deny ip 192.168.2.100 0.0.0.255 host 192.168.4.70
Switch(config-ext-nacl)#permit ip any any
Switch(config-ext-nacl)#int vlan 2
Switch(config-if)#ip access-group 101 in

配置路由器R1

Router>en
Router#conf t
Router(config)#int fa 0/0
Router(config-if)#ip add 192.168.3.100 255.255.255.0
Router(config-if)#no shutdown
Router(config-if)#exit
Router(config)#int fa 0/1
Router(config-if)#ip add 192.168.5.1 255.255.255.0
Router(config-if)#no shutdown
Router(config)#router rip
Router(config-router)#network 192.168.3.0
Router(config-router)#network 192.168.5.0
Router(config-router)#version 2

结果验证
部门A经理上网—可以上网
Ping 192.168.3.100

部门A经理访问Mail、FTP、VOD服务器—可以访问

部门A用户上网—不能上网

部门A用户访问Mail服务器—可以访问

部门A用户访问FTP服务器和VOD服务器—不能访问

部门B经理上网—可以上网

部门B经理访问FTP、Mail、VOD服务器—可以访问

部门B用户上网—可以上网

部门B用户访问Mail服务器—可以访问

部门B用户访问FTP服务器和VOD服务器—不能访问

ospf及ACL综合实验

实验要求:

  1. S2、S3均是三层交换机,要求把PC1和PC2的网关配置在S3上,Server的网关配置在R4上;
  2. 各个设备的接口地址在所属网段内自行选用,终端PC1、PC2及Server的地址如图所示;
  3. R1、R4、S2、S3的相应端口运行OSPF路由协议,各个区域的区域号由自己定义;
  4. 在R4上通过引入直连路由的方式把Server所在的网段发布进OSPF路由进程;
  5. 在S3上通过引入直连路由的方式把两台PC所在的网段发布进OSPF路由进程;
  6. 通过在R1上配置ACL,使PC2所在的网段不能访问R1右侧公网,PC1所在的网段可以访问R1右侧公网但是不能访问公网中的Server。

三层交换机S1

Switch>en
Switch#conf t
Switch(config)#vlan 2
Switch(config-vlan)#exit
Switch(config)#vlan 3
Switch(config-vlan)#exit
Switch(config)#vlan 1
Switch(config-vlan)#exit
Switch(config)#int fa 0/1
Switch(config-if)#sw acc vlan 1
Switch(config-if)#exit
Switch(config)#int fa 0/2
Switch(config-if)#sw acc vlan 2
Switch(config-if)#exit
Switch(config)#int fa 0/3
Switch(config-if)#sw acc vlan 3
Switch(config-if)#exit
Switch(config)#int vlan 1
Switch(config-if)#ip add 192.168.11.1 255.255.255.0
Switch(config-if)#no shutdown
Switch(config-if)#exit
Switch(config)#int vlan 2
Switch(config-if)#ip add 192.168.22.1 255.255.255.0
Switch(config-if)#no shutdown
Switch(config-if)#exit
Switch(config)#int vlan 3
Switch(config-if)#ip add 13.0.0.1 255.255.255.0
Switch(config-if)#no shutdown
Switch(config-if)#exit
Switch(config)#ip routing
Switch(config)#router ospf 10
Switch(config-router)#network 192.168.11.0 0.0.0.255 area 1
Switch(config-router)#network 192.168.22.0 0.0.0.255 area 1
Switch(config-router)#network 13.0.0.0 0.0.0.255 area 1

三层交换机S2

Switch>en
Switch#conf t
Switch(config)#vlan 1
Switch(config-vlan)#exit
Switch(config)#vlan 2
Switch(config-vlan)#exit
Switch(config)#int fa 0/1
Switch(config-if)#sw acc vlan 1
Switch(config-if)#exit
Switch(config)#int vlan 1
Switch(config-if)#ip add 12.0.0.2 255.255.255.0
Switch(config-if)#no shutdown
Switch(config-if)#exit
Switch(config)#int fa 0/2
Switch(config-if)#sw acc vlan 2
Switch(config-if)#exit
Switch(config)#int vlan 2
Switch(config-if)#ip add 24.0.0.1 255.255.255.0
Switch(config-if)#no shutdown
Switch(config-if)#exit
Switch(config)#ip routing
Switch(config)#router ospf 10
Switch(config-router)#network 12.0.0.0 0.0.0.255 area 0
Switch(config-router)#network 24.0.0.0 0.0.0.255 area 2

路由器R1

Router>en
Router#conf t
Router(config)#int fa 0/0
Router(config-if)#ip add 13.0.0.2 255.255.255.0
Router(config-if)#no shutdown
Router(config-if)#exit
Router(config)#int fa 0/1
Router(config-if)#ip add 12.0.0.1 255.255.255.0
Router(config-if)#no shutdown
Router(config-if)#exit
Router(config)#router ospf 10
Router(config-router)#network 13.0.0.0 0.0.0.255 area 1
Router(config-router)#network 12.0.0.0 0.0.0.255 area 0
Router(config-router)#exit
Router(config)#ip access-list extended 100
Router(config-ext-nacl)#deny ip 192.168.11.0 0.0.0.255 host 8.8.8.8
Router(config-ext-nacl)#permit ip 192.168.11.0 0.0.0.255 any
Router(config-ext-nacl)#deny ip 192.168.22.0 0.0.0.255 any
Router(config-ext-nacl)#permit ip any any
Router(config-ext-nacl)#int fa 0/1
Router(config-if)#ip acc
Router(config-if)#ip access-group 100 out

路由器R2

Router>en
Router#conf t
Router(config)#int fa 0/0
Router(config-if)#ip add 24.0.0.2 255.255.255.0
Router(config-if)#no shutdown
Router(config-if)#exit
Router(config)#int fa 0/1
Router(config-if)#ip add 8.8.8.1 255.255.255.0
Router(config-if)#no shutdown
Router(config-if)#exit
Router(config)#router ospf 10
Router(config-router)#network 24.0.0.0 0.0.0.255 area 2
Router(config-router)#network 8.0.0.0 0.0.0.255 area 2

验证
PC1访问R1右侧公网—可以访问

PC1访问服务器—不能访问

PC2访问R1右侧公网—不能访问

扫码加我微信