配置基本的访问控制列表

1:原理概述:

访问控制列表ACL(Access Control List)是由permit或deny语句组成的一系列有顺序的规则集合,这些规则根据数据包的源地址、目的地址、源端口、目的端口等信息来描述。ACL规则通过匹配报文中的信息对数据包进行分类,路由设备根据这些规则判断哪些数据包可以通过,哪些数据包需要拒绝。

按照访问控制列表的用途,可以分为基本的访问控制列表和高级的访问控制列表,基本ACL可使用报文的源IP地址、时间段信息来定义规则,编号范围为2000——2999。

一个ACL可以由多条“deny/permit”语句组成,每一条语句描述一条规则,每条规则有一个Rule-ID。Rule-ID可以有用户进行配置,也可以由系统自动根据步长生成,默认步长为5,Rule-ID默认按照配置先后顺序分配0、5、10、15等,匹配顺序按照ACL的Rule-ID的顺序,从小到大进行匹配。

2:实验目的:

理解基本访问控制列表的应用场景

掌握配置基本访问控制列表的方法​

3:实验拓扑:

路由基础之基本和高级访问控制列表_访问控制列表

4:基础配置使全网互通:

AR1:

#
interface GigabitEthernet0/0/0
ip address 10.0.13.1 255.255.255.0
#
interface GigabitEthernet0/0/1
#
interface NULL0
#
interface LoopBack0
ip address 1.1.1.1 255.255.255.255
#
ospf 1
area 0.0.0.0
network 1.1.1.1 0.0.0.0
network 10.0.13.0 0.0.0.255

AR2:

#
interface GigabitEthernet0/0/0
ip address 10.0.23.1 255.255.255.0
#
interface GigabitEthernet0/0/1
#
interface NULL0
#
ospf 1
area 0.0.0.0
network 10.0.23.0 0.0.0.255

AR3:

#
interface GigabitEthernet0/0/0
ip address 10.0.13.254 255.255.255.0
#
interface GigabitEthernet0/0/1
ip address 10.0.23.254 255.255.255.0
#
interface GigabitEthernet2/0/0
ip address 10.0.34.1 255.255.255.0
#
interface NULL0
#
interface LoopBack0
ip address 3.3.3.3 255.255.255.255
#
ospf 1
area 0.0.0.0
network 3.3.3.3 0.0.0.0
network 10.0.13.0 0.0.0.255
network 10.0.23.0 0.0.0.255
network 10.0.34.0 0.0.0.255

AR4:

#
interface GigabitEthernet0/0/0
ip address 10.0.34.254 255.255.255.0
#
interface GigabitEthernet0/0/1
#
interface NULL0
#
interface LoopBack0
ip address 4.4.4.4 255.255.255.255
#
ospf 1
area 0.0.0.0
network 4.4.4.4 0.0.0.0
network 10.0.34.0 0.0.0.255

路由基础之基本和高级访问控制列表_高级_02

全网互通;我们配置了OSPF,在AR1上查看OSPF路由信息;

路由基础之基本和高级访问控制列表_基本_03

路由器AR1已经学习到了相关网段的路由条目,测试AR1的环回口与AR4的环回口的连通性;

路由基础之基本和高级访问控制列表_基本_04

通信正常;

5:配置基本ACL控制访问:

在总部核心路由器AR4上配置telnet相关配置,配置用户密码为huawei。

路由基础之基本和高级访问控制列表_访问控制列表_05

配置完成后,尝试IT部门网关设备AR1上建立Telnet连接;

路由基础之基本和高级访问控制列表_高级_06

可以观察到,AR1可以成功登录AR4再次尝试在AR2上建立连接;

路由基础之基本和高级访问控制列表_访问控制列表_07

我们可以发现,只要是路由可达的设备,并且拥有Telnet的密码,都可以成功访问核心设备AR4。这显然是极为不安全的。网络管理员通过配置标准ACL来实现访问过滤,禁止其他设备登录。

基本的ACL可以针对数据包的源IP地址进行过滤,在AR4上使用ACL命令创建一个编号型ACL,基本ACL的范围是2000——2999。

路由基础之基本和高级访问控制列表_基本_08

配置ACL规则,指定规则ID为5,允许数据包源地址为1.1.1.1的报文通过,反掩码为全0,即精确匹配。

指定规则ID为10,拒绝任意源地址的数据包通过。

在上面的ACL配置中,第一条规则的规则ID定义为5,并不是1,第二条定义为10,也不与5连续,这样配置的好处是能够方便后续的修改或插入新的条目。并且配置的时候也可以不采用手工方式指定规则ID,ACL会自动分配规则ID,第一条为5,第二条为10,第三条为15,依此类推,即默认步长为5,该步长参数也是可以修改的。

ACL配置完成后,在VTY中调用。使用inbound参数,即在AR4的数据入方向上调用。

路由基础之基本和高级访问控制列表_基本_09

配置完成后,使用AR1的环回口地址1.1.1.1测试访问4.4.4.4的连通性。

路由基础之基本和高级访问控制列表_高级_10

发现没有问题,然后尝试在AR2上访问AR4

路由基础之基本和高级访问控制列表_高级_11

可以观察到,此时AR2无法访问4.4.4.4,即上述ACL配置已经生效;

6:基本的ACL的语法规则

ACL的执行是有顺序性的,如果规则ID小的规则已经被命中,并且执行了允许或者拒绝的动作,那么后续的规则就不再继续匹配。

在AR4上查看设备上所有的访问控制列表:

路由基础之基本和高级访问控制列表_基本_12

以上是目前ACL的所有配置信息。根据上一步骤中的配置,AR4中存在一个基本ACL,有两个规则rule 5 permit source 1.1.1.1 0 和 rule 10 deny source any,且根据这两个规则已经将AR2的访问拒绝。现出现新的需求,需要AR3能够使用其环回口3.3.3.3访问AR4。

首先尝试使用规则ID 15 来添加允许3.3.3.3访问的规则。

路由基础之基本和高级访问控制列表_基本_13

配置完成后,尝试使用AR3的3.3.3.3访问AR4;

路由基础之基本和高级访问控制列表_高级_14

发现无法访问。按照ACL匹配顺序,这是由于规则为10的条目是拒绝所有行为,后续所有的允许规则都不会被匹配。若要此规则生效,必须添加在拒绝所有的规则ID之前。

在AR4上修改访问控制列表ACL2000,将规则ID修改为8。

路由基础之基本和高级访问控制列表_基本_15

配置完成后,再次尝试使用AR3的环回口访问AR4;

路由基础之基本和高级访问控制列表_基本_16

此时访问成功,证明配置已经生效;

实验结束;

配置高级的访问控制列表

1:原理概述:

基本的ACL只能用于匹配源IP地址,而在实际应用当中往往需要针对数据包的其他参数进行匹配,比如目的IP地址、协议号、端口号等,所以基本的ACL由于匹配的局限性而无法实现更多的功能,所以就需要使用高级的访问控制列表。

高级的访问控制列表在匹配项上做了扩展,编号范围3000——3999,既可使用报文的源IP地址,也可使用目的地址、IP优先级、IP协议类型、ICMP类型、TCP源端口/目的端口,UDP源端口/目的端口号等信息来定义规则。

高级访问控制列表可以定义比基本访问控制列表更准确、更丰富、更灵活的规则,也因此得到更加广泛的应用。

2:实验目的;

理解高级访问控制列表的应用场景

掌握配置高级访问控制列表的方法

理解高级访问控制列表与基本访问控制列表的区别

3:开始实验:

路由基础之基本和高级访问控制列表_访问控制列表_17

4:首先我们进行接口配置和OSPF协议的配置使全网互通:

AR1:

#
interface GigabitEthernet0/0/0
ip address 10.0.13.1 255.255.255.0
#
interface GigabitEthernet0/0/1
#
interface NULL0
#
interface LoopBack0
ip address 1.1.1.1 255.255.255.255
#
ospf 1
area 0.0.0.0
network 1.1.1.1 0.0.0.0
network 10.0.13.0 0.0.0.255

AR2:

#
interface GigabitEthernet0/0/0
ip address 10.0.23.1 255.255.255.0
#
interface GigabitEthernet0/0/1
#
interface NULL0
#
ospf 1
area 0.0.0.0
network 10.0.23.0 0.0.0.255

AR3:

#
interface GigabitEthernet0/0/0
ip address 10.0.13.254 255.255.255.0
#
interface GigabitEthernet0/0/1
ip address 10.0.23.254 255.255.255.0
#
interface GigabitEthernet2/0/0
ip address 10.0.34.1 255.255.255.0
#
interface NULL0
#
interface LoopBack0
ip address 3.3.3.3 255.255.255.255
#
ospf 1
area 0.0.0.0
network 3.3.3.3 0.0.0.0
network 10.0.13.0 0.0.0.255
network 10.0.23.0 0.0.0.255
network 10.0.34.0 0.0.0.255

AR4:

#
interface GigabitEthernet0/0/0
ip address 10.0.34.254 255.255.255.0
#
interface GigabitEthernet0/0/1
#
interface NULL0
#
interface LoopBack0
ip address 4.4.4.4 255.255.255.255
#
interface LoopBack1
ip address 40.40.40.40 255.255.255.255
#
ospf 1
area 0.0.0.0
network 4.4.4.4 0.0.0.0
network 10.0.34.0 0.0.0.255
network 40.40.40.40 0.0.0.0

都配置完成后,我们查看是否实现全网互通以及查看路由表:

路由基础之基本和高级访问控制列表_高级_18路由基础之基本和高级访问控制列表_基本_19路由基础之基本和高级访问控制列表_基本_20

可以观察到,实现了全网互通,AR1也学习到了相关网段的路由信息;

配置Telnet,在AR4上配置:

路由基础之基本和高级访问控制列表_高级_21

配置完成后,尝试Telnet连接R1连R4;

路由基础之基本和高级访问控制列表_基本_22

路由基础之基本和高级访问控制列表_访问控制列表_23

我们可以发现,只要是路由可达的设备,并且拥有Telnet的密码,都可以成功正常登录;

5:配置高级访问控制列表:

根据设计要求,R1的环回接口之只能通过R4上的4.4.4.4进行Telnet访问,但是不能通过40.40.40.40访问;

如果只能通过访问R4的环回口0地址登录设备,即同时匹配数据包的源地址和目的地址实现过滤,此时通过标准ACL是无法实现的,因为ACL只能通过匹配源地址实现过滤,所以需要使用到高级ACL。

在R4上使用ACL命令创建一个高级ACL 3000;

路由基础之基本和高级访问控制列表_基本_24

可以观察到,在不指定规则ID的情况下,默认步长为5,第一条规则ID即为5。

将ACL 3000调用在VTY下,使用inbound参数,即在R4的数据入方向上调用。

路由基础之基本和高级访问控制列表_访问控制列表_25

配置完成后,在R1上使用环回口地址尝试访问40.40.40.40

路由基础之基本和高级访问控制列表_基本_26可以观察到,此时过滤已经实现,R1不能使用环回口地址访问40.40.40.40

此时高级ACL还可以实现对源、目的端口,协议号等信息的匹配,功能非常强大。

实验结束;

备注:如有错误,请谅解!

此文章为本人学习笔记,仅供参考!如有重复!!!请联系本人!