思科实验ACL

原理概述:

访问控制列表(ACL)是一种基于包过滤的访问控制技术,它可以根据设定的条件对接口上的数据包进行过滤,允许其通过或丢弃。访问控制列表被广泛地应用于路由器三层交换机,借助于访问控制列表,可以有效地控制用户对网络的访问,从而最大程度地保障网络安全

1)限制网络流量、提高网络性能。

例如,ACL可以根据数据包的协议,指定这种类型的数据包具有更高的优先级,同等情况下可预先被网络设备处理。 

2)提供对通信流量的控制手段。 

3)提供网络访问的基本安全手段。 

4)在网络设备接口处,决定哪种类型的通信流量被转发、哪种类型的通信流量被阻塞。

①当一个数据包进入一个端口,路由器检查这个数据包是否可路由。

如果是可以路由的,路由器检查这个端口是否有ACL控制进入数据包。

如果有,根据ACL中的条件指令,检查这个数据包。

如果数据包是被允许的,就查询路由表,决定数据包的目标端口。 

②路由器检查目标端口是否存在ACL控制流出的数据包。 

若不存在,这个数据包就直接发送到目标端口。

若存在,就再根据ACL进行取舍。然后在转发到目的端口。

总之,一入站数据包,由路由器处理器调入内存,读取数据包的包头信息,如目标IP地址,并搜索路由器的路由表,查看是否在路由表项中,如果有,则从路由表的选择接口转发(如果无,则丢弃该数据包),数据进入该接口的访问控制列表(如果无访问控制规则,直接转发),然后按条件进行筛选。

当ACL处理数据包时,一旦数据包与某条ACL语句匹配,则会跳过列表中剩余的其他语句,根据该条匹配的语句内容决定允许或者拒绝该数据包。如果数据包内容与ACL语句不匹配,那么将依次使用ACL列表中的下一条语句测试数据包。该匹配过程会一直继续,直到抵达列表末尾。最后一条隐含的语句适用于不满足之前任何条件的所有数据包。这条最后的测试条件与这些数据包匹配,通常会隐含拒绝一切数据包的指令。此时路由器不会让这些数据进入或送出接口,而是直接丢弃。最后这条语句通常称为隐式的“deny any”语句。由于该语句的存在,所以在ACL中应该至少包含一条permit语句,否则,默认情况下,ACL将阻止所有流量。

访问控制列表的使用

ACL的使用分为两步:

(1)创建访问控制列表ACL,根据实际需要设置对应的条件项;

(2)将ACL应用到路由器指定接口的指定方向(in/out)上。

在ACL的配置与使用中需要注意以下事项:

(1)ACL是自顶向下顺序进行处理,一旦匹配成功,就会进行处理,且不再比对以后的语句,所以ACL中语句的顺序很重要。应当将最严格的语句放在最上面,最不严格的语句放在底部。

(2)当所有语句没有匹配成功时,会丢弃分组。这也称为ACL隐性拒绝。

(3)每个接口在每个方向上,只能应用一个ACL。

(4)标准ACL应该部署在距离分组的目的网络近的位置,扩展ACL应该部署在距离分组发送者近的位置。

ACL的应用

ACL可以应用于多种场合,其中最为常见的应用情形如下:

1、过滤邻居设备间传递的路由信息。

2、控制交换访问,以此阻止非法访问设备的行为,如对 Console接口、 Telnet或SSH访问实施控制。

3、控制穿越网络设备的流量和网络访问。

4、通过限制对路由器上某些服务的访问来保护路由器,如HTTP、SNMP和NIP等。

5、为DDR和 IPSeC VPN定义感兴趣流。

6、能够以多种方式在IOS中实现QoS(服务质量)特性。

7、在其他安全技术中的扩展应用,如TCP拦截和IOS防火墙。

实验目的:

理解ACL(访问控制列表)的使用

掌握如何配置ACL(访问控制列表)

实验要求:

实现全网互通,采用OSPF协议,然后使用ACL要求学生机可以访问web但是不能访问ftp老师机都能访问


实验拓扑:

路由基础之思科实验ACL Telnet VLAN划分端口聚合的配置_访问控制列表

配置命令:

1841-8:

interface FastEthernet0/0
ip address 192.168.1.254 255.255.255.0
duplex auto
speed auto
!
interface FastEthernet0/1
ip address 192.168.2.254 255.255.255.0
duplex auto
speed auto
!
interface Ethernet0/0/0
ip address 192.168.3.1 255.255.255.0
duplex auto
speed auto

1841-9:

interface FastEthernet0/0
ip address 192.168.100.254 255.255.255.0
ip access-group 1 out
duplex auto
speed auto
!
interface FastEthernet0/1
ip address 192.168.200.254 255.255.255.0
duplex auto
speed auto
!
interface Ethernet0/0/0
ip address 192.168.3.2 255.255.255.0
duplex auto
speed auto

配置OSPF:

1841-8:

router ospf 1
log-adjacency-changes
network 192.168.1.0 0.0.0.255 area 0
network 192.168.2.0 0.0.0.255 area 0
network 192.168.3.0 0.0.0.255 area 0

1841-9:

router ospf 1
log-adjacency-changes
network 192.168.200.0 0.0.0.255 area 0
network 192.168.100.0 0.0.0.255 area 0
network 192.168.3.0 0.0.0.255 area 0

配置完成后,查看路由表:

1841-8:

路由基础之思科实验ACL Telnet VLAN划分端口聚合的配置_访问控制列表_02

1841-9:

路由基础之思科实验ACL Telnet VLAN划分端口聚合的配置_访问控制列表_03

Ping一下

路由基础之思科实验ACL Telnet VLAN划分端口聚合的配置_访问控制列表_04

可以ping通,我们开始配置ACL

实现要求学生机不能访问ftp,可以访问web

在1841-9上配置ACL:

access-list 1 deny 192.168.1.0 0.0.0.255
access-list 1 permit 192.168.2.0 0.0.0.255

配置完成:

我们看一下效果:

路由基础之思科实验ACL Telnet VLAN划分端口聚合的配置_Telnet_05

实现了要求学生机可以访问web但是不能访问ftp

实验结束;


思科Telnet

注意:在特权模式下,思科write保存

实验拓扑:

路由基础之思科实验ACL Telnet VLAN划分端口聚合的配置_访问控制列表_06

PC地址配置:

路由基础之思科实验ACL Telnet VLAN划分端口聚合的配置_访问控制列表_07路由基础之思科实验ACL Telnet VLAN划分端口聚合的配置_访问控制列表_08


地址配置:

Switch>en
Switch#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)#enable password 1234 //配置密码

配置telnet:

Switch#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)#line vty 0 4 创建5个用户
Switch(config-line)#login
% Login disabled on line 1, until 'password' is set
% Login disabled on line 2, until 'password' is set
% Login disabled on line 3, until 'password' is set
% Login disabled on line 4, until 'password' is set
% Login disabled on line 5, until 'password' is set
Switch(config-line)#password 5678 //配置telnet密码
Switch(config-line)#end

路由基础之思科实验ACL Telnet VLAN划分端口聚合的配置_访问控制列表_09路由基础之思科实验ACL Telnet VLAN划分端口聚合的配置_访问控制列表_10

单交换机划分vlan

注意:交换机与pc连接接口使用access

交换机与交换机连接接口使用trunk

实验拓扑:

路由基础之思科实验ACL Telnet VLAN划分端口聚合的配置_访问控制列表_11

多交换机划分vlan

实验拓扑:

路由基础之思科实验ACL Telnet VLAN划分端口聚合的配置_VLAN划分_12

实现效果同vlan之间可以互通,不同vlan之间不可以访问

配置命令:

En
Conf t
Vlan 10
Vlan 20
Int f0/1
Sw ac vl 10
Int f0/2
Sw ac vl 20
Int f0/3
Sw mo tr

利用三层交换机来实现不同vlan之间可以相互通信

IP routing:开启三层交换机路由功能,默认是关闭的

路由基础之思科实验ACL Telnet VLAN划分端口聚合的配置_VLAN划分_13

SW1:

interface FastEthernet0/1
switchport access vlan 10
!
interface FastEthernet0/2
switchport access vlan 20
!
interface FastEthernet0/3
switchport mode trunk
!
interface FastEthernet0/4
switchport mode trunk

SW2:

interface FastEthernet0/1
switchport access vlan 10
!
interface FastEthernet0/2
switchport access vlan 20
!
interface FastEthernet0/3
switchport mode trunk
SW3:
interface FastEthernet0/1
switchport trunk encapsulation dot1q
switchport mode trunk

路由基础之思科实验ACL Telnet VLAN划分端口聚合的配置_Telnet_14


交换机端口聚合

实验拓扑:

路由基础之思科实验ACL Telnet VLAN划分端口聚合的配置_VLAN划分_15

配置命令:

interface FastEthernet0/1
!
interface FastEthernet0/2
switchport mode trunk
channel-group 1 mode on
!
interface FastEthernet0/3
switchport mode trunk
channel-group 1 mode on

同时配置多个接口:

Switch(config)#int range f0/2-3
Switch(config-if-range)#switchport mode trunk 
Switch(config)#port-channel load-balance dst-ip

实验结束;

备注:如有错误,请谅解!

此文章为本人学习笔记,仅供参考!如有重复!!!请联系本人