2000元阿里云代金券免费领取,2核4G云服务器仅664元/3年,新老用户都有优惠,立即抢购>>>
阿里云采购季(云主机223元/3年)活动入口:请点击进入>>>,
阿里云学生服务器(9.5元/月)购买入口:请点击进入>>>,
大家今天介绍一下访问控制列表,那为什么要用访问控制列表呢?比如说公司里不想让公司以外的人telnet本公司电脑可以用ACL、不想让别人ping通ip可以用ACL、不想……
老师说挺好用的我在这和大家分享一下,废话少说,我们开始,先来介绍一下ACL。
那使用ACL的目的是什么呢?在性能和安全上介绍一下:
?
性能
对网络设计中特定的用户进行控制
拒绝网络之间进行访问
管理网络中逐步增长的
IP
数据
?
安全
可以基于主机地址、目的地址和服务器类型来允许
或禁止为特定的用户提供资源
当数据通过路由器时进行过滤
控制访问列表有两种:标准的控制访问列表和扩展的控制访问列表。
?
标准
检查源地址
通常允许、拒绝的是完整的协议
能够对源地址进行过滤,是一种简单,直接的数据控制手段
?
扩展
检查源地址和目的地址
通常允许、拒绝的是某个特定的协议
除了基于数据包源地址的过滤以外,还能够对协议,目的地址,端口号进行网络流量过滤。当然,配置也更复杂
控制访问列表的一般用法:
?
限制对网络的FTP访问
?
禁止一个子网到另一个子网的访问
?
允许规定主机Telnet访问路由器
如:不允许指定的主机TELNET访问
访问列表的配置指南
:
?
访问列表的编号指明了使用何种协议的访问列表
?
每个端口、每个方向、每条协议只能对应于一条访问
列表
?
访问列表的内容决定了数据的控制顺序
?
具有严格限制条件的语句应放在访问列表所有语句的
最上面
?
在访问列表的最后有一条隐含声明:
deny any
-每一
条正确的访问列表都至少应该有一条允许语句
?
先创建访问列表,然后应用到端口上
?
访问列表不能过滤由路由器自己产生的数据
标准访问列表的一般配置举例:
Router#
Router#configure terminal
Router(config)#
Router(config)#access-list 1 permit 172.16.2.0 0.0.0.255
配置的访问列表是允许来自网络172.16.2.0的流量
?
Router#configure terminal
?
Router(config)#
?
Router(config)#access-list 2 deny 172.16.3.0 0.0.0.255
?
Router(config)#access-list 2 permit any
?
Router(config)#int s0
?
Router(config-if)#ip access-group 2 out
?
Router(config-if)#
禁止来自网络172.16.3.0的流量!!!
扩展访问列表的一般配置举例:
access-list 101
deny tcp 172.16.4.0
0.0.0.255 172.16.3.0 0.0.0.255 eq 21
access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 20
access-list 101 permit ip any any
(implicit deny all)
(access-list 101 deny ip 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255)
?
拒绝子网
172.16.4.0
的数据使用路由器
e0
口
ftp
到子网
172.16.3.0
?
允许其它数据
access-list 101 deny tcp 172.16.4.0
0.0.0.255
any eq 23
access-list 101 permit ip any any
(implicit deny all)
?
拒绝子网
172.16.4.0
内的主机使用路由器的
端口建立
Telnet
会话
?
允许其它数据
我们来比较一下标准的和扩展的异同:
标准:
基于源地址
允许和拒绝完整的
TCP/IP
协议
编号范围
1-99
和
1300-1999
扩展:
基于源地址和目标地址
指定
TCP/IP
的特定协议
和端口号
编号范围
100-199
和
2000-2699
我们指定特定的主机时一般用通配符掩码指明,下面我举几个例子:
例如
172.30.16.29 0.0.0.0
检查所有的地址位
可以简写为
host
(host 172.30.16.29)
所有主机
:
0.0.0.0 255.255.255.255
可以用
any
简写
好了我们来做一个扩展访问列表的实验来验证并巩固一下我们今天的学习。
实验要求:三台路由器,r1 r2 r3 拒绝r3通过r2向r1做telnet
实验的大致步骤:
1、给路由器命名
2、开启telnet功能并设置密码
3、配置ip
4、配置时钟频率
5、关闭自动汇总
6、配置rip用版本2,实现基本的通信
7、r2上配置访问控制列表
8、验证:r3 telnet r1失败
实验大致拓扑如图:
我们把实验的命令写到文本:
基本配置:
r1:
en
conf t
host r1
enable pass cisco
line vty 0 4
pass cisco
login
exit
int s0/0
ip addr 192.168.1.1 255.255.255.0
no shut
clock rate 64000
exit
router rip
ver 2
no auto-summary
network 192.168.1.0
exit
en
conf t
host r1
enable pass cisco
line vty 0 4
pass cisco
login
exit
int s0/0
ip addr 192.168.1.1 255.255.255.0
no shut
clock rate 64000
exit
router rip
ver 2
no auto-summary
network 192.168.1.0
exit
r2:
en
conf t
host r2
enable pass cisco
line vty 0 4
pass cisco
login
exit
int s0/0
ip addr 192.168.1.2 255.255.255.0
no shut
int s0/1
ip addr 192.168.2.1 255.255.255.0
no shut
clock rate 64000
exit
router rip
ver 2
no auto-summary
network 192.168.1.0
network 192.168.2.0
exit
en
conf t
host r2
enable pass cisco
line vty 0 4
pass cisco
login
exit
int s0/0
ip addr 192.168.1.2 255.255.255.0
no shut
int s0/1
ip addr 192.168.2.1 255.255.255.0
no shut
clock rate 64000
exit
router rip
ver 2
no auto-summary
network 192.168.1.0
network 192.168.2.0
exit
r3:
en
conf t
host r3
enable pass cisco
line vty 0 4
pass cisco
login
exit
int s0/1
ip addr 192.168.2.2 255.255.255.0
no shut
exit
router rip
ver 2
no auto-summary
network 192.168.2.0
exit
en
conf t
host r3
enable pass cisco
line vty 0 4
pass cisco
login
exit
int s0/1
ip addr 192.168.2.2 255.255.255.0
no shut
exit
router rip
ver 2
no auto-summary
network 192.168.2.0
exit
在r2上配置拒绝telnet:
conf t
access-list 101 deny tcp 192.168.1.1 0.0.0.0 192.168.2.0 0.0.0.255 eq telnet
access-list 101 permit ip any any
int s0/1
ip access-group 100 out
exit
access-list 102 deny tcp 192.168.1.1 0.0.0.0 192.168.2.0 0.0.0.255 eq ftp
access-list 102 permit ip any any
int s0/1
ip access-group 100 out
exit
access-list 103 deny icmp 192.168.4.2 0.0.0.0 192.168.1.0 0.0.0.255 echo
access-list 103 deny icmp 192.168.4.2 0.0.0.0 192.168.1.0 0.0.0.255 echo-reply
access-list 103 permit ip any any
int s0/0
ip access-group 101 out
conf t
access-list 101 deny tcp 192.168.1.1 0.0.0.0 192.168.2.0 0.0.0.255 eq telnet
access-list 101 permit ip any any
int s0/1
ip access-group 100 out
exit
access-list 102 deny tcp 192.168.1.1 0.0.0.0 192.168.2.0 0.0.0.255 eq ftp
access-list 102 permit ip any any
int s0/1
ip access-group 100 out
exit
access-list 103 deny icmp 192.168.4.2 0.0.0.0 192.168.1.0 0.0.0.255 echo
access-list 103 deny icmp 192.168.4.2 0.0.0.0 192.168.1.0 0.0.0.255 echo-reply
access-list 103 permit ip any any
int s0/0
ip access-group 101 out
写完了以后我们开始粘贴。
粘贴完并没有错误,我们先不添加访问控制列表看能否telnet
没有问题可以telnet并打开了
我们来添加访问列表
在来telnet 如果失败了,我们就成功了。
telnet不上了,成功!!!!!!
凌晨了睡觉喽!!!!!!呵呵 !!!!!!
本文转自 liuyonglei 51CTO博客,原文链接:http://blog.51cto.com/liuyonglei/139178,如需转载请自行联系原作者
