資源描述:
《acl原理及配置實例》由會員上傳分享���,免費(fèi)在線閱讀���,更多相關(guān)內(nèi)容在教育資源-天天文庫�。
1���、上次回顧:廣域網(wǎng)接口配置配置PPP協(xié)議PPP協(xié)議的驗證方式本次內(nèi)容(補(bǔ)充)理解ACL的基本原理會配置標(biāo)準(zhǔn)ACL會配置擴(kuò)展ACL會配置ACL對網(wǎng)絡(luò)進(jìn)行控制理解NAT會配置NAPT2需求公網(wǎng)互聯(lián)網(wǎng)用戶對外信息服務(wù)器員工上網(wǎng)信息服務(wù)器需求1作為公司網(wǎng)絡(luò)管理員,當(dāng)公司領(lǐng)導(dǎo)提出下列要求時你該怎么辦�����?為了提高工作效率�,不允許員工上班時間進(jìn)行QQ聊天、MSN聊天等�,但需要保證正常的訪問Internet,以便查找資料了解客戶及市場信息等�����。公司有一臺服務(wù)器對外提供有關(guān)本公司的信息服務(wù)��,允許公網(wǎng)用戶訪問����,但為了內(nèi)部網(wǎng)絡(luò)的安全,不允許公網(wǎng)用戶訪問除信息服務(wù)器之外的任何內(nèi)網(wǎng)節(jié)點��。需求2訪問控制列表(ACL)A
2、CL概述基本ACL配置擴(kuò)展ACL配置訪問控制列表概述訪問控制列表(ACL)讀取第三層�、第四層包頭信息根據(jù)預(yù)先定義好的規(guī)則對包進(jìn)行過濾IP報頭TCP報頭數(shù)據(jù)源地址目的地址源端口目的端口訪問控制列表利用這4個元素定義的規(guī)則7訪問控制列表的工作原理訪問控制列表在接口應(yīng)用的方向訪問控制列表的處理過程拒絕允許允許允許到達(dá)訪問控制組接口的數(shù)據(jù)包匹配第一條目的接口隱含的拒絕丟棄YYYYYYNNN匹配下一條拒絕拒絕拒絕匹配下一條8訪問控制列表類型標(biāo)準(zhǔn)訪問控制列表擴(kuò)展訪問控制列表命名訪問控制列表定時訪問控制列表9標(biāo)準(zhǔn)訪問控制列表配置3-1創(chuàng)建ACLRouter(config)#access-listac
3、cess-list-number{permit
4���、deny}source[source-wildcard]刪除ACLRouter(config)#noaccess-listaccess-list-number允許數(shù)據(jù)包通過應(yīng)用了訪問控制列表的接口拒絕數(shù)據(jù)包通過10標(biāo)準(zhǔn)訪問控制列表配置3-2應(yīng)用實例Router(config)#access-list1permit192.168.1.00.0.0.255Router(config)#access-list1permit192.168.2.20.0.0.0允許192.168.1.0/24和主機(jī)192.168.2.2的流量通過隱含的拒絕語句Ro
5��、uter(config)#access-list1deny0.0.0.0255.255.255.255關(guān)鍵字hostany11HostanyHost192.168.2.2=192.168.2.20.0.0.0any=0.0.0.0255.255.255.255R1(config)#access-list1deny192.168.2.20.0.0.0R1config)#access-list1permit0.0.0.0255.255.255.255與R1(config)#access-list1denyhost192.168.2.2R1(config)#access-list1permi
6���、tany相同標(biāo)準(zhǔn)訪問控制列表配置3-3將ACL應(yīng)用于接口Router(config-if)#ipaccess-groupaccess-list-number{in
7、out}在接口上取消ACL的應(yīng)用Router(config-if)#noipaccess-groupaccess-list-number{in
8���、out}13標(biāo)準(zhǔn)訪問控制列表配置實例實驗編號的標(biāo)準(zhǔn)IP訪問列表�?���!緦嶒?zāi)康摹空莆章酚善魃暇幪柕臉?biāo)準(zhǔn)IP訪問列表規(guī)則及配置?!颈尘懊枋觥磕闶且粋€公司的網(wǎng)絡(luò)管理員,公司的經(jīng)理部�����、財務(wù)部門和銷售部門分屬不同的3個網(wǎng)段�,三部門之間用路由器進(jìn)行信息傳遞��,為了安全起見�����,公司領(lǐng)導(dǎo)要求銷售部門不能對
9���、財務(wù)部門進(jìn)行訪問���,但經(jīng)理部可以對財務(wù)部門進(jìn)行訪問���。PC1代表經(jīng)理部的主機(jī),PC2代表銷售部門的主機(jī)���、PC3代表財務(wù)部門的主機(jī)����?�!炯夹g(shù)原理】�IPACL(IP訪問控制列表或IP訪問列表)是實現(xiàn)對流經(jīng)路由器或交換機(jī)的數(shù)據(jù)包根據(jù)一定的規(guī)則進(jìn)行過濾�����,從而提高網(wǎng)絡(luò)可管理性和安全性。標(biāo)準(zhǔn)IP訪問列表可以根據(jù)數(shù)據(jù)包的源IP地址定義規(guī)則�����,進(jìn)行數(shù)據(jù)包的過濾����。IPACL基于接口進(jìn)行規(guī)則的應(yīng)用,分為:入棧應(yīng)用和出棧應(yīng)用����。入棧應(yīng)用是指由外部經(jīng)該接口進(jìn)行路由器的數(shù)據(jù)包進(jìn)行過濾。�出棧應(yīng)用是指路由器從該接口向外轉(zhuǎn)發(fā)數(shù)據(jù)時進(jìn)行數(shù)據(jù)包的過濾�。IPACL的配置有兩種方式:按照編號的訪問列表,按照命名的訪問列表�。�標(biāo)準(zhǔn)I
10、P訪問列表編號范圍是1~99�、1300~1999,擴(kuò)展IP訪問列表編號范圍是100~199�、2000~2699?����!緦崿F(xiàn)功能】實現(xiàn)網(wǎng)段間互相訪問的安全控制���?!緦嶒炘O(shè)備】�RSR10路由器(兩臺)、V.35線纜(1條)�����、交叉線(3條)【實驗拓?fù)洹俊緦嶒灢襟E】步驟1:Router1�、Router2基本配置IP地址等步驟2:路由表步驟3:訪問控制列表訪問控制列表應(yīng)用在接口步驟4:測試配置靜態(tài)路由Router1(config)#iproute172.16
