項(xiàng)目五 配置訪問控制列表(ACL)V1.0

1、項(xiàng)目五配置訪問控制列表（ACL）項(xiàng)目內(nèi)容如圖5.1所示的網(wǎng)絡(luò)拓?fù)?，要求?shí)現(xiàn)以下任務(wù)：1 配置EIGRP路由協(xié)議，保證網(wǎng)絡(luò)通信正常；2 在R1配置ACL，要求完成以下功能：（1） 拒絕主機(jī)A所在的網(wǎng)絡(luò)訪問Web服務(wù)器；（2） 拒絕主機(jī)A所在的網(wǎng)絡(luò)ping到外部網(wǎng)絡(luò)的任何地址。3 配置R2，使得只允許主機(jī)C telnet到路由器R2；圖5.1 網(wǎng)絡(luò)拓?fù)洳僮鞑襟E一EIGRP路由協(xié)議的配置1搭建網(wǎng)絡(luò)環(huán)境繪制如圖5.1所示的網(wǎng)絡(luò)拓?fù)洳⑴渲煤寐酚善骱陀?jì)算機(jī)的端口及IP地址。2配置EIGRP路由協(xié)議（1）配置R1R1(config)#router eigrp 100R1(config-router)#net

2、 55R1(config-router)#net 55R1(config-router)#no auto-summary（2）配置R2R2(config)#router eigrp 100R2(config-router)#net 55R2(config-router)#net 55R2(config-router)#net 55R2(config-router)#no auto-summary（3）配置R3R3(con

3、fig)#router eigrp 100R3(config-router)#net 55R3(config-router)#net 55R3(config-router)#no auto-summary3 認(rèn)證R1#show ip routeGateway of last resort is not set/24 is subnetted, 1 subnetsC is directly connected, FastEthernet0/0 /24 is subnette

4、d, 1 subnetsC is directly connected, Serial1/0 /24 is subnetted, 1 subnetsD 90/21024000 via , 00:47:41, Serial1/0 /24 is subnetted, 1 subnetsD 90/20514560 via , 00:47:41, Serial1/0D /24 90/21026560 via , 00:4

5、7:41, Serial1/0R2#show ip routeGateway of last resort is not set /24 is subnetted, 1 subnetsD 90/20514560 via , 00:49:02, Serial1/0 /24 is subnetted, 1 subnetsC is directly connected, Serial1/0 /24 is subnetted, 1 subnetsC is directly

6、connected, Serial1/1 /24 is subnetted, 1 subnetsC is directly connected, FastEthernet0/0D /24 90/20514560 via , 00:49:07, Serial1/1R3#show ip routeGateway of last resort is not set /24 is subnetted, 1 subnetsD 90/21026560 via , 00:

7、51:11, Serial1/1 /24 is subnetted, 1 subnetsD 90/21024000 via , 00:51:16, Serial1/1 /24 is subnetted, 1 subnetsC is directly connected, Serial1/1 /24 is subnetted, 1 subnetsD 90/20514560 via , 00:51:16, Serial1/1C 192.168

8、.1.0/24 is directly connected, FastEthernet0/0二、在R1配置ACL1. 配置R1(config)#access-list 101 deny tcp 55 host 00 eq 80R1(config)#access-list 101 deny icmp 55 anyR1(config)#access-list 101 permit ip any anyR1(config)#int f0/0R1(config)#ip access-group 101 in2. 認(rèn)證

9、R1#show access-listExtended IP access list 101 deny tcp 55 host 00 eq www deny icmp 55 any permit ip any anyR1#show ip interfaceFastEthernet0/0 is up, line protocol is up (connected) Internet address is /24 Broadcast address is 55 Addre

10、ss determined by setup command MTU is 1500 bytes Helper address is not set Directed broadcast forwarding is disabled Outgoing access list is not set Inbound access list is 101如圖5.2所示，主機(jī)A無法訪問Web服務(wù)器。圖5.2 主機(jī)A訪問Web服務(wù)器如圖5.3所示，主機(jī)A無法ping通主機(jī)C。圖5.3 主機(jī)A ping主機(jī)C三在R2配置ACL1配置R2(config)# access-list 100 permit tc

11、p host 00 host eq 23R2(config)# access-list 100 permit tcp host 00 host eq 23R2(config)# access-list 100 permit tcp host 00 host eq 23R2(config)# access-list 100 deny tcp any host eq 23R2(config)# access-list 100 deny tcp any

12、host eq 23R2(config)# access-list 100 deny tcp any host eq 23R2(config)# access-list 100 permit ip any anyR2(config)#int s1/0R2(config)#ip access-group 100 inR2(config)#int s1/1R2(config)#ip access-group 100 inR2(config)#int f0/0R2(config)#ip access-group 100 in2認(rèn)證R2#show ip in

13、terfaceFastEthernet0/0 is up, line protocol is up (connected) Internet address is /24 Broadcast address is 55 Outgoing access list is not set Inbound access list is 100 Serial1/0 is up, line protocol is up (connected) Internet address is /24 Broadcast address is 255.

14、255.255.255 Outgoing access list is not set Inbound access list is 100 Serial1/1 is up, line protocol is up (connected) Internet address is /24 Broadcast address is 55 Outgoing access list is not set Inbound access list is 100 在R2上設(shè)置telnet登錄密碼：R2(config)#line vty 0 4R2(config-

15、line)#password ciscoR2(config-line)#login在主機(jī)C上telnet路由器R2:PC>telnet Trying .User Access VerificationPassword: R2>在主機(jī)A上telnet路由器R2:PC>telnet Trying .% Connection timed out; remote host not respondingPC>telnet Trying .% Connect

16、ion timed out; remote host not respondingPC>知識鏈接一什么是ACL?訪問控制列表Access control List簡稱為ACL，訪問控制列表使用包過濾技術(shù)，在路由器上讀取第三層及第四層包頭中的信息如源地址，目的地址，源端口，目的端口等，根據(jù)預(yù)先定義好的規(guī)則對包進(jìn)行過濾，從而達(dá)到訪問控制的目的。該技術(shù)初期僅在路由器上支持，近些年來已經(jīng)擴(kuò)展到三層交換機(jī)，部分最新的二層交換機(jī)也開始提供ACL的支持。二訪問控制列表使用原則由于ACL涉及的配置命令很靈活，功能也很強(qiáng)大，所以我們不能只通過一個(gè)小小的例子就完全掌握全部ACL的配置。在介紹例子前為大家將A

17、CL設(shè)置原則羅列出來，方便各位讀者更好的消化ACL知識。1最小特權(quán)原則只給受控對象完成任務(wù)所必須的最小的權(quán)限。也就是說被控制的總規(guī)則是各個(gè)規(guī)則的交集，只滿足部分條件的是不容許通過規(guī)則的。2最靠近受控對象原則所有的網(wǎng)絡(luò)層訪問權(quán)限控制。也就是說在檢查規(guī)則時(shí)是采用自上而下在ACL中一條條檢測的，只要發(fā)現(xiàn)符合條件了就立刻轉(zhuǎn)發(fā)，而不繼續(xù)檢測下面的ACL語句。3、默認(rèn)丟棄原則在CISCO路由交換設(shè)備中默認(rèn)最后一句為ACL中加入了DENY ANY ANY，也就是丟棄所有不符合條件的數(shù)據(jù)包。這一點(diǎn)要特別注意，雖然我們可以修改這個(gè)默認(rèn)，但未改前一定要引起重視。由于ACL是使用包過濾技術(shù)來實(shí)現(xiàn)的，過濾的依據(jù)又僅僅

18、只是第三層和第四層包頭中的部分信息，這種技術(shù)具有一些固有的局限性，如無法識別到具體的人，無法識別到應(yīng)用內(nèi)部的權(quán)限級別等。因此，要達(dá)到端到端的權(quán)限控制目的，需要和系統(tǒng)級及應(yīng)用級的訪問權(quán)限控制結(jié)合使用。三ACL工作過程圖5.4 ACL對數(shù)據(jù)包檢查過程圖5.5 ACL工作過程四標(biāo)準(zhǔn)訪問列表訪問控制列表ACL分很多種，不同場合應(yīng)用不同種類的ACL。其中最簡單的就是標(biāo)準(zhǔn)訪問控制列表，標(biāo)準(zhǔn)訪問控制列表是通過使用IP包中的源IP地址進(jìn)行過濾，使用的訪問控制列表號1到99來創(chuàng)建相應(yīng)的ACL1標(biāo)準(zhǔn)訪問控制列表的格式標(biāo)準(zhǔn)訪問控制列表是最簡單的ACL。它的具體格式如下：access-list ACL號 permit

19、 | deny test-condition如：access-list 10 deny 55 / 將所有來自網(wǎng)段的數(shù)據(jù)包丟棄access-list 10 deny host / 將所有來自地址的數(shù)據(jù)包丟棄access-list 10 permit any test-condition中有三種情況：（1） 網(wǎng)段地址 反掩碼（2） host ip地址（3） any ，表示任何ip地址對于標(biāo)準(zhǔn)訪問控制列表來說，默認(rèn)的命令是HOST，也就是說access-list 10 deny 192.168.

20、1.1表示的是拒絕這臺主機(jī)數(shù)據(jù)包通訊，可以省去我們輸入host命令。注意，一旦添加了訪問控制列表，最后默認(rèn)為deny any，所以，一般，在ACL最后要加上permit any規(guī)則。2將訪問控制列表應(yīng)用到某一接口上例如： int e1 / 進(jìn)入E1端口。ip access-group 10 in / 將ACL 1宣告標(biāo)準(zhǔn)ACL占用路由器資源很少，是一種最基本最簡單的訪問控制列表格式。應(yīng)用比較廣泛，經(jīng)常在要求控制級別較低的情況下使用。如果要更加復(fù)雜的控制數(shù)據(jù)包的傳輸就需要使用擴(kuò)展訪問控制列表了，他可以滿足我們到端口級的要求。五擴(kuò)展訪問控制列表上面我們提到的標(biāo)準(zhǔn)訪問控制列表是

21、基于IP地址進(jìn)行過濾的，是最簡單的ACL。那么如果我們希望將過濾細(xì)到端口怎么辦呢?或者希望對數(shù)據(jù)包的目的地址進(jìn)行過濾。這時(shí)候就需要使用擴(kuò)展訪問控制列表了。使用擴(kuò)展IP訪問列表可以有效的容許用戶訪問物理LAN而并不容許他使用某個(gè)特定服務(wù)(例如WWW，F(xiàn)TP等)。擴(kuò)展訪問控制列表使用的ACL號為100到199。擴(kuò)展訪問控制列表是一種高級的ACL，配置命令的具體格式如下：access-list ACL號 permit|deny 協(xié)議 定義過濾源主機(jī)范圍 定義過濾源端口 定義過濾目的主機(jī)訪問 定義過濾目的端口例如：access-list 101 deny tcp any host 192.168.1.

22、1 eq www這句命令是將所有主機(jī)訪問這個(gè)地址網(wǎng)頁服務(wù)(WWW)TCP連接的數(shù)據(jù)包丟棄。同樣在擴(kuò)展訪問控制列表中也可以定義過濾某個(gè)網(wǎng)段，當(dāng)然和標(biāo)準(zhǔn)訪問控制列表一樣需要我們使用反向掩碼定義IP地址后的子網(wǎng)掩碼。表5-1 常見端口號擴(kuò)展ACL有一個(gè)最大的好處就是可以保護(hù)服務(wù)器，例如很多服務(wù)器為了更好的提供服務(wù)都是暴露在公網(wǎng)上的，這時(shí)為了保證服務(wù)正常提供所有端口都對外界開放，很容易招來黑客和病毒的攻擊，通過擴(kuò)展ACL可以將除了服務(wù)端口以外的其他端口都封鎖掉，降低了被攻擊的機(jī)率。擴(kuò)展ACL功能很強(qiáng)大，他可以控制源IP，目的IP，源端口，目的端口等，能實(shí)現(xiàn)相當(dāng)精細(xì)的控制，擴(kuò)展AC

23、L不僅讀取IP包頭的源地址/目的地址，還要讀取第四層包頭中的源端口和目的端口的IP。不過他存在一個(gè)缺點(diǎn)，那就是在沒有硬件ACL加速的情況下，擴(kuò)展ACL會消耗大量的路由器CPU資源。所以當(dāng)使用中低檔路由器時(shí)應(yīng)盡量減少擴(kuò)展ACL的條目數(shù)，將其簡化為標(biāo)準(zhǔn)ACL或?qū)⒍鄺l擴(kuò)展ACL合一是最有效的方法。六基于名稱的訪問控制列表不管是標(biāo)準(zhǔn)訪問控制列表還是擴(kuò)展訪問控制列表都有一個(gè)弊端，那就是當(dāng)設(shè)置好ACL的規(guī)則后發(fā)現(xiàn)其中的某條有問題，希望進(jìn)行修改或刪除的話只能將全部ACL信息都刪除。也就是說修改一條或刪除一條都會影響到整個(gè)ACL列表。這一個(gè)缺點(diǎn)影響了我們的工作，為我們帶來了繁重的負(fù)擔(dān)。不過我們可以用基于名稱的

24、訪問控制列表來解決這個(gè)問題?；诿Q的訪問控制列表的格式：ip access-list standard|extended ACL名稱例如：ip access-list standard softer就建立了一個(gè)名為softer的標(biāo)準(zhǔn)訪問控制列表。當(dāng)我們建立了一個(gè)基于名稱的訪問列表后就可以進(jìn)入到這個(gè)ACL中進(jìn)行配置了。例如我們添加三條ACL規(guī)則：permit permit permit 如果我們發(fā)現(xiàn)第二條命令應(yīng)該是而不是，如果使用不是基于名稱的訪問控制列表的話，使用no permit 后整個(gè)ACL信息都會被刪除掉。正是因?yàn)槭褂昧嘶诿Q的訪問控制列表，我們使用no permit 后第一條和第三條指令依然存在。如果設(shè)置ACL的規(guī)則比較多的話，應(yīng)該使用基于名稱的訪問