訪問控制ACL配置實驗

實驗路由器訪問控制列表ACL配置實驗?zāi)康募耙螅豪斫饴酚善髦兄匾陌踩刂萍夹g(shù)——訪問控制列表的工作原理，對路由器IP訪問控制列表ACL進(jìn)行配置與監(jiān)測，掌握配置使用編號的標(biāo)準(zhǔn)IP訪問控制列表與擴(kuò)展IP訪問控制列表。實驗設(shè)備：帶CiscoIOS10.0以上版本的Cisco路由器2臺；RJ45-to-RJ45rollovercable（反轉(zhuǎn)線）2根、RJ45-DB9Adapter（轉(zhuǎn)換頭）2個，用于將路由器console口與PC機(jī)COM口相連；RJ45-to-RJ45crossovercable（RJ45交叉線）2根，用于將路由器以太接口與PC機(jī)以太接口相連；V.35（一種同步串行傳輸標(biāo)準(zhǔn)）DTE線纜、V.35DCE線纜各1根，用于將2臺路由器異步/同步serial串行接口相連；帶9針COM口的PC機(jī)2臺。實驗方法：實驗前預(yù)先閱讀實驗講義課文，理解訪問控制列表ACL的工作原理與配置及監(jiān)測的方法；閱讀后附的技術(shù)背景文檔，熟悉使用訪問控制列表的三個步驟及每個步驟使用的命令用法、掌握標(biāo)準(zhǔn)IP訪問控制列表與擴(kuò)展IP訪問控制列表各自對報文的過濾能力；按照實驗內(nèi)容給出的步驟，完成對IP訪問控制列表的配置和監(jiān)測，并將獲取的信息和配置及監(jiān)測結(jié)果在實驗報告中給出;驗證所做配置是否能正常工作。實驗內(nèi)容：1、配置和引用標(biāo)準(zhǔn)IP訪問控制列表如下圖，先連接好實驗設(shè)備，使用erasestartup-config命令清除以前配置。并配置好各設(shè)備的基本IP地址及靜態(tài)路由，實現(xiàn)整個拓?fù)涞腎P連通性，在此基礎(chǔ)上進(jìn)行IP訪問控制列表的配置和監(jiān)測。下圖中，如實際實驗設(shè)備的網(wǎng)絡(luò)端口為100M快速以太網(wǎng)端口，則須改用fa0/0、fa0/1表示，圖中的lo為loopback自回環(huán)網(wǎng)絡(luò)端口。LO:RouterASO0: ~I RouterB|IwL-日Hl11 I='；fi.-辱日凹IEO0:13S.1.1.1 SO0:192.16 EO0:配置訪問控制列表：在Router_A上，我們允許從網(wǎng)絡(luò)來的數(shù)據(jù)通過，拒絕其他的數(shù)據(jù)。Router_A#conftEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Router_A(config)#access-list1permit55制列表；Router_A(config)#interfaces0/0Router_A(config-if)#ipaccess-group1in〃應(yīng)用到端口，這一步總在上一步設(shè)定訪問表之后。去除訪問表時則相反;Router_A(config-if)#endRouter_A#以下為顯示的左邊路由器A及右邊路由器B的配置：RouterAinterfaceSerial0/0ipaddressipaccess-group1in 〃所有從s0/0進(jìn)入的數(shù)據(jù)包都經(jīng)過這個表的過濾;!interfaceEthernet0/0ipaddressipclassless！access-list1permit55！ 〃定義訪問表規(guī)則，此處只允許一個網(wǎng)絡(luò)通過；〃注意：這兒緊跟著隱含有一個省略的語句：denyanyany；Router_B

interfaceLoopback0ipaddress!interfaceSerial0/0noswitchportipaddress!interfaceEthernet0/0noswitchportipaddressnokeepalive 〃使該端口在不接設(shè)備時，也被激活;使用路由器上擴(kuò)展的ping使用路由器上擴(kuò)展的ping命令:Router_B#ping〃回車確認(rèn)默認(rèn)值；〃輸入目標(biāo)地址;〃回車確認(rèn)默認(rèn)值；〃輸入目標(biāo)地址;TargetIPaddress:Repeatcount[5]:Datagramsize[100]:〃回車確認(rèn)以上三項；〃輸入〃回車確認(rèn)以上三項；〃輸入yes，使用擴(kuò)展ping命令;〃指定數(shù)據(jù)包發(fā)出的地方;Extendedcommands[n]:ySourceaddressorinterface:Typeofservice[0]:SetDFbitinIPheader?[no]:Validatereplydata?[no]:Datapattern[0xABCD]:Loose,Strict,Record,Timestamp,Verbose[none]:Sweeprangeofsizes[n]: 〃回車確認(rèn)以上個項;Typeescapesequencetoabort.Sending5,100-byteICMPEchosto,timeoutis2seconds:Successrateis0percent(0/5)此時，觀察到的結(jié)果為不通。重新使用擴(kuò)展的ping命令，將源地址改成；此時，觀察到的結(jié)

果是通的。兩者比較，說明標(biāo)準(zhǔn)訪問控制列表在工作、已經(jīng)起作用了。2、配置和引用擴(kuò)展IP2、配置和引用擴(kuò)展IP訪問控制列表使用擴(kuò)展訪問控制列表進(jìn)行報文過濾。如上圖連接好設(shè)備并按圖配置好地址，此處用二級IP地址來替代多臺PC機(jī)。我們希望做到路由器A允許所有從PC-C到PC-A的數(shù)據(jù)通過，而拒絕從PC-C到PC-B的數(shù)據(jù)通過。這里對源IP和日的IP地址都要過濾，因此使用擴(kuò)展訪問控制列表。兩個路由器的最后配置如下：RouterAhostnameRouter_Aipsubnet-zero!interfaceSerial0/0ipaddressipaccess-group101in!interfaceEthernet0/0ipaddresssecondary〃使用二級地址;ipaddresssecondary〃使用二級地址;ipaddressnokeepalive 〃使該端口在不接設(shè)備時，也被激活；〃缺省路由;iproute〃缺省路由;access-list101permitiphosthostlog 〃訪問表項；access-list101denyiphosthostlog〃前面提到，新添表項時，總添在表的末尾，而由于訪問表中表項的順序至關(guān)重要，所以，脫機(jī)編輯表項不失為一個好方法；!linecon0lineaux0linevty04login!endRouterB interfaceLoopback0ipaddress!InterfaceSerial0/0noswitchportipaddress!interfaceEthernet0/0noswitchportipaddresssecondaryipaddressnokeepalive!iproute 然后，監(jiān)測所作的配置。在路由器B上，使用擴(kuò)展的ping命令：Router_B#pingProtocol[ip]:TargetIPaddress:Repeatcount[5]:Datagramsize[100]:Timeoutinseconds[2]:Extendedcommands[n]:ySourceaddressorinterface:Typeofservice[0]:SetDFbitinIPheader?[no]:Validatereplydata?[no]:Datapattern[0xABCD]:Loose,Strict,Record,Timestamp,Verbose[none]:Sweeprangeofsizes[n]:Typeescapesequencetoabort.Sending5,100-byteICMPEchosto,timeoutis2seconds:!!!!!Successrateis100percent(5/5),round-tripmin/avg/max=1/2/4ms將目的地址換成，結(jié)果是U.U.U，就是目標(biāo)不可達(dá)。在路由器A上：Router_A#shipaccess-listsExtendedIPaccesslist101permitiphosthostlog(901matches)〃允許的報文，已有901次；denyiphosthostlog(5matches)〃被拒絕的報文，已有5次；可以看出路由器A上被拒絕的和通過的報文的次數(shù)。在路由器A上作debug監(jiān)測：Router_A#debugippacketIPpacketdebuggingisonRouter_A#01:43:07:IP:s=(FastEthernet0/0),d=,len100,accessdenied01:43:07:IP:s=(FastEthernet0/0),d=,len100,accessdenied01:43:09:IP:s=(FastEthernet0/0),d=,len100,accessdenied可以實時觀察到報文被拒絕的情況。問題與思考：1、 由于訪問控制列表末尾總隱含有denyanyany語句，請思考以下問題并作出實驗驗證：在上面實驗內(nèi)容3的擴(kuò)展訪問控制列表中，第二條訪問控制列表項語句：access-list101denyiphosthostlog是否可以省略？2、 上面擴(kuò)展的訪問控制列表中，可不可以將ipaccess-group101應(yīng)用到端口e0/0上，如果可以，請說明是out還是in，如果不可以請說明理由。并比較應(yīng)用到端口e0/0和應(yīng)用到s0/0口的優(yōu)劣。實驗背景材料：一、IP訪問控制列表訪問控制列表（AaccessControlList,ACL）是一個有序的語句集合，它檢測通過路由器的信包中有關(guān)字段與訪問控制列表參數(shù)是否匹配，來允許信包通過或拒絕信包通過某個接口。訪問控制列表可以實現(xiàn)路由器一定的安全控制功能。Cisco路由器支持兩種類型的訪問控制列表：標(biāo)準(zhǔn)IP訪問控制列表、擴(kuò)展IP訪問控制列表。標(biāo)準(zhǔn)IP訪問控制列表只允許過濾源地址；擴(kuò)展IP訪問控制列表允許過濾源地址、目的地址、源端口、目的端口、協(xié)議。標(biāo)準(zhǔn)IP訪問控制列表其基本格式為：access-list[list-number][permitldeny][sourceaddress][wildcard-mask][log]其中l(wèi)ist-number是1到99之間的一個整數(shù)，表示訪問控制列表編號。若有多個list-number相同的語句，它們表示一個整體組。用這樣的方法，在這之后，可以方便將該編號組的訪問控制規(guī)則應(yīng)用到某個接口上。permit或deny用來表示滿足訪問控制列表的信包是允許通過接口還是要過濾掉。sourceaddress指明源地址。一般常常過濾某一組地址，這時需要使用通配符掩碼wildcard-mask，通常把通配符掩碼也稱作反向掩碼，因為它的意義和普通掩碼剛好相反。例如，用普通掩碼表示網(wǎng)絡(luò)時：表示的網(wǎng)絡(luò)地址，而在訪問控制列表中用反向掩碼來表示同樣的內(nèi)容是：55,也就是說，在反向掩碼的二進(jìn)制表示中，0表示“匹配”，1表示“不關(guān)心”，這剛好和普通掩碼的意義相反，所以也可以說反向掩碼是普通掩碼的補(bǔ)值。語句中的其它關(guān)鍵字還包括remark、host、any和log。關(guān)鍵字remark緊跟在list-number之后，用于對這個訪問控制列表的注釋。如果僅僅想表示單個IP地址，可用關(guān)鍵字host，host后跟一個地址就明確表示一個地址被允許或被拒絕。如果要表示所有地址，則需要用關(guān)鍵字any。host和any也可以用網(wǎng)段反向掩碼表示，其反向掩碼分別是和55。關(guān)鍵字log指示將所有能匹配訪問控制列表permit或deny語句的信包記錄進(jìn)日志。這樣就可以在以后通過showlogging命令檢查日志內(nèi)容，以此判斷一些流量（部分地址被允許的次數(shù)）或潛在的黑客活動（多次嘗試活動被拒絕）。擴(kuò)展IP訪問控制列表擴(kuò)展IP訪問控制列表擴(kuò)展了對信包的過濾能力，它可以根據(jù)以下內(nèi)容過濾信包：協(xié)議類型、源地址、目的地址、源端口、目的端口等。其基本格式為:access-list[list-number][^erimit\deny][protocol\protocolkeyword][sourceaddress][source-wildcard\[sourceport][destinationaddress][destination-wildcard][destinationport][log]其中l(wèi)ist-number的含義和標(biāo)準(zhǔn)IP訪問控制列表的相同，只是號碼從100-199。語句中的permit\deny項及sourceaddress，source-wildcard，destinationaddress，destination-wildcard的含義和標(biāo)準(zhǔn)IP訪問控制列表的相同，分別表示允許、拒絕，源地址（網(wǎng)段）、目的地址（網(wǎng)段），如果僅過濾單個地址，前面加上host即可。protocol表項定義了需要被過濾的協(xié)議，如IP、TCP、UDP、ICMP等。source-port，destination-port表示的源和目的端口通常只使用在TCP或UDP協(xié)議時。它們可以使用兩種方式表示，顯式方式：用一個端口數(shù)字或可識別的助記符，如用80或HTTP來指定WEB服務(wù)器端口；模糊方式：用比較關(guān)系符gt（大于）、lt（小于）、eq（等于）、neq（不等于）后跟某個范圍。其它關(guān)鍵字還有：remark，host，any，log和establishedremark用于注釋，和標(biāo)準(zhǔn)IP訪問控制列表一樣。host，any，log也同前。established僅用于TCP協(xié)議中，用于TCP在一個方向上響應(yīng)另一端發(fā)起的會話時，使用established關(guān)鍵字的訪問控制列表檢查每個TCP報文，看它的ACK或RST位是否已經(jīng)設(shè)置而決定允許或拒絕。二、使用IP訪問控制列表使用IP訪問控制列表的步驟包括三步：1、 定義IP訪問控制列表將要過濾哪些信包、如何過濾的策略通過access-list語句定義。遵循以下規(guī)則：自上而下的順序、以及末尾隱含的denyany語句。所謂自上而下的順序，是指在過濾時，信包經(jīng)過每條語句的檢查，到匹配語句為止，否則一直往下檢查，如果沒有一條匹配，則最后有一條隱含的denyany將其拒絕。要切記最后隱含的這條語句。2、 將該訪問控制列表引用在哪個接口上配置好訪問控制列表后，要應(yīng)用到具體的接口上才真正使它起作用。在接口上使用訪問控制列表時要用ipaccess-grouplist-number[in\out]命令。過濾信包是在接口上實現(xiàn)的，一般在選擇接口時，對于擴(kuò)展IP訪問控制列表，要盡量放在靠近過濾源的接口上，這樣創(chuàng)建的過濾器就不會影響到其他接口的數(shù)據(jù)流；對于標(biāo)準(zhǔn)IP訪問控制列表，要盡量放在靠近目的地的接口上，這是因為：標(biāo)準(zhǔn)IP訪問控制列表只以源地址為過濾對象，放在離源地址近的地方會阻止這里的報文流向其他地方。3、 指定信包在接口上過濾的方向ipaccess-grouplist-number[inlout]命令在接口上使用時還需要指定其過濾方向。in表示“向內(nèi)的”，即信包流流向路由器；out表示“向外的”，即信包流從路由器流出。三、命名的IP訪問控制列表和訪問控制列表的編輯也可以用命名方式的訪問控制列表來取代編號方式的訪問控制列表，這樣，不但不會受編號方式編號個數(shù)的限制，而且在命名時可以給出一個易理解、意思明確的名字，以便區(qū)分各個訪問控制列表的過濾作用和意義，如名字denystudent，名字test，名字denyftp等等。其具體格式為：ipaccess-liststandardname或ipaccess-listextendedname，此后，同一組訪問控制列表語句中，跟著的其它語句的ipaccess-list字段就省去了，只從permit|deny開始。使用命名的訪問控制列表還有另一個優(yōu)點：編輯同一組訪問控制列表語句中的某單個語句時，可以用no命令很方便地刪去其中的一條，而用編號方式的訪問控制列表時，no一條語句，會刪去該編號所有的這一個組。另外，在添加訪問控制列表表項的時候（無論是編號方式的還是命名方式的），新添加的表項總是在訪問控制列表的末尾，由于訪問表是按序執(zhí)行的，所以，加在末尾是否能實現(xiàn)想要的功能，也應(yīng)加以考慮。Cisco路由器配置軟件與CCNA資料參考網(wǎng)址Cisco路由器模擬器軟件router_eSIM_v1.1,/downloads/openfile.asp?id=34&filename=download/router_eSIM_v11.zip⑵Cisco路由器模擬器軟件SybexCCNAVirtualLab2.1,/downloads/openfile.asp?id=51&filename=download/routersim.zipBonsonNetSim6.0路由器模擬器軟件，/downloads/BosonNetSim模擬器入門進(jìn)階（上冊），/network/files/11122.htmlBosonNetSim模擬器入門進(jìn)階（下冊），/network/files/11162.html在線教程CCNA1NetworkingBasicsv3.11,/ccnav311/en-knet-311053022401441/ccna3theme/ccna3/start.html在線教程CCNA2RoutersandRoutingBasicsv3.1,/ccnav311/en-knet-311053022482417/ccna3theme/ccna3/start.html在線教程CCNA3SwitchingBasicsandIntermediateRoutingv3.1,/cisoctraining/en-knet-311053022539739/ccna3theme/ccna3/start.htmlCisco教材中文版《CCNA學(xué)習(xí)指南》，/soft/3628.htmSybexCCNA2.0StudyGuide,/soft/4977.htmCCNAICNDExamCertificationGuide（Cisco出版社），/cisco_doc