網(wǎng)絡設備安裝與調試技術 課件 第9章-網(wǎng)絡間的訪問控制( 華三版-01基礎篇 )

第9章

網(wǎng)絡間的訪問控制編著：

秦燊勞翠金

之前已經(jīng)實現(xiàn)了公司總部與分部間、公司各部門間的互聯(lián)互訪，但考慮到網(wǎng)絡安全的需求，各子網(wǎng)間的互訪需要進行一些控制，如禁止公司分部訪問總部的財務部門、禁止公司總部的市場部門訪問分部、只允許網(wǎng)絡管理人員遠程訪問和管理網(wǎng)絡設備等。這些子網(wǎng)間訪問控制的需求可以通過ACL（AccessControlList，訪問控制列表）實現(xiàn)。ACL是應用在路由器接口的指令規(guī)則列表，這些列表可根據(jù)數(shù)據(jù)包的源地址、目的地址、源端口、目的端口等信息，控制路由器放行這些數(shù)據(jù)包還是攔截這些數(shù)據(jù)包，達到對子網(wǎng)間訪問控制的目的。9.1標準和基礎ACL1.標準ACL也叫基本ACL，它只根據(jù)報文的源IP地址來允許或拒絕數(shù)據(jù)包，不考慮目的地址、端口等信息。2.ACL創(chuàng)建好后，需要在接口上應用才會生效。在接口應用ACL時，要指明是應用在路由器的入方向還是出方向上。對于進入路由器的數(shù)據(jù)包，路由器會先檢查入方向的ACL，只有ACL允許通行才查詢路由表；對于從路由器外出的數(shù)據(jù)包則先查詢路由表，明確出接口后才查看出方向的ACL?？梢姲袮CL應用到入站接口比應用到出站接口效率更高。3.應用ACL時，還要考慮應用到哪臺路由器上更好。由于標準ACL只能根據(jù)源地址過濾數(shù)據(jù)包，為了避免過早拒絕導致拒絕范圍被擴大，標準ACL應該應用到離目的地最近的路由器上。4.ACL被應用在路由器接口的入或出方向后，方向一致的數(shù)據(jù)包流經(jīng)接口時，就會被從ACL的第一個表項開始、自上而下的進行檢查，一旦當前被檢查的數(shù)據(jù)包匹配某一表項的條件，就停止對后續(xù)表項的檢查，并執(zhí)行當前表項的動作。動作有兩個，一個是允許通過permit，另一個的拒絕通過deny。9.1.1思科設備配置標準ACL

思科設備規(guī)定了一條默認表項，會自動添加到所有ACL表項的后面，內容是拒絕所有數(shù)據(jù)包通過，即denyany，若當前數(shù)據(jù)包與之前的ACL表項都不匹配，就會被拒絕通過。思科設備的標準ACL編號是1~99。

在PacketTracer中搭建如圖9-1所示拓撲，通過配置標準ACL實現(xiàn)只允許PC0訪問路由器R1、R2、R3的Telnet服務；拒絕PC1所在網(wǎng)段訪問Server0（0）。圖9-1思科設備配置標準ACL的拓撲

1.各路由器的基本配置，命令如下：R1(config)#interfacegigabitEthernet0/0//R1的配置R1(config-if)#ipaddressR1(config-if)#noshutdownR1(config-if)#exitR1(config)#interfacegigabitEthernet0/1R1(config-if)#ipaddressR1(config-if)#noshutdownR1(config-if)#exitR1(config)#interfaceserial0/0/0R1(config-if)#ipaddress52R1(config-if)#noshutdownR2(config)#interfaceSerial0/0/0//R2的配置R2(config-if)#ipaddress52R2(config-if)#noshutdownR2(config-if)#exitR2(config)#interfaceserial0/0/1R2(config-if)#ipaddress52R2(config-if)#noshutdownR3(config)#interfaceserial0/0/0//R3的配置R3(config-if)#ipaddress52R3(config-if)#noshutdownR3(config-if)#exitR3(config)#interfacegigabitEthernet0/0R3(config-if)#ipaddressR3(config-if)#noshutdown

2.配置單區(qū)域OSPF使全網(wǎng)互通，命令如下：R1(config)#routerospf1//R1的配置R1(config-router)#router-idR1(config-router)#network55area0R1(config-router)#network55area0R1(config-router)#networkarea0R2(config)#routerospf1//R2的配置R2(config-router)#router-idR2(config-router)#networkarea0R2(config-router)#networkarea0R3(config)#routerospf1//R3的配置R3(config-router)#router-idR3(config-router)#networkarea0R3(config-router)#network55area03.查看R1、R2、R3的OSPF路由表，命令如下：R1#showiprouteospf//查看R1的OSPF路由表R2#showiprouteospf//查看R2的OSPF路由表R3#showiprouteospf//查看R3的OSPF路由表4.為R1、R2、R3開啟telnet服務，允許管理員通過密碼“123”對這些設備進行telnet遠程管理。通過ACL實現(xiàn)只允許PC0訪問路由器R1、R2、R3的Telnet服務；拒絕PC1所在網(wǎng)段訪問Server0（0）。命令如下：R1(config)#access-list1permithost0//為R1定義ACL1的第一個表項，允許PC0通過，默認表項“拒絕所有”將自動添加在最后，成為ACL1的第二個表項R1(config)#linevty04//進入0~4這五個遠程虛擬終端的配置界面R1(config-line)#access-class1in//將ACL1應用在遠程連接的入方向，此處access-class命令只對標準ACL有效R1(config-line)#password123//遠程連接驗證時的密碼R1(config-line)#login//遠程連接時需要密碼驗證R2(config)#access-list1permithost0//為R2定義ACL1第一個表項，允許PC0通過，默認表項“拒絕所有”將自動添加在最后，成為ACL1的第二個表項R2(config)#linevty04R2(config-line)#access-class1in//將ACL1應用在遠程連接的入方向R2(config-line)#password123R2(config-line)#loginR3(config)#access-list1permithost0//為R3定義ACL1的第一個表項，允許PC0通過，默認表項“拒絕所有”將自動添加在最后，成為ACL1的第二個表項R3(config)#access-list2deny55//ACL2第一個表項拒絕PC1所在網(wǎng)段R3(config)#access-list2permitany//ACL2第二個表項允許所有網(wǎng)段通過，默認表項“拒絕所有”將自動添加在最后，成為ACL1的第三個表項，由于第二個表項已經(jīng)允許所有，所有第三個表項將不會被用到R3(config)#linevty04R3(config-line)#access-class1in//將ACL1應用在遠程連接的入方向R3(config-line)#password123R3(config-line)#loginR3(config-line)#exitR3(config)#interfaceserial0/0/0R3(config-if)#ipaccess-group2in//將ACL2應用在當前接口的入方向

5.測試方法如下：（1）在PC0上進行連接R1的telnet測試，命令如下：C:\>ipconfig//查看PC0的IP地址C:\>telnet//遠程連接R1Password://輸入密碼123R1>exit//成功連接到R1，輸入命令返回

（2）在PC0上進行連接R2的telnet測試，命令如下：C:\>telnet//遠程連接R2Password://輸入密碼123R2>exit//成功連接到R2，輸入命令返回（3）在PC0上進行連接R3的telnet測試，命令如下：C:\>telnet//遠程連接R3Password://輸入密碼123R3>exit//成功連接到R3，輸入命令返回（4）在PC0上ping服務器Server0，測試它們之間的連通性，命令如下：C:\>ping0//可以ping通（5）在PC1上telnetR1，命令如下：C:\>ipconfig//查看PC1的IP地址C:\>telnet//遠程連接R1%Connectionrefusedbyremotehost//提示連接被拒絕

（6）在PC1上telnetR2C:\>telnet//遠程連接R2%Connectionrefusedbyremotehost//提示連接被拒絕（7）在PC1上telnetR3，命令如下：C:\>telnet//遠程連接R3%Connectiontimedout;remotehostnotresponding//提示超時（8）在PC1ping服務器Server0，命令如下：C:\>ping0//通過ping測試PC1與服務器Server0的連通性，ping不通

（9）在R3上查看訪問控制列表，命令如下：R3#showipaccess-listsStandardIPaccesslist110permithost0(2match(es))//ACL1表項1的匹配量StandardIPaccesslist210deny55(28match(es))

//ACL2表項1的匹配量20permitany(136match(es))//ACL2表項2的匹配量

（10）在R3上清空ACL各表項的匹配，命令如下：R3#clearaccess-listcounters//清空ACL各表項的匹配R3#showipaccess-lists//查看訪問控制列表，可以看到各表項的匹配量被清空StandardIPaccesslist110permithost0StandardIPaccesslist210deny5520permitany（11）在R3上查看接口s0/0/0的信息，命令如下：R3#showipinterfaceserial0/0/0OutgoingaccesslistisnotsetInboundaccesslistis2//表明接口的入方向上應用了ACL29.2擴展和高級ACL

擴展ACL-也稱為高級ACL，擴展ACL可根據(jù)數(shù)據(jù)包的源IP地址、目的IP地址、指定協(xié)議、源端口、目的端口和標志來允許或拒絕數(shù)據(jù)包。9.2.1思科設備配置擴展ACL

思科擴展ACL的列表號范圍是100~199。下面，我們使用擴展ACL實現(xiàn)以下功能：

（1）只允許PC1所在網(wǎng)段訪問R3的Telnet服務；

（2）拒絕PC0所在網(wǎng)段pingServer0（0）；

（3）拒絕PC0所在網(wǎng)段訪問Server0（0）的Web服務和FTP服務；

（4）單向ping限制：不允許PC1pingServer0，但允許Server0pingPC1。

在PacketTracer中搭建如圖9-6所示的拓撲。圖9-6思科設備配置擴展ACL的拓撲

1.開啟R3的telnet服務，命令如下：R3(config)#linevty04R3(config-line)#transportinputtelnetR3(config-line)#password123R3(config-line)#login

2.在R1上進行擴展ACL的配置，方法如下：

（1）定義擴展ACL，命令如下：R1(config)#access-list100permittcp55hosteq23//此命令定義了ACL100的第一個列表項。列表號100表示當前ACL是擴展ACL；permit表示符合條件則允許通過；tcp表示根據(jù)tcp協(xié)議的端口號來進行是否符合條件的判斷；條件的前半部分55省略了源端口號，指的是“55+任意源端口號”，表示PC2所在網(wǎng)段作為源IP，且對源端口號不做限制；條件的后半部分hosteq23等價于eq23，指的是目標地址為，即R3的IP地址，且目標TCP端口號eq23，即等于23，指的是目標TCP端口號等于23，即telnet服務R1(config)#access-list100permittcp55hosteq23//此命令定義了ACL100的第二個列表項，此處目標地址是R3另一個接口的地址R1(config)#access-list100denytcpanyhosteq23//此命令定義了ACL100的第三個列表項，拒絕了任意源IP地址、任意源端口號訪問地址、且TCP端口號等于23的目標R1(config)#access-list100denytcpanyhosteq23//此命令定義了ACL100的第四個列表項，此處目標地址是R3另一個接口的地址以上4條ACL100的列表項實現(xiàn)了只允許PC2所在網(wǎng)段訪問R3的telnet服務。R1(config)#access-list100denyicmp55host0

//此命令定義了ACL100的第五個列表項，拒絕PC0所在網(wǎng)段（）pingServer0（0）R1(config)#access-list100denytcp55host0eq80

//此命令定義了ACL100的第六個列表項，拒絕PC0所在網(wǎng)段（）訪問Server0（0）的tcp80端口，即Web服務R1(config)#access-list100denytcp55host0eq21

//此命令定義了ACL100的第七個列表項，拒絕PC0所在網(wǎng)段（）訪問Server0（0）的tcp21端口，即FTP服務的控制通道R1(config)#access-list100denytcp55host0eq20//此命令定義了ACL100的第八個列表項，拒絕PC0所在網(wǎng)段（）訪問Server0（0）的tcp20端口，即FTP服務的數(shù)據(jù)通道以上3條ACL100的列表項拒絕了PC0所在網(wǎng)段訪問Server0（0）的Web服務和FTP服務。R1(config)#access-list100denyicmphost0host0echo//此命令定義了ACL100的第九個列表項，作用是不允許PC1（0）pingServer0（0），但不拒絕Server0pingPC1。P