运维之思科篇 -----4. 标准与扩展ACL 、 命名ACL

Cisco 专栏收录该内容
7 篇文章 2 订阅

FOUR DAY

 

总结问题:

访问控制列表类型是;

标准访问列表配置命令是;

扩展访问列表配置命令是;

命名访问控制列表配置命令是;

Switch(config)#spanning-tree mode rapid-pvst

一、 访问控制列表概述

1、访问控制列表(ACL):

读取第三层、第四层包头信息

根据预先定义好的规则对包进行过滤

2、 访问控制列表的处理过程

如果匹配第一条规则,则不再往下检查,路由器将决定该数据包允许通过或拒绝通过。

如果不匹配第一条规则,则依次往下检查,直到有任何一条规则匹配。

如果最后没有任何一条规则匹配,则路由器根据默认的规则将丢弃该数据包。

3、访问控制列表的类型:

1) 标准访问控制列表

基于IP地址过滤数据包。

应该应用到距离目标最近的路由器端口的出方向。

列表号是199

2) 扩展访问控制列表

基于IP地址、目的IP地址、指定协议、端口等来过滤数据包。

最好应用到离端口最近的 路由器端口的入方向。

列表号是100199 

3) 命名访问控制列表

命名访问控制列表允许在标准和扩展访问控制列表中使用名称代替表号

二、标准访问控制列表

1、标准访问控制列表的创建

全局:access-list 1deny  192.168.1.10 0.0.0.255

全局:access-list 1 permit 192.168.1.0 0.0.0.255

通配符掩码:也叫做反码。用二进制数0和1表示,如果某位为1,表明这一位不需要进行匹配操作,如果为0表明需要严格匹配。

例:192.168.1.0/24子网掩码是255.255.255.0,其反码可以通过255.255.255.255减去255.255.255.0得到0.0.0.255

隐含拒绝语句:access-list 1 deny 0.0.0.0  255.255.255.255

2、 将ACL应用于接口

接口模式:ip access-group  列表号 in或out

注:access-list 1deny  192.168.1.1  0.0.0.0或写为

access-list 1deny host  192.168.1.1

access-list 1 deny 0.0.0.0  255.255.255.255或写为

access-list 1 deny  any

3、 删除已建立的访问控制列表

全局:no access-list 列表号

4、 接口上取消ACL

接口模式:no  ip  access-group  列表号in 或out

5、 查看访问控制列表

特权:show  access-lists

Access-list 1 permit host 192.168.1.100

Access-list 1 deny 192.168.1.0 0.0.0.255

Access-list 1 permit any

in f0/1

Ip access-group 1 out

 

 

三、扩展访问控制列表

1、作用

可以根据IP地址,目的IP地址,指定协议,端口等过滤数据包。

2.扩展访问控制列表号:100-199

3、 eq等于、lt小于、gt大于、neq不等于

4、扩展访问控制列表案例:

1:全局: access-list 101 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255

(允许192.168.1.0网络访问192.168.2.0网络的所有服务)

全局: access-list 101 deny ip any any

(拒绝所有)

2:全局: access-list 101 deny tcp 192.168.1.0 0.0.0.255 host 192.168.2.2  eq  21

(拒绝192.168.1.0网段访问192.168.2.2TCP21端口)

全局:access-list  101  permit  ip  any  any(允许访问所有)

3全局: access-list 101 deny icmp 192.168.1.0 0.0.0.255 host 192.168.2.2 echo

(拒绝192.168.1.0 ping 192.168.2.2

5、删除扩展ACL

全局:no  access-list列表号

注:扩展与标准ACL不能删除单条ACL语句,只能删除整个ACL。

6、扩展ACL应该应用在离源地址最近的路由器上。

四、命名访问控制列表、

1、命名访问控制列表可以配置标准命名也可配置扩展命名。

2、命名访问控列表的ACL语句默第一条为10,第二条为20,依此类推。

3、命名ACL可以删除单条ACL语句,而不必删除整个ACL。并且命名ACL语句可以有选择的插入到列表中的某个位置,使得ACL配置更加方便灵活。

4、标准命名ACL的配置

1)全局:ip  access-list  standard  名字

Permit  host   192.168.1.1

deny   any

2)命名ACL应用于接口

接口模式:ip   access-group  名字 in或out

5、扩展命名ACL的配置

全局:ip  access-list  extended   名字

deny  tcp  192.168.1.0  0.0.0.255  host  192.168.2.2  eq  80拒绝1.0网段访问2.2web服务。

Permit  ip  any  any 

 

通过扩展ACL只允许192.168.1.0/24网络中的192.168.1.100访问192.168.4.0/24网络

不允许1.100访问4.1,其他通信不受限制

Access-list 100 permit ip host 192.168.1.1 192.168.4.1 0.0.0.255

/

Access-list 100 deny ip 192.168.1.0 0.0.0.255 192.168.4.0 0.0.0.255 

Access-list 100 permit ip any any

In f0/0

Ip access-group 100 in

标准访问控制列表:表号199,只能检查数据包的源IP地址,应该应用离目标最近的路由器端口的出方向

扩展访问控制列表:表号100199,可以检查数据包的源和目标IP地址,以及协议和端口号。最好应用到离源最近的路由器端口的入方向

拒绝192.168.1.0/24访问192.168.4.0/24telnet服务,即23端口

允许全部

拒绝192.168.1.0/24访问192.168.4.0/24

1、配置

R3(config)#access-list 1 permit host 192.168.1.100

R3(config)#access-list 1 deny 192.168.1.0 0.0.0.255

R3(config)#access-list 1 permit any

R3(config)#int f0/1

R3(config-if)#ip access-group 1 out

2、验证

1192.168.1.10 ping 192.168.4.10不通

2192.168.1.10 ping 其他地址,可以通

3192.168.4.10 ping 192.168.1.10也不通,因为数据可以发出去,但收不回来

4)从Router1路由器ping 192.168.4.10也能通

5192.168.1.100 ping 192.168.4.10,可以通

通过扩展ACL只允许192.168.1.0/24网络中的192.168.1.100访问192.168.4.0/24网络

不允许192.168.1.0/24网络中的其他地址访问192.168.4.0/24网络

除此以外的通信不受限制

R1(config)#access-list 100 permit ip host 192.168.1.100 192.168.4.0 0.0.0.255

R1(config)#access-list 100 deny ip 192.168.1.0 0.0.0.255 192.168.4.0 0.0.0.255

R1(config)#access-list 100 permit ip any any

R1(config)#int f0/0

R1(config-if)#ip access-group 100 in

拒绝192.168.1.10访问192.168.4.0web服务,其他不受限

R1(config)#access-list 101 deny tcp host 192.168.1.10 192.168.4.0 0.0.0.255 eq 80

R1(config)#access-list 101 permit ip any any

R1(config)#int f0/0

R1(config-if)#ip access-group 101 in

不允许192.168.1.100 ping 192.168.4.0/24,其他全部允许

echo表示发送的ping请求,接收方回应的是echo-reply

R1(config)#access-list 102 deny icmp host 192.168.1.100 192.168.4.0 0.0.0.255  echo

R1(config)#access-list 102 permit ip any any

R1(config-if)#ip access-group 102 in

拒绝192.168.1.10访问192.168.4.0网络,其他的全允许

R3(config)#ip access-list standard deny_1.10

R3(config-std-nacl)#deny host 192.168.1.10

R3(config-std-nacl)#permit any

R3(config)#int f0/1

R3(config-if)#ip access-group deny_1.10 out

ACL中加入拒绝192.168.1.100

R3#show access-lists 

Standard IP access list deny_1.10

    10 deny host 192.168.1.10 (4 match(es))

    20 permit any (4 match(es))

R3(config)#ip access-list stand deny_1.10

R3(config-std-nacl)#15 deny host 192.168.1.100

R3#show access-lists 

Standard IP access list deny_1.10

    10 deny host 192.168.1.10 (4 match(es))

    15 deny host 192.168.1.100

    20 permit any (4 match(es))

R3(config)#ip access-list standard deny_1.10

R3(config-std-nacl)#no deny host 192.168.1.100

使用命名ACL代替之前的100ACL

R1(config)#ip access-list extended ristrict_net1

R1(config-ext-nacl)#permit ip host 192.168.1.100 192.168.4.0 0.0.0.255

R1(config-ext-nacl)#deny ip 192.168.1.0 0.0.0.255 192.168.4.0 0.0.0.255

R1(config-ext-nacl)#permit ip any any

R1(config-ext-nacl)#int f0/0

R1(config-if)#ip access-group ristrict_net1 in

  1. 案例1:配置标准ACL
  2. 案例2:配置扩展ACL
  3. 案例3:配置标准命名ACL
  4. 配置扩展命名ACL

1 案例1:配置标准ACL

1.1 问题

络调通后,保证网络是通畅的。同时也很可能出现未经授权的非法访问。企业网络既要解决连连通的问题,还要解决网络安全的问题。

  • 配置标准ACL实现拒绝PC1(IP地址为192.168.1.1)对外问网络192.168.2.1的访问

1.2 方案

访问控制是网络安全防范和保护的主要策略,它的主要任务是保证网络资源不被非法使用和访问。它是保证网络安全最重要的核心策略之一。

访问控制列表(Access Control Lists,ACL)是应用在路由器接口的指令列表。这些指令列表用来告诉路由器哪能些数据包可以收、哪能数据包需要拒绝。至于数据包是被接收还是拒绝,可以由类似于源地址、目的地址、端口号等的特定指示条件来决定。

标准访问控制列表只能根据数据包的源IP地址决定是否允许通过。

网络拓扑如图-1所示:

图-1

1.3 步骤

实现此案例需要按照如下步骤进行。

步骤一:在R1上配置接口IP


    
  1. tarena-R1(config)#interface f0/0
  2. tarena-R1(config-if)#ip address 192.168.1.254 255.255.255.0
  3. tarena-R1(config-if)#no shutdown
  4. tarena-R1(config-if)#interface f0/1
  5. tarena-R1(config-if)#ip address 192.168.2.254 255.255.255.0
  6. tarena-R1(config-if)#no shutdown

步骤二:测试主机到192.168.2.1的连通性

在实施ACL之前先检查网络是否能够正常通信,因为没有任何限制,网络应该是处于连通状态。

PC1测试如下所示:


    
  1. PC>ipconfig
  2. FastEthernet0 Connection:(default port)
  3. Link-local IPv6 Address.........: FE80::2E0:F7FF:FED6:54CC
  4. IP Address......................: 192.168.1.1
  5. Subnet Mask.....................: 255.255.255.0
  6. Default Gateway.................: 192.168.1.254
  7. PC>ping 192.168.2.100
  8. Pinging 192.168.2.100 with 32 bytes of data:
  9. Reply from 192.168.2.1: bytes=32 time=0ms TTL=126
  10. Reply from 192.168.2.1: bytes=32 time=0ms TTL=126
  11. Reply from 192.168.2.1: bytes=32 time=0ms TTL=126
  12. Reply from 192.168.2.1: bytes=32 time=0ms TTL=126
  13. Ping statistics for 192.168.2.1:
  14. Packets: Sent = 4, Received = 2, Lost = 2 (50% loss),
  15. Approximate round trip times in milli-seconds:
  16. Minimum = 0ms, Maximum = 0ms, Average = 0ms
  17. PC>

PC2测试如下所示:


    
  1. PC>ipconfig
  2. FastEthernet0 Connection:(default port)
  3. Link-local IPv6 Address.........: FE80::2D0:BAFF:FE98:9E29
  4. IP Address......................: 192.168.1.2
  5. Subnet Mask.....................: 255.255.255.0
  6. Default Gateway.................: 192.168.1.254
  7. PC>ping 192.168.2.1
  8. Pinging 192.168.2.1 with 32 bytes of data:
  9. Reply from 192.168.2.1: bytes=32 time=2ms TTL=126
  10. Reply from 192.168.2.1: bytes=32 time=0ms TTL=126
  11. Reply from 192.168.2.1: bytes=32 time=0ms TTL=126
  12. Reply from 192.168.2.1: bytes=32 time=0ms TTL=126
  13. Ping statistics for 192.168.2.1:
  14. Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
  15. Approximate round trip times in milli-seconds:
  16. Minimum = 0ms, Maximum = 2ms, Average = 0ms
  17. PC>

步骤三:在R1上配置标准访问控制列表,并应用到Fa0/0端口

ACL的匹配规则中,最后有一条隐含拒绝全部。如果语句中全部是拒绝条目,那么最后必须存在允许语句,否则所有数据通信都将被拒绝。


    
  1. tarena-R1(config)#access-list 1 deny host 192.168.1.1
  2. tarena-R1(config)#access-list 1 permit 192.168.1.0 0.0.0.255
  3. tarena-R1(config)#interface f0/0
  4. tarena-R1(config-if)#ip access-group 1 in

步骤四:分别在两台主机上测试到192.168.2.1的连通性

PC1测试如下所示:


    
  1. PC>ipconfig
  2. FastEthernet0 Connection:(default port)
  3. Link-local IPv6 Address.........: FE80::2E0:F7FF:FED6:54CC
  4. IP Address......................: 192.168.1.1
  5. Subnet Mask.....................: 255.255.255.0
  6. Default Gateway.................: 192.168.1.254
  7. PC>ping 192.168.2.1
  8. Pinging 192.168.2.1 with 32 bytes of data:
  9. Reply from 192.168.1.254: Destination host unreachable.
  10. Reply from 192.168.1.254: Destination host unreachable.
  11. Reply from 192.168.1.254: Destination host unreachable.
  12. Reply from 192.168.1.254: Destination host unreachable.
  13. Ping statistics for 192.168.2.1:
  14. Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),
  15. PC>

PC2测试如下所示:


    
  1. PC>ipconfig
  2. FastEthernet0 Connection:(default port)
  3. Link-local IPv6 Address.........: FE80::207:ECFF:FE46:CAC0
  4. IP Address......................: 192.168.1.2
  5. Subnet Mask.....................: 255.255.255.0
  6. Default Gateway.................: 192.168.1.254
  7. PC>ping 192.168.2.1
  8. Pinging 192.168.2.1 with 32 bytes of data:
  9. Reply from 192.168.2.1: bytes=32 time=1ms TTL=127
  10. Reply from 192.168.2.1: bytes=32 time=0ms TTL=127
  11. Reply from 192.168.2.1: bytes=32 time=1ms TTL=127
  12. Reply from 192.168.2.1: bytes=32 time=0ms TTL=127
  13. Ping statistics for 192.168.2.1:
  14. Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
  15. Approximate round trip times in milli-seconds:
  16. Minimum = 0ms, Maximum = 1ms, Average = 0ms
  17. PC>

结果显示PC2(IP地址为192.168.1.2)可以正常访问192.168.2.1,而PC1(IP地址为192.168.1.1)已经被192.168.1.254(R1)拒绝。

步骤五:在R1上查看相关的ACL信息


    
  1. tarena-R1#show ip access-lists
  2. Standard IP access list 1
  3. 10 deny host 192.168.1.1 (4 match(es))
  4. 20 permit 192.168.1.0 0.0.0.255 (8 match(es)

2 案例2:配置扩展ACL

在网络中很有可能要允许或拒绝的并不是某一个源IP地址,而是根据目标地址或是协议来匹配。但是标准访问控制列表只能根据源IP地址来决定是否允许一个数据包通过。

2.1 问题

配置扩展ACL允许pc1访问pc4的www服务但拒绝访问PC4的其他服务,PC2、PC3无限制。

2.2 方案

为了实现更灵活、列精确的网络控制就需要用到扩展访问控制列表了。

扩展IP访问控制列表比标准IP访问控制列表具有更多的匹配项,包括协议类型、源地址、目的地址、源端口、目的端口、建立连接的和IP优先级等。

网络拓扑如图-2所示:

图-2

2.3 步骤

实现此案例需要按照如下步骤进行。

步骤一:在三台路由器中配置IP、RIP动态路由实现全网互通


    
  1. tarena-R1(config)#interface fastEthernet 0/0
  2. tarena-R1(config-if)#ip address 192.168.1.254 255.255.255.0
  3. tarena-R1(config-if)#no shutdown
  4. tarena-R1(config-if)#exit
  5. tarena-R1(config)#interface fastEthernet 0/1
  6. tarena-R1(config-if)#ip address 192.168.2.1 255.255.255.0
  7. tarena-R1(config-if)#no shutdown
  8. tarena-R1(config-if)#exit
  9. tarena-R1(config)#router rip
  10. tarena-R1(config-router)#no auto-summary
  11. tarena-R1(config-router)#version
  12. tarena-R1(config-router)#network 192.168.1.0
  13. tarena-R1(config-router)#network 192.168.2.0
  14. tarena-R2(config)#interface fastEthernet 0/1
  15. tarena-R2(config-if)#ip address 192.168.2.2 255.255.255.0
  16. tarena-R2(config-if)#no shutdown
  17. tarena-R2(config-if)#exit
  18. tarena-R2(config)#interface fastEthernet 0/0
  19. tarena-R2(config-if)#ip address 192.168.3.1 255.255.255.0
  20. tarena-R2(config-if)#exit
  21. tarena-R2(config)#router rip
  22. tarena-R2(config-router)#version 2
  23. tarena-R2(config-router)#no auto-summary
  24. tarena-R2(config-router)#network 192.168.2.0
  25. tarena-R2(config-router)#network 192.168.3.0
  26. tarena-R3(config)# interface fastEthernet 0/0
  27. tarena-R3(config-if)#ip add 192.168.3.2 255.255.255.0
  28. tarena-R3(config-if)#no shu
  29. tarena-R3(config-if)#exit
  30. tarena-R3(config)#interface fastEthernet 0/1
  31. tarena-R3(config-if)#ip address 192.168.4.254 255.255.255.0
  32. tarena-R3(config-if)#no shutdown
  33. tarena-R3(config-if)#exit
  34. tarena-R3(config)#router rip
  35. tarena-R3(config-router)#version 2
  36. tarena-R3(config-router)#no auto-summary
  37. tarena-R3(config-router)#network 192.168.3.0
  38. tarena-R3(config-router)#network 192.168.4.0

步骤二:开启192.168.4.1的http服务后在PC1、PC2和PC3上验证到Web Server的HTTP协议访问,均如图3所示:

图-3

在没有配置扩展ACL的时候,主机均可以正常访问到Web Server。

步骤三:R1上配置扩展访问控制列表,PC1仅允许到Web Server的HTTP服务(不允许访问其他服务),PC2、PC3无限制

扩展ACL可以对数据包中的源、目标IP地址以及端口号进行检查,所以可以将该ACL放置在通信路径中的任一位置。但是,如果放到离目标近的地方,每台路由器都要对数据进行处理,会更多的消耗路由器和带宽资源。放到离源最近的路由器端口入方向直接就将拒绝数据丢弃,可以减少其他路由器的资源占用以及带宽占用。


    
  1. tarena-R1(config)#access-list 100 permit tcp host 192.168.1.1 host 192.168.4.1 eq 80
  2. tarena-R1(config)#access-list 100 deny ip host 192.168.1.1 host 192.168.4.1
  3. tarena-R1(config)#access-list 100 permit ip 192.168.1.0 0.0.0.255 host 192.168.4.1
  4. tarena-R1(config)#interface fastEthernet 0/0
  5. tarena-R1(config-if)#ip access-group 100 in

步骤四:在PC1上验证


    
  1. PC>ipconfig
  2. FastEthernet0 Connection:(default port)
  3. Link-local IPv6 Address.........: FE80::2E0:F7FF:FED6:54CC
  4. IP Address......................: 192.168.1.1
  5. Subnet Mask.....................: 255.255.255.0
  6. Default Gateway.................: 192.168.1.254
  7. PC>ping 192.168.4.1
  8. Pinging 192.168.4.1 with 32 bytes of data:
  9. Reply from 192.168.1.254: Destination host unreachable.
  10. Reply from 192.168.1.254: Destination host unreachable.
  11. Reply from 192.168.1.254: Destination host unreachable.
  12. Reply from 192.168.1.254: Destination host unreachable.
  13. Ping statistics for 192.168.4.1:
  14. Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),
  15. PC>

HTTP协议的验证如图-4所示:

图-4

从输入结果可以验证,PC1到Web Server的http服务访问没有受到影响但不能ping通Web Server。

步骤五:在PC2上进行验证


    
  1. PC>ipconfig
  2. FastEthernet0 Connection:(default port)
  3. Link-local IPv6 Address.........: FE80::209:7CFF:FED5:B0E4
  4. IP Address......................: 192.168.1.2
  5. Subnet Mask.....................: 255.255.255.0
  6. Default Gateway.................: 192.168.1.254
  7. PC>ping 192.168.4.1
  8. Pinging 192.168.4.1 with 32 bytes of data:
  9. Reply from 192.168.4.1: bytes=32 time=0ms TTL=125
  10. Reply from 192.168.4.1: bytes=32 time=12ms TTL=125
  11. Reply from 192.168.4.1: bytes=32 time=13ms TTL=125
  12. Reply from 192.168.4.1: bytes=32 time=12ms TTL=125
  13. Ping statistics for 192.168.4.1:
  14. Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
  15. Approximate round trip times in milli-seconds:
  16. Minimum = 0ms, Maximum = 13ms, Average = 9ms

HTTP协议的验证,如图-5所示:

图-5

步骤六:在R1上查看相关的ACL信息


    
  1. tarena-R1#show ip access-lists
  2. Extended IP access list 100
  3. 10 permit tcp host 192.168.1.1 host 192.168.4.1 eq www (5 match(es))
  4. 20 deny ip host 192.168.1.1 host 192.168.4.1 (4 match(es))
  5. 30 permit ip 192.168.1.0 0.0.0.255 host 192.168.4.1 (8 match(es))

3 案例3:配置标准命名ACL

3.1 问题

使用基本编号的ACL没有实际意义,只有通过阅读具体的条目才能得知该ACL的作用。而且ACL的编号有限制,如传统的标准ACL用1~99表示,扩展ACL用100~199表示。

  • 配置标准命名ACL实现192.168.1.0网段拒绝PC1访问外部网络,其他主机无限制。

3.2 方案

命名访问控制列表可以为ACL起一个有意义的名字,通过名称就可以得知该ACL要实现什么功能。同时,因为使用的是名称而不是数字,也就没有了ACL数量上的限制。

网络拓扑如图-6所示:

图-6

3.3 步骤

实现此案例需要按照如下步骤进行。

步骤一:将案例1配置标准ACL中的扩展访问控制列表移除,其他配置保留


    
  1. tarena-R1(config)#interface f0/0
  2. tarena-R1(config-if)#no ip access-group 1 in
  3. tarena-R1(config-if)#exit
  4. tarena-R1(config)#no access-list 1

步骤二:在R2上配置标准的命名访问控制列表

命名访问控制列表的配置总体上和用数字表示的ACL一样,但是更加灵活。


    
  1. tarena-R2(config)#ip access-list standard tedu
  2. tarena-R2(config-std-nacl)#deny host 192.168.1.1
  3. tarena-R2(config-std-nacl)#permit 192.168.1.0 0.0.0.255
  4. tarena-R2(config-std-nacl)#exit
  5. tarena-R2(config)#interface f0/0
  6. tarena-R2(config-if)#ip access-group tedu in

步骤三:分别在PC1和PC2上做连通性测试

PC2测试如下所示:


    
  1. PC>ipconfig
  2. FastEthernet0 Connection:(default port)
  3. Link-local IPv6 Address.........: FE80::2E0:F7FF:FED6:54CC
  4. IP Address......................: 192.168.1.2
  5. Subnet Mask.....................: 255.255.255.0
  6. Default Gateway.................: 192.168.0.1
  7. PC>ping 192.168.4.1
  8. Pinging 192.168.4.1 with 32 bytes of data:
  9. Reply from 192.168.4.1: bytes=32 time=0ms TTL=126
  10. Reply from 192.168.4.1: bytes=32 time=0ms TTL=126
  11. Reply from 192.168.4.1: bytes=32 time=0ms TTL=126
  12. Reply from 192.168.4.1: bytes=32 time=0ms TTL=126
  13. Ping statistics for 192.168.4.1:
  14. Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
  15. Approximate round trip times in milli-seconds:
  16. Minimum = 0ms, Maximum = 0ms, Average = 0ms
  17. PC>

PC1 测试如下所示:


    
  1. PC>ipconfig
  2. FastEthernet0 Connection:(default port)
  3. Link-local IPv6 Address.........: FE80::2D0:BAFF:FE98:9E29
  4. IP Address......................: 192.168.1.1
  5. Subnet Mask.....................: 255.255.255.0
  6. Default Gateway.................: 192.168.1.254
  7. PC>ping 192.168.4.1
  8. Pinging 192.168.4.1 with 32 bytes of data:
  9. Reply from 192.168.1.254: Destination host unreachable.
  10. Reply from 192.168.1.254: Destination host unreachable.
  11. Reply from 192.168.1.254: Destination host unreachable.
  12. Reply from 192.168.1.254: Destination host unreachable.
  13. Ping statistics for 192.168.4.1:
  14. Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),
  15. PC>

输出结果表明,PC1的访问是正常的,而PC2到Web Server的访问被R2(IP地址为192.168.1.2)拒绝。

步骤四:在R1上查看相关的ACL信息


    
  1. tarena-R2#show ip access-lists
  2. Standard IP access list tedu
  3. 10 deny host 192.168.1.1 (4 match(es))
  4. 20 permit 192.168.1.0 0.0.0.255(4 match(es))

输出结果也表明,来自于PC1的数据包被拦截。

4 配置扩展命名ACL

4.1 问题

使用基本编号的ACL没有实际意义,只有通过阅读具体的条目才能得知该ACL的作用。而且ACL的编号有限制,如传统的标准ACL用1~99表示,扩展ACL用100~199表示。

  • 配置扩展命名ACL允许PC1访问192.168.4.1的www服务但拒绝访问192.168.4.1的其他服务,PC2、PC3无限制。

4.2 方案

命名访问控制列表可以为ACL起一个有意义的名字,通过名称就可以得知该ACL要实现什么功能。同时,因为使用的是名称而不是数字,也就没有了ACL数量上的限制。

网络拓扑如图-7所示:

图-7

4.3 步骤

实现此案例需要按照如下步骤进行。

步骤一:将2配置扩展ACL中的扩展访问控制列表移除,其他配置保留


    
  1. tarena-R1(config)#no access-list 100 permit tcp host 192.168.1.1 host 192.168.4.1 eq www
  2. tarena-R1(config)#interface fastEthernet 0/0
  3. tarena-R1(config-if)#no ip access-group 100 in

步骤二:在R1上配置扩展命名访问控制列表

命名访问控制列表的配置总体上和用数字表示的ACL一样,但是更加灵活。


    
  1. tarena-R1(config)#ip access-list extended tarena
  2. tarena-R1(config-ext-nacl)#permit tcp host 192.168.1.1 host 192.168.4.1 eq 80
  3. tarena-R1(config-ext-nacl)#deny ip host 192.168.1.1 host 192.168.4.1
  4. tarena-R1(config-ext-nacl)#permit ip 192.168.1.0 0.0.0.255 host 192.168.4.1
  5. tarena-R1(config)#interface fastEthernet 0/0
  6. tarena-R2(config-if)#ip access-group tarena in

步骤三:在R1上查看相关的ACL信息


    
  1. tarena-R1#show ip access-lists
  2. Extended IP access list tarena
  3. 10 permit tcp host 192.168.1.1 host 192.168.4.1 eq www
  4. 20 deny ip host 192.168.1.1 host 192.168.4.1
  5. 30 permit ip 192.168.1.0 0.0.0.255 host 192.168.4.1

步骤四:在PC1上验证


    
  1. PC>ipconfig
  2. FastEthernet0 Connection:(default port)
  3. Link-local IPv6 Address.........: FE80::2E0:F7FF:FED6:54CC
  4. IP Address......................: 192.168.1.1
  5. Subnet Mask.....................: 255.255.255.0
  6. Default Gateway.................: 192.168.1.254
  7. PC>ping 192.168.4.1
  8. Pinging 192.168.4.1 with 32 bytes of data:
  9. Reply from 192.168.1.254: Destination host unreachable.
  10. Reply from 192.168.1.254: Destination host unreachable.
  11. Reply from 192.168.1.254: Destination host unreachable.
  12. Reply from 192.168.1.254: Destination host unreachable.
  13. Ping statistics for 192.168.4.1:
  14. Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),
  15. PC>
  16. PC>

HTTP协议的验证如图-8所示:

图-8

从输入结果可以验证,PC1到Web Server的http访问没有受到影响,但不能ping通192.168.4.1。

步骤五:在PC2上进行验证


    
  1. PC>ipconfig
  2. FastEthernet0 Connection:(default port)
  3. Link-local IPv6 Address.........: FE80::2E0:F7FF:FED6:54CC
  4. IP Address......................: 192.168.1.2
  5. Subnet Mask.....................: 255.255.255.0
  6. Default Gateway.................: 192.168.0.1
  7. PC>ping 192.168.4.1
  8. Pinging 192.168.4.1 with 32 bytes of data:
  9. Reply from 192.168.4.1: bytes=32 time=0ms TTL=126
  10. Reply from 192.168.4.1: bytes=32 time=0ms TTL=126
  11. Reply from 192.168.4.1: bytes=32 time=0ms TTL=126
  12. Reply from 192.168.4.1: bytes=32 time=0ms TTL=126
  13. Ping statistics for 192.168.4.1:
  14. Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
  15. Approximate round trip times in milli-seconds:
  16. Minimum = 0ms, Maximum = 0ms, Average = 0ms
  17. PC>

HTTP协议的验证,如图-9所示:


  • 3
    点赞
  • 1
    评论
  • 19
    收藏
  • 一键三连
    一键三连
  • 扫一扫,分享海报

相关推荐
©️2020 CSDN 皮肤主题: 岁月 设计师:pinMode 返回首页
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、C币套餐、付费专栏及课程。

余额充值