ACL访问控制列表简单实验CISCO
1.ACL简介:
ACL 是访问控制列表(Access Control List)的简称,它是一种用于控制网络访问权限的技术手段,广泛应用于路由器、交换机等网络设备以及操作系统、数据库等系统中。以下从基本概念、工作原理、分类、应用场景等方面详细介绍 ACL:
1.1基本概念:
ACL 是由一系列规则组成的列表,这些规则根据数据包的源 IP 地址、目的 IP 地址、端口号、协议类型等信息来定义允许或拒绝特定的网络流量通过。它就像是一个网络交通警察,依据预先设定的规则对进出网络的数据包进行检查和筛选,以确保网络的安全性和稳定性。
1.2工作原理:
- 数据包检查:当数据包到达网络设备(如路由器)时,设备会按照 ACL 中规则的顺序,依次对数据包进行检查。
- 规则匹配:检查数据包的各项信息是否与 ACL 中的某条规则相匹配。例如,一条规则可能规定允许源 IP 地址为 192.168.1.0/24 网段的数据包通过,那么当一个来自该网段的数据包到达时,就会匹配这条规则。
- 执行动作:如果数据包与某条规则匹配,设备就会执行该规则所定义的动作,通常有允许(Permit)和拒绝(Deny)两种动作。如果数据包不与任何规则匹配,设备则会按照默认的规则进行处理,一般情况下是拒绝该数据包通过。
1.3分类:
- 标准 ACL:标准 ACL 只根据数据包的源 IP 地址来定义规则。它的编号范围通常是 1 - 99 或 1300 - 1999(不同的设备厂商可能会有一些差异)。例如,创建一个标准 ACL,拒绝来自 IP 地址 192.168.1.100 的所有流量,可以使用命令 “access - list 1 deny 192.168.1.100”。
- 扩展 ACL:扩展 ACL 可以根据数据包的源 IP 地址、目的 IP 地址、端口号、协议类型等多个条件来定义规则,功能更加强大。其编号范围一般是 100 - 199 或 2000 - 2699。例如,要阻止从 192.168.1.0/24 网段到 172.16.0.0/16 网段的所有 TCP 流量访问目标端口 80,可以使用命令 “access - list 101 deny tcp 192.168.1.0 0.0.0.255 172.16.0.0 0.0.255.255 eq 80”。
1.4应用场景:
- 网络安全防护:通过设置 ACL,可以阻止来自特定恶意 IP 地址或网段的访问,防止网络攻击,如黑客入侵、病毒传播等。例如,拒绝所有来自已知恶意 IP 地址的数据包进入企业网络。
- 访问控制:根据不同用户或部门的需求,限制对特定网络资源的访问。比如,只允许财务部门的 IP 地址访问财务服务器的特定端口,其他部门则无法访问。
- 流量管理:可以根据协议类型、端口号等对网络流量进行分类和控制,实现流量的优化和管理。例如,限制 P2P 下载软件所使用的端口,以避免大量占用网络带宽,保证关键业务(如视频会议、文件传输等)的正常运行。
1.5配置原则与注意事项:
- 规则顺序:ACL 中的规则是按照顺序依次检查的,一旦数据包匹配到某条规则并执行相应动作后,就不会再继续检查后面的规则。因此,规则的顺序非常重要,通常需要将最具体、最严格的规则放在前面。
- 通配符掩码:在配置 ACL 时,需要使用通配符掩码来指定 IP 地址范围。通配符掩码与子网掩码的概念相反,0 表示精确匹配,1 表示任意匹配。例如,通配符掩码 0.0.0.255 表示匹配该 IP 地址的前三个字节,最后一个字节可以是任意值。
- 默认规则:要清楚设备的默认规则,避免因疏忽导致意外的访问控制结果。有些设备默认拒绝所有未明确允许的流量,而有些设备则默认允许所有流量,需要根据实际情况进行合理配置。
- 测试与维护:在配置 ACL 后,需要进行充分的测试,确保其能够按照预期的规则进行访问控制,并且不会对正常的网络通信造成影响。同时,随着网络环境的变化,需要及时对 ACL 进行维护和更新,以保证网络的安全性和可用性。
2.实验要求和拓扑:
1.允许PC1访问Web服务器的WWW服务
2.禁止PC1访问Web服务器的其它服务
3.允许主机PC1访问网络192.168.2.0/24
4.本实验均采用静态配置
3.具体配置:
3.1各端口IP配置:
PC1:
PC3:
web服务器:
R1:
R1#conf t
R1(config)#int g0/0
R1(config-if)#ip add 192.168.1.254 255.255.255.0
R1(config-if)#no shutdown
R1(config-if)#exit
R1(config)#R1(config)#int g0/1
R1(config-if)#ip add 10.1.1.1 255.255.255.0
R1(config-if)#no shutdown
R1(config-if)#exit
R1(config)#
R2:
R2(config)#int g0/0
R2(config-if)#ip add 10.1.1.2 255.255.255.0
R2(config-if)#no shutdown
R2(config-if)#exit
R2(config)#R2(config)#int g0/1
R2(config-if)#ip add 10.1.2.1 255.255.255.0
R2(config-if)#no shutdown
R2(config-if)#exit
R2(config)#R2(config)#int g0/2
R2(config-if)#ip add 192.168.2.254 255.255.255.0
R2(config-if)#no shutdown
R2(config-if)#exit
R2(config)#
R3:
R3(config)#int g0/0
R3(config-if)#ip add 10.1.2.2 255.255.255.0
R3(config-if)#no shutdown
R3(config-if)#exit
R3(config)#R3(config)#int g0/1
R3(config-if)#ip add 192.168.3.254 255.255.255.0
R3(config-if)#no shutdown
R3(config-if)#exit
R3(config)#
3.2静态路由配置:
R1:
R1(config)#ip route 192.168.2.0 255.255.255.0 10.1.1.2
R1(config)#ip route 192.168.3.0 255.255.255.0 10.1.1.2
R1(config)#ip route 10.1.2.0 255.255.255.0 10.1.1.2
R2:
R2(config)#ip route 192.168.1.0 255.255.255.0 10.1.1.1
R2(config)#ip route 192.168.3.0 255.255.255.0 10.1.2.2
R3:
R3(config)#ip route 192.168.1.0 255.255.255.0 10.1.2.1
R3(config)#ip route 192.168.2.0 255.255.255.0 10.1.2.1
R3(config)#ip route 10.1.1.0 255.255.255.0 10.1.2.1
3.3ACL配置:
由于是限制PC1的访问,在R1上配置ACL较为简单。
R1(config)#access-list 101 permit tcp host 192.168.1.1 host 192.168.3.1 eq www
R1(config)#access-list 101 deny ip host 192.168.1.1 host 192.168.3.1
R1(config)#access-list 101 permit ip host 192.168.1.1 192.168.2.0 0.0.0.255
R1(config)# int f0/0
R1(config-if)# ip access-group 101 in
4.测试实验结果:
4.1PC1访问web服务:
1.在PC1点击网页浏览器:
2.输入服务器IP:
3.点击前往:
4.成功访问web服务:
4.2禁止PC1访问Web服务器的其它服务:
PC1ping web服务不可达
4.3 允许主机PC1访问网络192.168.2.0/24:
到此实验结束!!!