Network-Route-ACL-1

ACL 访问控制 (以 Cisco 为主)

访问控制列表(ACL)是一种基于包过滤的访问控制技术,它可以根据设定的条件对接口上的数据包进行过滤,允许其通过或丢弃。访问控制列表被广泛地应用于路由器和三层交换机,借助于访问控制列表,可以有效地控制用户对网络的访问,从而最大程度地保障网络安全。

ACL 配置的基本原则

1、按顺序执行,只要有一条满足,则不会继续查找
2、隐含拒绝,如果都不匹配,那么一定匹配最后的隐含拒绝条目,思科默认的
3、任何条件下只给用户能满足他们需求的最小权限
4、不要忘记把 ACL 应用到端口上

实验环境

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
R1
# config
(config)# interface ethernet 0/0

(config)# 192.168.1.1 255.255.255.0
(config)# no shutdown
(config)# interface loopback 0
(config)# 1.1.1.1 255.255.255.255

PC1
PC> ip 192.168.1.10 255.255.255.0 192.168.1.1

PC2
PC> ip 192.168.1.20 255.255.255.0 192.168.1.1

PC2
PC> ip 192.168.1.30 255.255.255.0 192.168.1.1

// 在 PC 组件中查看配置信息
PC> show

// 若是 路由器模仿 PC 的话,需要关闭路由功能,并配置网关
(config)# no ip routing
(config)# ip default-gateway 192.168.1.1

实验 控制访问列表(协议版本) 1 :

禁用除 192.168.1.10 外的其他 设备 ping 路由 1.1.1.1 地址

在 R1 路由配置访问控制

1
2
3
4
5
6
7
8
// 配置访问控制列表,注意先允许后拒绝
(config)# access-list 100 permit icmp host 192.168.1.10 host 1.1.1.1 echo
(config)# access-list 100 deny icmp any host 1.1.1.1 echo
// 在 e0/0 接口上启用 进站访问控制
// in 为 进站
// out 为 出站
(config)# interface e0/0
(config-if)# ip access-group 100 in

查看访问配置

1
# show access-lists

分别 查看 PC1 PC2 PC3 能否 ping 通

PC1 ping 1.1.1.1 结果

PC2 ping 1.1.1.1 结果

PC3 ping 1.1.1.1 结果

PC2 ping 192.168.1.1 结果

在最后添加允许所有的访问控制

1
2
3
4
(config)# access-list 100 permit ip an any
ping 测试,配置完后能够正常 ping 通
1.1.1.1 不能通
192.168.1.1 通过

删除指定条目的访问控制

1
2
3
(config)#ip access-list extended 100
(config-ext-nacl)#no 20
(config-ext-nacl)#do show access-lists

添加指定位置的访问控制

1
20 deny icmp any host 1.1.1.1 echo

实验 控制访问列表(端口版本) 2 :

删除之前配置的访问控制 100

1
(config)#no access-list 100

R1 配置远程登录

1
2
3
(config)# line vty 0 4
(config-line)# password 123
(config-line)# login

PC2 telnet 测试是否能够登录

1
telnet 1.1.1.1

配置 扩展访问列表 (只允许 192.168.1.10 主机 telnet 1.1.1.1)

1
2
3
4
(config)# ip access-list extended 100
(config-ext-nacl)# 5 permit tcp host 192.168.1.10 host 1.1.1.1 eq 23
(config-ext-nac1)# 10 deny tcp any host 1.1.1.1 eq 23
(config-ext-nac1)# 15 permit ip any any

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
<0-65535>    Port number
bgp Border Gateway Protocol (179)
chargen Character generator (19)
cmd Remote commands (rcmd, 514)
daytime Daytime (13)
discard Discard (9)
domain Domain Name Service (53)
drip Dynamic Routing Information Protocol (3949)
echo Echo (7)
exec Exec (rsh, 512)
finger Finger (79)
ftp File Transfer Protocol (21)
ftp-data FTP data connections (20)
gopher Gopher (70)
hostname NIC hostname server (101)
ident Ident Protocol (113)
irc Internet Relay Chat (194)
klogin Kerberos login (543)
kshell Kerberos shell (544)
login Login (rlogin, 513)
lpd Printer service (515)
nntp Network News Transport Protocol (119)
pim-auto-rp PIM Auto-RP (496)
pop2 Post Office Protocol v2 (109)
pop3 Post Office Protocol v3 (110)
smtp Simple Mail Transport Protocol (25)
sunrpc Sun Remote Procedure Call (111)
tacacs TAC Access Control System (49)
talk Talk (517)
telnet Telnet (23)
time Time (37)
uucp Unix-to-Unix Copy Program (540)
whois Nicname (43)
www World Wide Web (HTTP, 80)
Contents
  1. 1. ACL 访问控制 (以 Cisco 为主)
    1. 1.1. ACL 配置的基本原则
    2. 1.2. 实验环境
      1. 1.2.1. 实验 控制访问列表(协议版本) 1 :
      2. 1.2.2. 实验 控制访问列表(端口版本) 2 :
|