目录
一、ACL的定义
ACL—访问控制列表,它是一个读取三层、四层头部信息,根据预先定义好的规则对流进行筛选,过滤。就是你事先先定义好,不让那个网段或者固定的一个端口号进行访问,规定好的网段或者端口号就不能访问这个设备。
1、ACL的分类
三层的头部信息:源IP、目标IP。三层是过滤IP的
四层的头部信息:源端口号、目标端口号。四层是过滤端口号。
基于这个原理,可以分为两种访问控制列表:
1.标准访问控制列表
只能基于源IP地址进行过滤
标准访问控制列表的序列号是2000-2999这一共1000个数字
调用的原则是:靠近目标
2.扩展访问控制列表
可以根据TCP/UDP协议、源端口、目标端口来进行筛选
相比标准访问控制列表,流量控制更加的精准
扩展访问控制列表的序列号是3000-3999一共1000个数字。
调用的原则是:靠近源头
这个方法是第一种,标准访问控制列表的调用原则,靠近目标的方式,就是在靠近目标的方式,直接禁止跟源头(发送方)相同网段的IP的数据,简单干脆,但是一些场合不适合用,因为某个网段只有一部分IP地址需要禁止,别的都需要通信,这种方式显然不行。
第二种比较实用一点,打个比喻就是就像是古代的时候抓通缉犯,有官吏站在城门口,拿着罪人画像,来一个比对一个,不是的就放行,确认是犯人就抓走(丢弃数据),是用于精准的禁止某个端口进行访问方式。
2、访问控制列表的处理原则
在了解处理原则之前,还需要先了解接口的出口和入口的方向与流量走向的关系。
1、访问控制列表的调用方向
访问控制列表的调用方向分为出和入两种。
入:流量将要进入本地路由器,将被本地路由器处理
出:是已经被本地路由器处理过了,流量将要离开本地浏览器
可以看出,假如需要禁用一个网段/端口的时候,最好是在入口的地方禁用,因为在出口禁用的话,本地路由器还是会正常处理数据,处理好了还传输不出去,假如这个路由器后面没有别的服务器之类的需要这个网段/端口的连接,直接在入口就禁止是最好的,因为后面也没人需要这个网段/端口,处理了信息也是白白浪费时间。
可以总结一下就是
在入口禁止的话是直接生效,本地路由器不会接收信息。直接对本地路由器生效。
在出口禁用的话,本地路由器正常处理然后转发,在出口被拦截,后面一台路由器不会接收到。对本地路由器不生效,对下一台路由器起作用。
2、访问控制列表的处理原则
1.路由条目只会被处理一次
就是每个路由条目只会被处理一次,是被禁用的就直接丢弃,没有被禁用就接收然后处理好转发。
2.路由条目在ACL访问列表中匹配的顺序是从上往下,逐次匹配
这个很好理解,就像是批改试卷,从上往下,一个一个批改
3.ACL访问控制列表隐含一个拒绝所有
上面说过两种访问控制列表,这个就是那个里面含有的,设置好之后需要打一个放行所有IP的命令,不然默认拒绝所有IP。
4.ACL访问控制列表至少要放行一条路由条目
这个也很好理解,就是你把所有路由条目都禁用了,还怎么传输数据,至少放行一条进行通信。
二、标准访问控制列表
上面介绍了理论知识,下面先说一下标准访问控制列表
这比较简单点,一个路由器一个二层交换机,两个以上PC机就可以了。
1.配置二层交换机
创建vlan,把接口划分进相对应的vlan,以及创建trunk接口
2.配置网关
这个跟单臂路由的命令有些类似,但是又不相同
int g0/0/2
undo shut 这两条是打开物理接口g0/0/2
int g0/0/2.1 进入虚拟接口g0/0/2.1
ip add 192.168.10.1 24 配置虚拟接口的IP地址和子网掩码长度
dot1q termination vid 10 封装方式是802.1q 把接口划分进vlan 10
arp broadcast enable 开启arp广播
int g0/0/2.2同上
先测试一下能不能正常通信
已经成功地配置成功
3.创建标准访问控制列表
acl 2000 创建序列号2000
rule deny source 192.168.10.0 0.0.0.255 禁用192.168.10.0网段的所有接口
rule permit souce any 放行其他所有的路由条目 不放行其他的就会默认全禁用
4、接口调用列表
int g0/0/2.2 进入虚拟接口
traffic-filter outbund acl 2000 是 这个网段的出接口调用ACL2000列表
5.测试
再用之前的PCping192.168.20.10
现在PC1向192.168.20.10已经不能正常通信了。现在已经设置成功了。
三、扩展访问控制列表
这个跟上面的差不多,只不过客户端换了一下
二层交换机跟上面一样根据接口配置vlan跟trunk接口就可以了。
1、配置路由器
int g0/01
undo shut 打开物理接口g0/0/1
int g0/0/1.1 打开虚拟接口g0/0/1.1
dot1q termination vid 10 封装方式是802.1q 把接口划分进vlan 10
arp broadcast enable 开启arp广播
int g0/0/1.2 同上
再进入g0/0/2 也就是跟;另外一个路由器连接的接口
配置IP地址,打开接口
添加一个默认路由,下一跳的地址指向192.168.100.20,也就是下一个路由器的地址
第二台路由器的配置相对简单,两个接口配置好,然后创建默认路由,地址指向上面那个路由器的接口。
2、测试连通性
对客户机跟服务器进行配置。然后进行连接
还可以在服务器上进行上传文件,客户机进行下载
3、创建扩展访问列表
[ ]acl number 3000 创建扩展访问控制列表
[ ]rule dany tcp source 192.168.10.10 0.0.0.0 destination 192.168.200.20 0.0.0.0 destination-port eq 21 这个比较长,是禁止192.168.10.10 访问192.168.200.20这个地址,如果是访问这个地址就拦截掉,192.168.20.10 0.0.0.0 其中0.0.0.0 是直这是详细地址。eq 21 是端口号
[ ]rule permit tcp destination-port eq 21 放行其他的客户机访问FTP服务器
[ ]rule permit ip sour any destination any 这个是放行其他客户机的网络流量
4、调用列表
打开对应的接口,调用列表就可以了。
5、测试
现在192.168.10.10也就是客户端1现在已经不能访问到服务器了
之前测试的客户端2还是能正常登录
总结
这个对于初学者来说,还是稍微有点难度,因为很容易就把逻辑搞乱掉,然后就配置的一塌糊涂,但是多练习几遍,掌握之后还是比较轻松,实际应用的场景也能正常的配置,需要注意的就是,在开多个序列号的时候,号码别手误创建重复,不然就不能正常创建,个个设备的端口分配要搞得清清楚楚。注意这两点就能快速上手。