目次
6.標準ACL :(トラフィックフィルタリングを実現するためにルーターにACLを書き込みます)
1つ、ACL
1.アクセス制御リストアクセス制御リスト(リソースへのアクセスの制御)
2.ACLはパケットフィルタリングテクノロジーです。(主に3層と4層に基づいてフィルタリングします)
3. ACLは、IPパケットヘッダーのIPアドレス、4層TCP / UDPヘッダーのポート番号、および[レイヤー5データ]に基づいています。
レイヤー3のIPアドレスとレイヤー4のポート番号に基づいてフィルタリングします
4. ACLは、(一般的に呼ばれるルータまたはファイアウォールで設定されたポリシー)
5. ACLは、主に2つのカテゴリに分類されます。
1)標準ACL
2)拡張ACL(最も使用されている)
6.標準ACL :(トラフィックフィルタリングを実現するためにルーターにACLを書き込みます)
標準ACLテーブル番号の範囲:1〜99
機能:送信元IPに基づいてパケットをフィルタリングするだけです(パケット内のターゲットIPをチェックする機能、現在のプロトコルをチェックする機能、ポートをチェックする機能はありません)番号。アプリケーション範囲は非常に狭いです)
コマンド:
conf t
access-list table number許可/拒否 送信元IPまたは送信元ネットワークセグメント 逆サブネットマスク
注:逆サブネットマスク:正のサブネットマスク0および1を逆にします
255.0.0.0-0.255。 255.255(11111111.0000000.00000000.00000000 --- 00000000.11111111.11111111.11111111)
255.255.0.0 - 0.0.255.255
255.255.255.0 - 0.0.0.255
抗サブネットマスク機能:厳密に一致させるための条件に適合するように使用され、対応する0のニーズに対応する無視します。 1!
次に例を示します。access - list1deny10 . 0.0.0 0 .255.255.255
説明:このエントリは、10で始まるすべての送信元IPを拒否するために使用されます。access-list 1 deny 10.1.1.1 0.0.0.0
説明:このエントリは、送信元IPが10.1.1.1であるすべてのホストを拒否するために使用されます。
省略形:access-list 1 deny host 10.1.1.1access-list 1 deny 0.0.0.0 255.255.255.255
説明:このエントリは、すべての人を拒否するために使用されます。
省略形:access-list 1 deny any
ACLテーブルを表示します
。showipaccess-list[table ID]ACLをインターフェイスに適用します
。intf0/ x
ip access-group table number in / out
exitshow running-conf
完全なケース:
conf t
acc 1 deny host 10.1.1.1は、10.1.1.1
のソースIPがacc1を通過
することを許可しませんdeny20.1.1.0 0.0.0.255は、20.1.1.0のソースIPがacc1を通過することを禁止します
7.拡張ACL:
テーブル番号:100-199
機能:送信元IP、宛先IP、ポート番号、プロトコルなどに基づいてパケットをフィルタリングできます。
コマンド:
acc 100許可/拒否プロトコル送信元IPまたは送信元ネットワークセグメント逆サブネットマスク宛先IPまたは送信元ネットワークセグメント逆サブネットマスク[eqポート番号] (オプションを除く、eq = equalを書き込む)
注:プロトコル:tcp / udp / icmp / ip
ケース:
acc 100 permit tcp host 10.1.1.1 host 20.1.1.3 eq 80(ポート番号80はトランスポート層のtcpプロトコルに依存します。後でポート番号を書き込むと、前面でudpとtcpのみが使用可能になります)
acc 100 permit icmp host 10.1 .1.1 20.1.1.0 0.0.0.255(背面にポート番号が追加されていない場合、4つすべてを選択できます。ソースがターゲットのすべてのサービスにアクセスすることを禁止されている場合は、前面にIPを書き込みます)
acc 100 deny ip host 10.1.1.1 20.1.1.0 0.0.0.255
acc 100 permit ip any any
8.ACLの原則
1)有効にするには、ACLテーブルをインターフェイスの着信方向または発信方向に適用する必要があります。(アクセスはルーター用であり、ルーターが通過を許可されない場合、ルーターは強制終了されます。)
[ACLテーブルを使用するには、ルーターのインターフェイスに貼り付ける必要があります。インターフェイスには2つの方向があり、方向を指定すると便利です]方向逆にすることはできません
2)インターフェイスの一方向で常に使用できるテーブルは1つだけです!
3)インまたはアウト方向のアプリケーション?フロー制御の全体的な方向に応じて
。4)ACLテーブルは各トップダウンを厳密にチェックします。書き込み順序に注意してください
。5)流量が特定の条件を満たす場合、それぞれは条件とアクションで構成されます。条件、チェックは次の
場合に続行されます。条件が満たされていない場合、テーブル内のすべてのエントリをチェックした後、それらは強制終了されます(すべてのアクセス制御リストの最後に、デフォルトですべてのエントリを拒否する非表示のエントリがあります[条件は、アクションは拒否されます])
6)標準ACLターゲットのできるだけ近くに書き込むようにしてください(アプリケーションの範囲は非常に狭いです)
7)Wencollの小さな原理:①
フロー制御を行うには、最初にACL書き込みの場所を決定します(どのルーター?そのインターフェースのどの方向?)②ACLの
書き込み方法を検討します。
③書き方は?
まず、すべてを許可するか拒否するかを判断し、
注意を払う必要があります。前面に詳細で厳密な制御を記述します
。8)通常、標準または拡張ACL番号を書き込むと、変更または削除できません。順序を変更したり、途中に新しいエントリを
挿入したり、最後に新しいエントリを追加したりすることはできません。変更、挿入、削除する場合は、テーブル全体を削除して再度書き込むことしかできません。
conf t
no access-list table number
9.ACLに名前を付けます。
機能:標準または拡張ACLの命名をカスタマイズできます。
利点:カスタム命名は識別しやすく、覚えやすいです。
アイテムを自由に変更したり、アイテムを削除したり、途中でアイテムを挿入したりできます
コマンド:
CONFトンの
IPアクセスリストの標準/拡張カスタマイズテーブル名、
拒否または許可からACLエントリを書き始める
終了エントリを削除し
ます:ip access-list standard / extended custom table name
no entry ID
exitエントリを挿入し
ます:ip access-list standard / extended custom table name
entry ID action condition
exit
Router(config)#ip access-list extended kz-80-oa
Router(config-ext-nacl)#permit tcp 192.168.0.0 0.0.255.255 host 10.1.1.1 eq 80
Router(config-ext-nacl)#permit tcp 172.168.0.0 0.0.255.255 host 10.1.1.1 eq 80
Router(config-ext-nacl)#deny ip 192.168.0.0 0.0.255.255 host 10.1.1.0
Router(config-ext-nacl)#exit
Router(config)#do sh ip acc
Extended IP access list kz-80-oa
10 permit tcp 192.168.0.0 0.0.255.255 host 10.1.1.1 eq www
20 permit tcp 172.168.0.0 0.0.255.255 host 10.1.1.1 eq www
30 deny ip 192.168.0.0 0.0.255.255 host 10.1.1.0
Router(config)#ip access-list extended kz-80-oa
Router(config-ext-nacl)#no 20 删除
Router(config-ext-nacl)#exit
Router(config)#do sh ip acc
Extended IP access list kz-80-oa
10 permit tcp 192.168.0.0 0.0.255.255 host 10.1.1.1 eq www
30 deny ip 192.168.0.0 0.0.255.255 host 10.1.1.0
Router(config)#
Router(config)#ip access-list extended kz-80-oa
Router(config-ext-nacl)#15 permit tcp 172.168.0.0 0.0.255.255 host 10.1.1.1 eq 80 插入
Router(config-ext-nacl)#exit
Router(config)#do sh ip acc
Extended IP access list kz-80-oa
10 permit tcp 192.168.0.0 0.0.255.255 host 10.1.1.1 eq www
15 permit tcp 172.168.0.0 0.0.255.255 host 10.1.1.1 eq www
30 deny ip 192.168.0.0 0.0.255.255 host 10.1.1.0
Router(config)#
Router(config)#ip access-list extended kz-80-hr
Router(config-ext-nacl)#1000 permit ip any any
Router(config-ext-nacl)#exit
Router(config)#do sh ip ac
Extended IP access list kz-80-oa
10 permit tcp 192.168.0.0 0.0.255.255 host 10.1.1.1 eq www
15 permit tcp 172.168.0.0 0.0.255.255 host 10.1.1.1 eq www
30 deny ip 192.168.0.0 0.0.255.255 host 10.1.1.0
Extended IP access list kz-80-hr
1000 permit ip any any
Router(config)#拡張ACL実験トポロジー図
標準ACL実験のデモンストレーション:
まず、ネットワーク全体の相互運用性を実現してから、ACL
実験要件を構成します。(以下のすべてが標準ACLを使用して実装さ
れている必要があります!)1。10ネットワークセグメントが50ネットワークセグメント全体にアクセスし、アクセスすることを禁止する必要があります。他のネットワークセグメントへの制限はありません!
2. 40.1.1.1 PCは50ネットワークセグメントへのアクセスを禁止する必要があり、その他のアクセスは制限されません。3。10.1.1.1
は40ネットワークセグメントへのアクセスを禁止する必要があり、その他は影響を受けません。
実験的デモンストレーション:
1。PCとルーターのIPを構成します(手順は省略)
2。ルーティングを構成します(R1とR3はデフォルトルートを参照し、R2は2つの静的ルートを構成します)(手順は省略)
3。ネットワーク全体の相互運用性を確認します(検証が完了しました)
4。ルーターの標準ACLを構成します
最初の2つの要件は、R2のf1 / 0インターフェイスのアウトバウンド方向(アウト方向)にあります。最初の2つの要件は、最終的にすべてを許可します。
R2(config)#do sh ip acceR2(config)#acc 2 deny 10.1.1.0 0.0.0.255
R2(config)#acc 2 deny host 40.1.1.1
R2(config)#acc 2 permit any
R2(config)#int f1 / 0
R2(config-if) #ip access-group 2 out(最後に、ルーターのインターフェースが適用されます)
検証:10.1.1.1からping50.1.1.1に進みます-"40.1.1.1PC
へのアクセスは50ネットワークセグメントへのアクセスを禁止されていますルーター上のテーブルが異なれば、テーブル番号も異なり、ルーターが異なれ
ば影響はありません。
最後の要件:10.1.1.1は、40ネットワークセグメントへのアクセスを禁止するために必要であり、他のセグメントは影響を受けません
。R3のf0 / 1インターフェイスのアウトバウンド方向を構成します。
R3(config)#acc 2 deny host 10.1.1.1
R3(config)#acc 2 permit any
R3(config)#int f0 / 1
R3(config-if)#ip access-group 2 out10.1.1.1が40ネットワークセグメントへのアクセスを禁止していることを確認します
