首页 理论教育网络设置配置:实现扩展ACL,实现灵活数据包过滤

网络设置配置:实现扩展ACL,实现灵活数据包过滤

2023-11-21 理论教育 版权反馈
【摘要】:本任务将介绍更为灵活地进行数据包过滤的技术,即扩展ACL。相关知识标准ACL只能根据数据包的源地址过滤数据包,在实际应用工作中,往往还需要根据数据包的目的地址、协议及端口号等进行过滤,此时需使用扩展ACL来进行过滤。表5-3任务解析考虑到本任务中,需要针对具体的服务进行过滤,所以需要使用扩展ACL来过滤数据包。此句可重复使用,构成命名ACL中的多条ACL规则二、在接口应用ACL应用ACL到接口,指定数据包在流进或流出的方向进行过滤。

任务描述

某公司网络中,数据中心WWW、FTP服务器为公司提供网站及文件服务,它与销售部门、技术部门分属3个不同网段,部门之间使用路由器进行数据传送。为保证数据安全,公司要求FPT文件服务器只允许技术部门访问,WWW网站服务器只允许销售部门访问。

本任务将介绍更为灵活地进行数据包过滤的技术,即扩展ACL。

相关知识

标准ACL只能根据数据包的源地址过滤数据包,在实际应用工作中,往往还需要根据数据包的目的地址、协议及端口号等进行过滤,此时需使用扩展ACL来进行过滤。扩展ACL中常用的端口号及协议见表5-3。

表5-3

任务解析

考虑到本任务中,需要针对具体的服务(如FTP、WWW服务)进行过滤,所以需要使用扩展ACL来过滤数据包。使用扩展ACL与使用标准ACL类同,也需要下述两个步骤。

一、定义扩展ACL(有两种方式)

编号的扩展访问控制列表

Router(config)#access-list 编号 permit或deny 协议 源地址 反掩码 目的地址反掩码 关系 目的端口

其中编号为100~199,协议可以是IP、TCP、UDP等,关系可以是eq(等于)、neq(不等于)、it(小于)、gt(大于)等,目的端口通常也可用服务名来代替。

命名的扩展访问控制列表

Router(config)#ip access-list extended 命名

Router(config-std-nacl)#permit或deny 协议 源地址 反掩码 目的地址 反掩码关系 目的端口 !此句可重复使用,构成命名ACL中的多条ACL规则

二、在接口应用ACL

应用ACL到接口,指定数据包在流进或流出的方向进行过滤。一个端口在一个方向上只能应用一组ACL。

Router(config-if)#ip access-group 编号或命名 in或out

其中in表示数据包流进方向,out表示数据包流出方向。

注意:在扩展ACL的末尾,也有一条隐含的deny all(拒绝所有)。这意味着过滤数据包时,如果与ACL规则中所有的允许语句都不匹配,则隐含的deny all将会禁止该数据包通过。

任务实施

一、搭建网络拓扑

在PACKETTRACER软件中搭建如图5-3所示网络拓扑,SERVER服务器使用终端设备Server-PT,默认已开启HTTP(WWW)服务及FTP服务,FTP服务的用户名为“cisco”,密码为“cisco”,各设备及端口地址见表5-4。

图5-3

表5-4

二、配置路由器R1的端口

Router(config)#host R1

R1(config)#int f0/0

R1(config-if)#ip address 10.10.10.1 255.255.255.0

R1(config-if)#no shut

R1(config-if)#exit

R1(config)#int f1/0

R1(config-if)#ip address 10.10.20.1 255.255.255.0

R1(config-if)#no shut

R1(config-if)#exit

R1(config)#int s2/0

R1(config-if)#ip address 11.1.1.1 255.255.255.0

R1(config-if)#clock rate 64000

R1(config-if)#no shut

R1(config-if)#exit

R1(config)#

三、配置路由器R2的端口

Router(config)#host R2

R2(config)#int f0/0

R2(config-if)#ip address 192.168.1.1 255.255.255.0

R2(config-if)#no shut

R2(config-if)#exit

R2(config)#int s2/0

R2(config-if)#ip address 11.1.1.2 255.255.255.0

R2(config-if)#no shut

R2(config-if)#exit

R2(config)#

四、配置路由器R1的OSPF路由协议

R1(config)#router ospf 1

R1(config-router)#netw 10.10.10.0 0.0.0.255 ar 0

R1(config-router)#netw 10.10.20.0 0.0.0.255 ar 0

R1(config-router)#netw 11.1.1.0 0.0.0.255 ar 0

R1(config-router)#exi

R1(config)#

五、配置路由器R2的OSPF路由协议

R2(config)#router ospf 1

R2(config-router)#netw 192.168.1.0 0.0.0.255 ar 0

R2(config-router)#netw 11.1.1.0 0.0.0.255 ar 0

R2(config-router)#exi

R2(config)#

六、配置PC1、PC2和SERVER的IP地址、子网掩码和网关地址并进行连通性测试

表5-4所示为配置PC1、PC2和SERVER的IP地址、子网掩码和网关地址,进行连通性测试。此时全网贯通,PC1、PC2与SERVER可以互访。

七、WWW服务测试(www.chuimin.cn)

单击PC1,从“桌面”中选择“WEB浏览器”,在URL地址框内填入“192.168.1.2”后单击“跳转”,成功访问SERVER服务器上的WWW服务,如图5-4所示。

图5-4

八、FTP服务测试

单击PC1,从“桌面”中选择“命令提示符”,输入“ftp 192.168.1.2”后敲回车键,输入用户名“cisco”后敲回车键,再输入密码“cisco”(密码不显示),可成功访问SERVER服务器上的FTP服务,如图5-5所示。

图5-5

九、测试PC2访问SERVER服务器上的WWW及FTP服务

如上测试PC2也可访问SERVER服务器上的WWW及FTP服务。

十、在路由器R1上配置编号扩展ACL

在路由器R1上配置编号扩展ACL,使得PC1只能访问SERVER服务器上的FTP服务, PC2只能访问SERVER服务器上的WWW服务。

R1(config)#access-list 100 permit tcp 10.10.10.0 0.0.0.255 192.168.1.0 0.0.0.255 eq ftp !允许技术部(10.10.10.0/24)访问服务器SERVER的FTP服务

R1(config)#access-list 100 permit tcp 10.10.20.0 0.0.0.255 192.168.1.0 0. 0.0.255 eq www !允许销售部(10.10.20.0/24)访问服务器SERVER的WWW服务

R1(config)#int s2/0

R1(config-if)#ip access-group 100 out   !应用编号扩展ACL到s2/0端口,对流出的数据包作过滤

R1(config-if)#exi

R1(config)#

注意:本例扩展ACL配置规则采用了允许动作,借用了ACL规则中默认的拒绝动作。

如果采用命名扩展ACL,则使用如下命令:

R1(config)#ip access-list extended server_acl !定义命名扩展ACL,名为server_acl

R1(config-ext-nacl)#permit tcp 10.10.10.0 0.0.0.255 192.168.1.0 0.0.0.255 eq ftp

R1(config-ext-nacl)#permit tcp 10.10.20.0 0.0.0.255 192.168.1.0 0.0.0.255 eq www

R1(config-ext-nacl)#exi

R1(config)#int s2/0

R1(config-if)#ip access-group server_acl out !应用命名扩展ACL到s2/0端口,对流出的数据包作过滤

R1(config-if)#exi

R1(config)#

十一、测试

此时PC1不能访问SERVER服务器上的WWW服务,如图5-6所示;PC1能访问SERV-ER服务器上的FTP服务,如图5-7所示;PC2不能访问SERVER服务器上的FTP服务,如图5-8所示;PC2能访问SERVER服务器上的WWW服务,如图5-9所示。

图5-6

图5-7

图5-8

图5-9

任务小结

对于ACL来说,其内容决定了数据的控制顺序,所以具有严格限制条件的语句应放在ACL所有语句的最上面。由于ACL的最后一条隐含声明:deny all,所以每一条正确的ACL都至少应该有一条允许语句。

由于扩展ACL可以控制目的地址,所以应用到尽量接近数据发送源的三层设备的端口上,以减少网络资源的浪费。如本例中将扩展ACL应用到路由器R1的S2/0口较好。

扩展ACL适用于需要对特定主机、特定子网进行特定服务的场合。

拓展提高

使用ACL控制远程登录(VTY访问)与一般的ACL控制稍有不同,通常需要两个步骤:(1)建立一个针对IP地址过滤的标准ACL。(2)在行配置模式下,使用access-class命令对所有的VTY绑定上述ACL。如只允许网络10.10.10.0/24的主机连接路由器R1的VTY端口,其命令如下:

R1(config)#access-list 10 permit 10.10.10.0 0.0.0.0

R1(config)#line vty 0 4

R1(config-line)#pass 123

R1(config-line)#login

R1(config-line)#access-class 10 in

R1(config-line)#exi

R1(config)#ena pass 456

R1(config)#

测试PC1和PC2,分别如图5-10、图5-11所示。

图5-10

图5-11

课后自测

在PACKET TRACER软件中搭建如图5-12所示网络拓扑,SERVER服务器使用终端设备Server-PT,默认已开启HTTP(WWW)服务及FTP服务,FTP服务的用户名为“cisco”,密码为“cisco”。各设备及端口地址见表5-5,要求完成功能如下所述:

图5-12

表5-5

(1)完成各计算机终端IP地址、子网掩码和默认网关的配置。

(2)完成各设备端口的地址配置。

(3)使用OSPF动态路由完成全网贯通。

(4)在路由器R1的F0/0口应用命名扩展ACL,使得技术部不能访问数据中心的FTP服务,只能访问数据中心的WWW服务。

(5)在路由器R1的F1/0口应用命名扩展ACL,使得销售部不能访问数据中心的WWW服务,只能访问数据中心的FTP服务。

(6)要保证技术部与销售部的互访。

(7)只允许10.10.20.2/24主机远程登录路由器R2,远程登录密码及特权密码自行设定。

有关网络设置配置的文章

  • 实现网络设置与配置-网络设置配置 实现网络设置与配置-网络设置配置

    考虑到家用无线路由器的价格已经相当低廉,小李决定再购买一个带WDS功能的无线路由器,实现无线拓展。本任务将介绍配置无线路由器的WDS功能,完成无线路由器的无线互连。,形成直线拓扑。图7-25任务小结本任务在主、副无线路由器实现WDS无线桥接,只需要在副无线路由器上开启WDS功能即可,但是为了实现漫游功能,故可将副路由器的无线SSID、密码及信道设置为与主无线路由器完全相同。......

    2023-11-21

    详细阅读
  • 网络设置配置:单臂路由实现部门间通信 网络设置配置:单臂路由实现部门间通信

    本任务将介绍配置单臂路由来实现不同VLAN间计算机的相互通信。相关知识单臂路由主要应用在利用现有二层交换机和路由器,通过划分路由器以太网子端口解决不同VLAN间数据传输问题的场合。实现VLAN间数据包转发可采用SVI技术方式或单臂路由技术方式。完成路由器R1上的端口及子端口配置,实现各VLAN间的路由。......

    2023-11-21

    详细阅读
  • 网络设备配置实训:扩展ACL配置示例 网络设备配置实训:扩展ACL配置示例

    某局域网一路由器连接了3个网段,如图5-7所示。图5-7扩展ACL配置拓扑图例设计一个扩展ACL,只允许172.16.4.0网络的WWW通信流量到达网络172.16.3.0,其他通信流量全部拒绝。Router# access-list 101 permit tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 80Router# interface fa1/0Router# ip access-group 101 out设计一个扩展ACL,拒绝172.16.4.0网络的FTP通信流量通过fa1/0到达网络172.16.3.0,其他信息流均可通过。Router# access-list101 deny tcp 172.16.4.0 0.0.0.255 any eq 23Router# access-list101 permit ip any any......

    2023-11-17

    详细阅读
  • 实现内网服务器在公网的发布-网络设置配置 实现内网服务器在公网的发布-网络设置配置

    本任务将介绍静态NAT技术,实现内网服务器在公网的发布。静态NAT技术,是在内网私有地址和分配给内网的公有地址之间建立一对一的映射。静态NAT技术通常用于当外部网络需要通过固定的公网IP地址访问内网主机的场合。图6-3任务小结在完成本任务的过程中须注意两点:①内网IP地址段是不能被公网上的路由......

    2023-11-21

    详细阅读
  • 网络设备配置:扩展命名的ACL探秘 网络设备配置:扩展命名的ACL探秘

    配置扩展命名ACL所用命令①定义扩展命名的ACLSwitch#ip access-list extended {name}Switch#{permit|deny}协议 源地址 通配符掩码 目的地址通配符掩码[运算符 端口号]②应用ACL到接口Switch# ip access-group{name}in|out扩展命名的ACL配置举例设计一个命名ACL,只拒绝来自特定子网192.168.100.0的FTP和Telnet通信流量通过fa 0/24。Switch#ip access-list extended task2Switch# deny tcp 192.168.100.0 0.0.0.255 any eq 21Switch#deny tcp 192.168.100.0 0.0.0.255 any eq 23Switch#permit ip any anySwitch#exitSwitch#interface fa0/24Switch#ip access-group task2 in......

    2023-11-17

    详细阅读
  • 网络设置配置-网络设置配置 网络设置配置-网络设置配置

    本任务还要介绍掌握路由器常见的配置模式。远程登录还必须添加特权密码保护以保障路由器配置安全。任务解析完成本任务时应注意多与交换机的初始化配置进行比较,找出其异同。本任务进一步熟悉了设备的各种配置模式,完成了路由器的超级终端登录和远程登录的操作。端口号为0—2147483647Router#ip address IP地址 子网掩码Router#exiRouter#课后自测1.通过超级终端进行路由器初始化配置,要求如下:更改路由器设备名为RT1。......

    2023-11-21

    详细阅读
  • 完成网络设置配置-网络设置配置 完成网络设置配置-网络设置配置

    本任务还将介绍交换机常见的配置模式。为了保障交换机配置安全,远程登录还必须添加特权密码保护。交换机出厂后的初始化配置一定是通过控制口连入,采用超级终端方式登录,但是在PACKET TRACER软件中可以直接进入交换机的命令行进行配置,要注意模拟操作与真实操作的区别。,敲回车键,进入交换机的配置界面,如图3-3所示。从特权模式进入全局配置模式Switch#“”表示处于交换机的“全局配置模式”下。......

    2023-11-21

    详细阅读
  • 多园区网络连通实现:静态路由配置 多园区网络连通实现:静态路由配置

    本任务将介绍通过配置静态路由来实现多园区网络连接的技术。静态路由指从网络管理员手工配置路由器的路由信息中获得的路由。静态路由的管理距离为1。当网络规模较大或网络拓扑发生变化时,网络管理员需要随时修改配置,增加了管理难度,因此,静态路由只适用于简单网络环境。六、在R1上配置静态路由在R1上配置到192.168.1.0/24网段的静态路由,并查看路由表。此时,计算机PC1和PC2已连通,完成A区和B区的网络互联。......

    2023-11-21

    详细阅读