實驗拓撲終端服務(wù)器配置7

第九章ACL本章提要1.ACL的知識要點2.標(biāo)準(zhǔn)ACL3.擴展ACL4.命名ACL5.基于時間ACL6.動態(tài)ACL7.自反ACL知識要點ACL概述訪問控制列表簡稱為ACL（AccessControlLists

），它使用包過濾技術(shù)，在路由器上讀取第三層及第四層包頭中的信息如源地址、目的地址、源端口、目的端口等，根據(jù)預(yù)先定義好的規(guī)則對包進行過濾，從而達到訪問控制的目的。

InternetACLACL功能1.拒絕或允許流入（或流出）的數(shù)據(jù)流通過特定的接口；2.為DDR應(yīng)用定義感興趣的數(shù)據(jù)流；3.過濾路由更新的內(nèi)容；4.控制對虛擬終端的訪問；5.提供流量控制ACL如何工作ACL條件順序

CiscoIOS按照各描述語句在ACL中的順序，根據(jù)各描述語句的判斷條件，對數(shù)據(jù)包進行檢查。一旦找到了某一匹配條件，就結(jié)束比較過程，不再檢查以后的其他條件判斷語句。

標(biāo)準(zhǔn)ACL標(biāo)準(zhǔn)ACL（StandardACL）檢查源地址（ChecksSourceaddress）允許或拒絕整個協(xié)議族（Generallypermitsordeniesentireprotocolsuite）

OutgoingPacketGi0/0S0/0/0IncomingPacketAccessListProcessesPermit?Source

擴展ACL（ExtendedACL）檢查源和目的地址（ChecksSourceandDestinationaddress）通常允許或拒絕特定的協(xié)議（Generallypermitsordeniesspecificprotocols）OutgoingPacketGi0/0s0/0/0IncomingPacketAccessListProcessesPermit?Sourceand

DestinationProtocol擴展ACL標(biāo)準(zhǔn)ACL與擴展ACL比較

標(biāo)準(zhǔn)（Standard）擴展（Extended）過濾基于源過濾基于源和目的允許或拒絕整個協(xié)議族允許或拒絕特定的IP協(xié)議或端口范圍（100-199,2000-2699）范圍（1-99,1300=1999）擴展ACL盡量量靠近近源Placeextendedaccesslistsclosetothesource標(biāo)準(zhǔn)ACL盡量量靠近近目的的PlacestandardaccesslistsclosetothedestinationE0E0E1S0To0S1S0S1E0E0BAC放置ACLD用擴展展ACL檢檢查數(shù)數(shù)據(jù)包包常見端端口號號端口號(PortNumber)協(xié)議（Protocol）20文件傳輸協(xié)議（FTP）數(shù)據(jù)21文件傳輸協(xié)議（FTP）程序23遠程登錄（Telnet）25簡單郵件傳輸協(xié)議（SMTP）69普通文件傳送協(xié)議（TFTP）80超文本傳輸協(xié)議(HTTP)53域名服務(wù)系統(tǒng)（DNS）通配符符掩碼碼1.是是一一個32比比特位位的數(shù)數(shù)字字字符串串2.0表表示““檢查查相應(yīng)應(yīng)的位位”,1表表示““不檢檢查相相應(yīng)的的位””特殊的的通配配符掩掩碼1.Any2.Host實驗1標(biāo)標(biāo)準(zhǔn)ACL實驗?zāi)磕康模?））ACL設(shè)設(shè)計原原則和和工作作過程程（2））定義義標(biāo)準(zhǔn)準(zhǔn)ACL（3））應(yīng)用用ACL（4））標(biāo)準(zhǔn)準(zhǔn)ACL調(diào)調(diào)試實驗拓拓撲實驗設(shè)設(shè)計1.本本實實驗拒拒絕PC2所在在網(wǎng)段段訪問問路由由器R2,同時時只允允許主主機PC3訪問問路由由器R2的的TELNET服務(wù)務(wù)。2.整整個個網(wǎng)絡(luò)絡(luò)配置置EIGRP保保證IP的的連通通性。。實驗步步驟（（1））配置路路由器器R1：R1(config)#routereigrp1R1(config-router)#noauto-summary實驗步步驟（（2））配置路路由器器R2：R2(config)#routereigrp1R2(config-router)#noauto-summary定定義ACLR2(config)#access-list1permitanyR2(config)#interfaceSerial0/0/0R2(config-if)#ipaccess-group1in//在在接口口下應(yīng)應(yīng)用ACLR2(config-if)#linevty04R2(config-line)#access-class2in//在在vty下下應(yīng)用用ACLR2(config-line)#passwordciscoR2(config-line)#login實驗步步驟（（3））配置路路由器器R3：R3(config)#routereigrp1R3(config-router)#noauto-summary技術(shù)要要點（1）ACL定義好好，可可以在在很多多地方方應(yīng)用用，接接口上上應(yīng)用用只是是其中中之一一，其其它的的常用用應(yīng)用用包括括在routemap中的match應(yīng)用和和在vty下用““access-class”命令調(diào)調(diào)用，，來控控制telnet的訪問問；（2）訪問問控制制列表表表項項的檢檢查按按自上上而下下的順順序進進行，，并且且從第第一個個表項項開始始，所所以必必須考考慮在在訪問問控制制列表表中定定義語語句的的次序序；（3））路由由器不不對自自身產(chǎn)產(chǎn)生的的IP數(shù)據(jù)據(jù)包進進行過過濾；；（4））訪問問控制制列表表最后后一條條是隱隱含的的拒絕絕所有有；（5））每一一個路路由器器接口口的每每一個個方向向，每每一種種協(xié)議議只能能創(chuàng)建建一個個ACL；；（6））“access-class””命令只只對標(biāo)標(biāo)準(zhǔn)ACL有效效。實驗調(diào)調(diào)試在PC1網(wǎng)網(wǎng)絡(luò)所所在的的主機，，應(yīng)該該通，，在PC2網(wǎng)絡(luò)絡(luò)所在在的主主機上上ping，應(yīng)應(yīng)該不不通，，在主，，應(yīng)該該成功功。R2#showipinterfaces0/0/0Serial0/0/0isup,lineprotocolisup......OutgoingaccesslistisnotsetInboundaccesslistis1......R2#showipaccess-listsStandardIPaccesslist110deny,wildcardbits55(11matches)20permitany(405matches)StandardIPaccesslist2匹配條條件的的數(shù)據(jù)據(jù)包的的個數(shù)數(shù)10permit(2matches)實驗2擴擴展ACL實驗?zāi)磕康模?））定義義擴展展ACL（2））應(yīng)用用擴展展ACL（3））擴展展ACL調(diào)調(diào)試實驗拓拓撲實驗設(shè)設(shè)計實驗步步驟（（1））實驗步步驟（（2））配置路路由器器R2：R2(config)#noaccess-list1//刪除ACLR2(config)#noaccess-list2R2(config)#iphttpserver//將路由由器配配置成成WEB服務(wù)器器R2(config)#linevty04R2(config-line)#passwordciscoR2(config-line)#login實驗步步驟（（3））配置路路由器器R3：R3(config)#access-list101permitipanyanyR3(config)#interfaceg0/0R3(config-if)#ipaccess-group101in技術(shù)要要點（1））參數(shù)數(shù)“l(fā)og”會生生成相相應(yīng)的的日志志信息息，用用來記記錄經(jīng)經(jīng)過ACL入口口的數(shù)數(shù)據(jù)包包的情情況；；（2））盡量量考慮慮將擴擴展的的訪問問控制制列表表放在在靠近近過濾濾源的的位置置上，，這樣樣創(chuàng)建建的過過濾器器就不不會反反過來來影響響其它它接口口上的的數(shù)據(jù)據(jù)流。。另外外，盡盡量使使標(biāo)準(zhǔn)準(zhǔn)的訪訪問控控制列列表靠靠近目目的，，由于于標(biāo)準(zhǔn)準(zhǔn)訪問問控制制列表表只使使用源源地址址，如如果將將其靠靠近源源會阻阻止數(shù)數(shù)據(jù)包包流向向其他他端口口。實驗調(diào)調(diào)試（（1））R2#showipaccess-listsExtendedIPaccesslist10010permittcp55hosteqwww(8matches)40permittcp55hosteqtelnet(20matches)50permittcp55hosteqtelnet(4matches)60permittcp55hosteqtelnet(4matches)實驗調(diào)調(diào)試（（2））在PC3所所在網(wǎng)網(wǎng)段的的主機機ping路由由器R2,路路由器器R3會出出現(xiàn)下下面的的日志志信息息：*Feb2517:35:46.383:%SEC-6-IPACCESSLOGDP:list101deniedicmp->(0/0),1packet*Feb2517:41:08.959:%SEC-6-IPACCESSLOGDP:list101deniedicmp->(0/0),4packets*Feb2517:42:46.919:%SEC-6-IPACCESSLOGDP:list101deniedicmp->(0/0),1packet*Feb2517:42:56.803:%SEC-6-IPACCESSLOGDP:list101deniedicmp->(0/0),1packet實驗調(diào)調(diào)試（（3））在路由由器R3上上查看看訪問問控制制列表表101：：R3#showaccess-listsExtendedIPaccesslist10110denyicmp55hostlog(5matches)20denyicmp55hostlog(5matches)30denyicmp55hostlog(5matches)40permitipanyany(6matches)實驗3命命名ACL實驗?zāi)磕康模?））定義義命名名ACL（2））應(yīng)用用命名名ACL實驗拓拓撲實驗設(shè)設(shè)計本實驗驗給出出如何何用命命名ACL來實實現(xiàn)9.2實驗驗1中中和9.3實驗驗2中中的要要求。。實驗步步驟（（1））在路由由器R2上上配置置命名名的標(biāo)標(biāo)準(zhǔn)ACL實實現(xiàn)9.2實驗驗1的的要求求R2(config)#ipaccess-liststandardstandR2(config-std-nacl)#permitanyR2(config)#interfaceSerial0/0/0R2(config-if)#ipaccess-groupstandinR2(config)#ipaccess-liststandardclassR2(config-if)#linevty04R2(config-line)#access-classclassin實驗步驟驟（2））實驗調(diào)試試（1））在路由器器R2上上查看命命名訪問問控制列列表：R2#showaccess-listsStandardIPaccesslistclassStandardIPaccessliststand20permitany(42matches)實驗調(diào)試試（2））在路由器器R1上上查看命命名訪問問控制列列表：實驗調(diào)試試（3））在路由器器R3上上查看命命名訪問問控制列列表：R3#showaccess-listsExtendedIPaccesslistext310denyicmp55hostlog40permitipanyany實驗4基基于時時間ACL實驗?zāi)康牡模?）定定義time-range（2）配配置基于于時間ACL（3）基基于時間間ACL調(diào)試實驗拓撲撲實驗設(shè)計計1.本實實驗要求求只允許許PC3主機在在周一到到周五的的每天的的8:00-18:00訪問問路由器器R2的的TELNET服務(wù)。。2.網(wǎng)網(wǎng)絡(luò)配置置EIGRP保保證IP的連通通性。實驗步驟驟（1））配置路由由器R3：R3(config)#time-rangetime//定義義時間范范圍R3(config-time-range)#periodicweekdays8:00to18:00R3(config)#access-list111permittcphosthosteqtelnettime-rangetime//在訪訪問控制制列表中中調(diào)用time-rangeR3(config)#interfaceg0/0R3(config-if)#ipaccess-group111in實驗調(diào)試試（1））用“clock”命令令將系統(tǒng)統(tǒng)時間調(diào)調(diào)整到8:00-18:00范圍之之外，然然后在PC3上上TELNET路由器器R2，，此時不不可以成成功，然然后查看看訪問控控制列表表111：R3#showaccess-listsExtendedIPaccesslist11110permittcphosthosteqtelnettime-rangetime(inactive)(45matches)20permittcphosthosteqtelnettime-rangetime(inactive)30permittcphosthosteqtelnettime-rangetime(inactive)用“clock”命令令將系統(tǒng)統(tǒng)時間調(diào)調(diào)整到周周一至周周五的8:00-18:00范圍內(nèi)內(nèi)，然后后在PC3上TELNET路路由器R2，此此時可以以成功，，然后查查看訪問問控制列列表111：R3#showaccess-listsExtendedIPaccesslist11110permittcphosthosteqtelnettime-rangetime(active)(15matches)20permittcphosthosteqtelnettime-rangetime(active)30permittcphosthosteqtelnettime-rangetime(active)實驗調(diào)試試（2））R3#showtime-rangetime-rangeentry:time(active)periodicweekdays8:00to18:00usedin:IPACLentryusedin:IPACLentryusedin:IPACLentry實驗5動動態(tài)ACL實驗?zāi)康牡模?）動動態(tài)ACL工作作原理（2）配配置VTY本地地登錄（3）配配置動態(tài)態(tài)ACL（4）動動態(tài)ACL調(diào)試試實驗拓撲撲實驗設(shè)計計實驗步驟驟（1））配置路由由器R2：R2(config)#usernamecciepasswordcisco//建立本地地數(shù)據(jù)庫庫//打開TELNET訪問權(quán)限限R2(config)#access-list120permiteigrpanyany//允許許EIGRP協(xié)協(xié)議R2(config)#access-list120dynamictesttimeout120permitip55host//“dynamic”定義義動態(tài)ACL，，“timeout””定義動動態(tài)ACL絕對對的超時時時間R2(config)#interfaces0/0/1R2(config-if)#ipaccess-group120inR2(config)#linevty04R2(config-line)#loginlocal//VTY使用用本地驗驗證R2(config-line)#autocommandaccess-enablehosttimeout5//在一一個動態(tài)態(tài)ACL中創(chuàng)建建一個臨臨時性的的訪問控控制列表表條目，，“timeout””定義了了空閑超超時值，，空閑超超時值必必須小于于絕對超超時值。。知識擴展展1.動態(tài)態(tài)ACL是CiscoIOS的一一種安全全特性，，它使用用戶能在在防火墻墻中臨時時打開一一個缺口口，而不不會破壞壞其它已已配置了了的安全全限制。。2.““autocommandaccess-enablehosttimeout5””命令中中，如果果用參數(shù)數(shù)“host”，那么么臨時性性條目將將只為用用戶所用用的單個個IP地地址創(chuàng)建建，如果果不使用用，那用用戶的整整個網(wǎng)絡(luò)絡(luò)都將被被該臨時時性條目目允許。。實驗調(diào)試試（1））沒有TELNET路由由器R2,在在PC3上直接接訪問路路由器R2的WWW服服務(wù)，不不成功,路由由器R2的ACL表：：R2#showaccess-listsExtendedIPaccesslist12010permittcp55hosteqtelnet(114matches)40permiteigrpanyany(159matches)實驗調(diào)試試（2））R3#showtime-rangetime-rangeentry:time(active)periodicweekdays8:00to18:00usedin:IPACLentryusedin:IPACLentryusedin:IPACLentry實驗6自自反ACL實驗?zāi)康牡模?）自自反ACL工作作原理（2）配配置自反反ACL（3）自自反ACL調(diào)試試實驗拓撲撲實驗設(shè)計計1.本本實驗要要求內(nèi)網(wǎng)網(wǎng)可以主主動訪問問外網(wǎng)，，但是外外網(wǎng)不能能主動訪訪問內(nèi)網(wǎng)網(wǎng)，從而而有效保保護內(nèi)網(wǎng)網(wǎng)。2.網(wǎng)網(wǎng)絡(luò)配置置靜態(tài)路路由保證證IP的的連通性性。實驗步驟驟（1））在路由器器R2上上配置自自反ACL：R2(config)#ipaccess-listextendedACLOUTR2(config-ext-nacl)#permittcpanyanyreflectREF//定義義自反ACLR2(config-ext-nacl)#permitudpanyanyreflectREFR2(config)#ipaccess-listextendedACLINR2(config-ext-nacl)#evaluateREF//評估反射射R2(config)#ints0/0/1R2(config-if)#ipaccess-groupACLOUToutR2(config-if)#ipaccess-groupACLINin技術(shù)要點點1．自反反ACL永遠是是permit的；2．自反反ACL允許高高層Session信信息的IP包過過濾；3.利利用自反反ACL可以只只允許出出去的流流量，但但是阻止止從外部部網(wǎng)絡(luò)產(chǎn)產(chǎn)生的向向內(nèi)部網(wǎng)網(wǎng)絡(luò)的流流量，從從而可以以更好地地保護內(nèi)內(nèi)部網(wǎng)絡(luò)絡(luò)；4.自自反ACL是在在有流量量產(chǎn)生時時（如出出方向的的流量））臨時自自動產(chǎn)生生的，并并且當(dāng)Session結(jié)束條條目就刪刪除；5.自自反ACL不是是直接被被應(yīng)用到到某個接接口下的的，而是是嵌套在在一個擴擴展命名名訪問列列表下的的。實驗調(diào)試試（1））在路由器器R1打打開TELNET服務(wù)務(wù)，在R3(從從外網(wǎng)到到內(nèi)網(wǎng))TELNET路由器器R1不不能成功功，同時時在路由由器R2上查看看訪問控控制列表表：R2#showaccess-listsExtendedIPaccesslistACLIN10evaluateREFExtendedIPaccesslistACLOUT10permittcpanyanyreflectREF20permitudpanyanyreflectREFReflexiveIPaccesslistREF在路由器R3都打開TELNET服服務(wù)，在R1(從內(nèi)網(wǎng)到到外網(wǎng))TELNET路路由器R3成成功，同時在在路由器R2上查看訪問問控制列表：：R2#showaccess-listsExtendedIPaccesslistACLIN10evaluateREFExtendedIPaccesslistACLOUT10permittcpanyanyreflectREF臨時自動產(chǎn)生生一條列表20permitudpanyanyreflectREFReflexiveIPaccesslistREFpermittcphosteqtelnethosteq11002(48matches)(timeleft268)命令作用showipaccess-lists查看所定義的IP訪問控制列表clearaccess-listcounters將訪問控制列表計數(shù)器清零access-list定義ACLipaccess-group在接口下應(yīng)用ACLaccess-class在vty下應(yīng)用ACLipaccess-list定義命名的ACLtime-rangetime定義時間范圍usernameusernamepasswordpassword

建立本地數(shù)據(jù)庫autocommand定義自動執(zhí)行的命令命令列表9、靜夜四無鄰鄰，荒居舊業(yè)業(yè)貧。。12月-2212月-22Saturday,December31,202210、雨中黃葉樹樹，燈下白頭頭人。。06:18:5706:18:5706:1812/31/20226:18:57AM11、以以我我獨獨沈沈久久，，愧愧君君相相見見頻頻。。。。12月月-2206:18:5706:18Dec-2231-Dec-2212、故人江江海別，，幾度隔隔山川。。。06:18:5706:18:5706:18Saturday,December31,202213、乍見翻疑夢夢，相悲各問問年。。12月-2212月-2206:18:5706:18:57December31,202214、他鄉(xiāng)生白白發(fā)，舊國國見青山。。。31十二二月20226:18:57上上午06:18:5712月-2215、比比不不了了得得就就不不比比，，得得不不到到的的就就不不要要。。。。。十二二月月226:18上上午午12月月-2206:18December31,202216、行動出成果果，工作出財財富。。2022/12/316:18:5706:18:5731December202217、做前前，能能夠環(huán)環(huán)視四四周；；做時時，你你只能能或者者最好好沿著著以腳腳為起起點的的射線線向前前。。。6:18:57上上午6:18上上午午06:18:5712月月-229、沒有失失敗，只只有暫時時停止成成功！。。12月-2212月-22Saturday,December31,202210、很多事事情努力力了未必必有結(jié)果果，但是是不努力力卻什么么改變也也沒有。。。06:18:5706:18:5706:1812/31/20226:18:57AM11、成功就是是日復(fù)一日日那一點點點小小努力力的積累。。。12月-2206:18:5706:18Dec-2231-Dec-2212、世間成事事，不求其其絕對圓滿滿，留一份份不足，可可得無限完完美。。06:18:5706:18:5706:18Saturday,December31,202213、不知香積寺寺，數(shù)里入云云峰。。12月-2212月-2206:18:5706:18:57December31,202214、意志志堅強強的人人能把把世界界放在在手中中像泥泥塊一一樣任任意揉揉捏。。31十