路由交換技術(shù)與實(shí)踐（第2版）（微課版） 課件 項(xiàng)目12 部署ACL限制網(wǎng)絡(luò)流量

部署ACL限制網(wǎng)絡(luò)流量劉道剛董良新主編項(xiàng)12目路由交換技術(shù)與實(shí)踐RoutingandSwitching工業(yè)和信息化精品系列教材目錄CONTENTS12.1用戶需求12.2知識(shí)梳理12.3方案設(shè)計(jì)12.4項(xiàng)目實(shí)施12.1用戶需求網(wǎng)絡(luò)拓?fù)鋱D如圖12-1所示，怎樣實(shí)現(xiàn)/24網(wǎng)絡(luò)中的設(shè)備無(wú)法telnet路由器R2？目錄CONTENTS12.1用戶需求12.2知識(shí)梳理12.3方案設(shè)計(jì)12.4項(xiàng)目實(shí)施12.2.1擴(kuò)展訪問(wèn)控制列表擴(kuò)展訪問(wèn)控制列表（擴(kuò)展ACL）根據(jù)多種屬性過(guò)濾IP數(shù)據(jù)包，過(guò)濾控制范圍更廣，可以更加精確地控制流量，提升安全性。擴(kuò)展ACL可以根據(jù)數(shù)據(jù)包源地址、目的地址、協(xié)議類型、源及目的TCP和UDP端口號(hào)對(duì)數(shù)據(jù)進(jìn)行訪問(wèn)控制。擴(kuò)展ACL的編號(hào)在100到199以及2000到2699之間。12.2.2端口號(hào)1．公認(rèn)端口TCP/UDP端口端口號(hào)服務(wù)和應(yīng)用程序TCP端口21FTPTCP端口23TelnetTCP端口25SMTPTCP端口80HTTPTCP端口143IMAPTCP端口194Internet中繼聊天（IRC）TCP端口443HTTPsUDP端口69TFTPUDP端口520RIPTCP/UDP端口53DNSTCP/UDP端口161SNMPTCP/UDP端口531AOLInstantMessenger，IRC表12-1常用的公認(rèn)端口已注冊(cè)端口動(dòng)態(tài)或私有端口0203已注冊(cè)端口（端口號(hào)：1024到49151）將分配給用戶進(jìn)程或應(yīng)用程序。動(dòng)態(tài)或私有端口（端口號(hào)：49152到65535）也稱為臨時(shí)端口，動(dòng)態(tài)端口往往在開(kāi)始連接時(shí)被動(dòng)態(tài)分配給客戶端應(yīng)用程序。12.2.2端口號(hào)12.2.3擴(kuò)展ACL的放置位置擴(kuò)展ACL應(yīng)盡可能靠近控制流量的源，這樣才能在不需要的流量流經(jīng)網(wǎng)絡(luò)之前將其過(guò)濾掉。12.2.4基于時(shí)間的ACL基于時(shí)間的ACL允許根據(jù)時(shí)間執(zhí)行訪問(wèn)控制。要使用基于時(shí)間的ACL，需要?jiǎng)?chuàng)建一時(shí)間范圍，指定一周和一天內(nèi)的時(shí)段?？梢詾闀r(shí)間范圍命名，然后對(duì)相應(yīng)功能應(yīng)用此范圍。時(shí)間限制會(huì)應(yīng)用到該功能本身。1．配置擴(kuò)展編號(hào)ACL2．配置擴(kuò)展命名ACLRouter(config)#access-listaccess-list-number{deny|permit|remark}protocolsource[source-wildcard][operator

operand][portport-numberorname]destination[destination-wildcard][operatoroperand][portport-numberorname][established]Router(config)#ipaccess-listextendednameRouter(config-std-nacl)#{deny|permit|remark}protocolsource[source-wildcard][operatoroperand][portport-numberorname]destination[destination-wildcard][operatoroperand][portport-numberorname][time-rangetime-range-name][established]12.2.5配置命令3．在接口應(yīng)用ACLRouter(config)#interfacetypenumberRouter(config-if)#ipaccess-group{access-list-number|name}{in|out}4．查看ACL5．查看接口的配置Router#showaccess-listsRouter#showipinterface6．清除ACL的統(tǒng)計(jì)信息Router#clearaccess-listcounters[access-list-number|name]12.2.5配置命令目錄CONTENTS12.1用戶需求12.2知識(shí)梳理12.3方案設(shè)計(jì)12.4項(xiàng)目實(shí)施12.3方案設(shè)計(jì)在如圖12-1所示的網(wǎng)絡(luò)拓?fù)鋱D中，因?yàn)閠elnet用的是TCP端口號(hào)23，要實(shí)現(xiàn)/24網(wǎng)絡(luò)中的設(shè)備無(wú)法telnet路由器R2，可以采用擴(kuò)展ACL，根據(jù)源地址、目的地址、協(xié)議和端口號(hào)進(jìn)行數(shù)據(jù)包的訪問(wèn)控制。因?yàn)閿U(kuò)展ACL的放置位置要盡量靠近數(shù)據(jù)流量的源，所以需要在路由器R1上配置擴(kuò)展ACL。目錄CONTENTS12.1用戶需求12.2知識(shí)梳理12.3方案設(shè)計(jì)12.4項(xiàng)目實(shí)施12.4.1擴(kuò)展編號(hào)ACL的配置步驟1：在路由器R2的全局配置模式下輸入以下代碼，配置靜態(tài)路由。R2(config)#iprouteR2(config)#iproute步驟2：在路由器R2的全局配置模式下輸入以下代碼，配置遠(yuǎn)程登錄。R2(config)#linevty04R2(config-line)#password123R2(config-line)#loginR2(config-line)#enablesecret123步驟3：進(jìn)入“控制面板”窗口，如圖12-2所示。步驟4：?jiǎn)螕簟俺绦颉边x項(xiàng)，彈出“程序”窗口，如圖12-3所示。12.4.1擴(kuò)展編號(hào)ACL的配置步驟5：?jiǎn)螕簟俺绦蚝凸δ堋边x項(xiàng)中的“啟用或關(guān)閉Windows功能”鏈接，彈出“Windows功能”窗口，如圖12-4所示。12.4.1擴(kuò)展編號(hào)ACL的配置步驟6：在“啟用或關(guān)閉Windows功能”界面的列表框中勾選“Telnet客戶端”復(fù)選框，然后單擊“確定”按鈕，彈出“Windows已完成請(qǐng)求的更改”提示界面，如圖12-5所示，啟用Telnet客戶端完成。12.4.1擴(kuò)展編號(hào)ACL的配置步驟7：在計(jì)算機(jī)PC2的命令行界面輸入telnet命令，運(yùn)行結(jié)果如圖12-6所示。12.4.1擴(kuò)展編號(hào)ACL的配置步驟8：在路由器R1的全局配置模式下輸入以下代碼，配置ACL。R1(config)#access-list100denytcp55hosteq23R1(config)#access-list100permitipanyany步驟9：在路由器R1的全局配置模式下輸入以下代碼，應(yīng)用ACL。R1(config)#interfacef0/1R1(config-if)#ipaccess-group100in步驟10：在計(jì)算機(jī)PC2的命令行界面輸入telnet命令，運(yùn)行結(jié)果如圖12-7所示。12.4.1擴(kuò)展編號(hào)ACL的配置步驟1：在路由器R2的全局配置模式下輸入以下代碼，配置遠(yuǎn)程登錄。R2(config)#linevty04R2(config-line)#password123R2(config-line)#loginR2(config-line)#enablesecret123步驟2：在計(jì)算機(jī)PC2的命令行界面輸入telnet命令，運(yùn)行結(jié)果如圖12-8所示。12.4.2擴(kuò)展命名ACL的配置12.4.2擴(kuò)展命名ACL的配置步驟3：在路由器R1的全局配置模式下輸入以下代碼，配置ACL。R1(config)#ipaccess-listextendeddenytelnetR1(config-ext-nacl)#denytcp55hosteq23R1(config-ext-nacl)#permitipanyany步驟4：在路由器R1的全局配置模式下輸入以下代碼，在接口上應(yīng)用ACL。R1(config)#interfacef0/1R1(config-if)#ipaccess-group100in步驟5：在計(jì)算機(jī)PC2的命令行界面輸入telnet命令，運(yùn)行結(jié)果如下圖所示。網(wǎng)絡(luò)拓?fù)鋱D如圖12-10所示，計(jì)算機(jī)PC1位于學(xué)生網(wǎng)絡(luò)、計(jì)算機(jī)PC2位于辦公網(wǎng)絡(luò)，路由器R2和計(jì)算機(jī)PC3位于學(xué)校外網(wǎng)，路由器R1和R2的接口以及計(jì)算機(jī)PC1、PC2和PC3的IP地址已經(jīng)配置完成，要求完成基于時(shí)間ACL的配置，實(shí)現(xiàn)學(xué)生網(wǎng)絡(luò)在凌晨0點(diǎn)到早晨6點(diǎn)之間無(wú)法訪問(wèn)網(wǎng)絡(luò)資源。12.4.3基于時(shí)間ACL的配置12.4.3基于時(shí)間ACL的配置步驟1：在路由器R1的全局配置模式下輸入以下代碼，配置RIP。R1(config)#routerripR1(config-router)#version2R1(config-router)#networkR1(config-router)#networkR1(config-router)#noauto-summary步驟2：在路由器R2的全局配置模式下輸入以下代碼，配置RIP。R2(config)#routerripR2(config-router)#version2R2(config-router)#networkR2(config-router)#networkR2(config-router)#noauto-summary步驟3：在計(jì)算機(jī)PC1的命令行界面輸入ping命令檢驗(yàn)連通性，如圖12-11所示。步驟4：在計(jì)算機(jī)PC1的命令行界面輸入ping命令檢驗(yàn)連通性，如圖12-12所示。12.4.3基于時(shí)間ACL的配置步驟5：在路由器R1的全局配置模式下輸入以下代碼，定義ACL起作用的時(shí)間段。R1(config)#time-rangedenystudentR1(config-time-range)#periodicdaily0:0to6:0步驟6：在路由器R1的全局配置模式下輸入以下代碼，配置ACL。R1(config)#access-list100denyip55anytime-rangedenystudentR1(config-time-range)#access-list100permitipanyany12.4.3基于時(shí)間ACL的配置步驟7：在路由器R1的全局配置模式下輸入以下代碼，在接口上應(yīng)用ACL。R1(config)#interfacef0/0R1(config-if)#ipaccess-group100in步驟8：在路由器R1的特權(quán)執(zhí)行模式下查看系統(tǒng)當(dāng)前時(shí)間，如圖12-13所示。12.4.3基于時(shí)間ACL的配置步驟9：在計(jì)算機(jī)PC1的命令行界面輸入ping命令檢驗(yàn)連通性，如圖12-14所示。步驟10：在計(jì)算機(jī)PC1的命令行界面輸入ping命令檢驗(yàn)連通性，如圖12-15所示。12.4.3