網(wǎng)絡(luò)設(shè)備安裝與調(diào)試技術(shù) 課件 （秦?zé)觯┑?章 網(wǎng)絡(luò)間的訪問控制

第9章

網(wǎng)絡(luò)間的訪問控制編著：

秦?zé)鲋耙呀?jīng)實(shí)現(xiàn)了公司總部與分部間、公司各部門間的互聯(lián)互訪，但考慮到網(wǎng)絡(luò)安全的需求，各子網(wǎng)間的互訪需要進(jìn)行一些控制，如禁止公司分部訪問總部的財(cái)務(wù)部門、禁止公司總部的市場部門訪問分部、只允許網(wǎng)絡(luò)管理人員遠(yuǎn)程訪問和管理網(wǎng)絡(luò)設(shè)備等。這些子網(wǎng)間訪問控制的需求可以通過ACL（AccessControlList，訪問控制列表）實(shí)現(xiàn)。ACL是應(yīng)用在路由器接口的指令規(guī)則列表，這些列表可根據(jù)數(shù)據(jù)包的源地址、目的地址、源端口、目的端口等信息，控制路由器放行這些數(shù)據(jù)包還是攔截這些數(shù)據(jù)包，達(dá)到對子網(wǎng)間訪問控制的目的。9.1標(biāo)準(zhǔn)和基礎(chǔ)ACL1.標(biāo)準(zhǔn)ACL也叫基本ACL，它只根據(jù)報(bào)文的源IP地址來允許或拒絕數(shù)據(jù)包，不考慮目的地址、端口等信息。2.ACL創(chuàng)建好后，需要在接口上應(yīng)用才會(huì)生效。在接口應(yīng)用ACL時(shí)，要指明是應(yīng)用在路由器的入方向還是出方向上。對于進(jìn)入路由器的數(shù)據(jù)包，路由器會(huì)先檢查入方向的ACL，只有ACL允許通行才查詢路由表；對于從路由器外出的數(shù)據(jù)包則先查詢路由表，明確出接口后才查看出方向的ACL?？梢姲袮CL應(yīng)用到入站接口比應(yīng)用到出站接口效率更高。3.應(yīng)用ACL時(shí)，還要考慮應(yīng)用到哪臺(tái)路由器上更好。由于標(biāo)準(zhǔn)ACL只能根據(jù)源地址過濾數(shù)據(jù)包，為了避免過早拒絕導(dǎo)致拒絕范圍被擴(kuò)大，標(biāo)準(zhǔn)ACL應(yīng)該應(yīng)用到離目的地最近的路由器上。4.ACL被應(yīng)用在路由器接口的入或出方向后，方向一致的數(shù)據(jù)包流經(jīng)接口時(shí)，就會(huì)被從ACL的第一個(gè)表項(xiàng)開始、自上而下的進(jìn)行檢查，一旦當(dāng)前被檢查的數(shù)據(jù)包匹配某一表項(xiàng)的條件，就停止對后續(xù)表項(xiàng)的檢查，并執(zhí)行當(dāng)前表項(xiàng)的動(dòng)作。動(dòng)作有兩個(gè)，一個(gè)是允許通過permit，另一個(gè)的拒絕通過deny。9.1.1思科設(shè)備配置標(biāo)準(zhǔn)ACL

思科設(shè)備規(guī)定了一條默認(rèn)表項(xiàng)，會(huì)自動(dòng)添加到所有ACL表項(xiàng)的后面，內(nèi)容是拒絕所有數(shù)據(jù)包通過，即denyany，若當(dāng)前數(shù)據(jù)包與之前的ACL表項(xiàng)都不匹配，就會(huì)被拒絕通過。思科設(shè)備的標(biāo)準(zhǔn)ACL編號是1~99。

在PacketTracer中搭建如圖9-1所示拓?fù)洌ㄟ^配置標(biāo)準(zhǔn)ACL實(shí)現(xiàn)只允許PC0訪問路由器R1、R2、R3的Telnet服務(wù)；拒絕PC1所在網(wǎng)段訪問Server0（0）。圖9-1思科設(shè)備配置標(biāo)準(zhǔn)ACL的拓?fù)?/p>

1.各路由器的基本配置，命令如下：R1(config)#interfacegigabitEthernet0/0//R1的配置R1(config-if)#ipaddressR1(config-if)#noshutdownR1(config-if)#exitR1(config)#interfacegigabitEthernet0/1R1(config-if)#ipaddressR1(config-if)#noshutdownR1(config-if)#exitR1(config)#interfaceserial0/0/0R1(config-if)#ipaddress52R1(config-if)#noshutdownR2(config)#interfaceSerial0/0/0//R2的配置R2(config-if)#ipaddress52R2(config-if)#noshutdownR2(config-if)#exitR2(config)#interfaceserial0/0/1R2(config-if)#ipaddress52R2(config-if)#noshutdownR3(config)#interfaceserial0/0/0//R3的配置R3(config-if)#ipaddress52R3(config-if)#noshutdownR3(config-if)#exitR3(config)#interfacegigabitEthernet0/0R3(config-if)#ipaddressR3(config-if)#noshutdown

2.配置單區(qū)域OSPF使全網(wǎng)互通，命令如下：R1(config)#routerospf1//R1的配置R1(config-router)#router-idR1(config-router)#network55area0R1(config-router)#network55area0R1(config-router)#networkarea0R2(config)#routerospf1//R2的配置R2(config-router)#router-idR2(config-router)#networkarea0R2(config-router)#networkarea0R3(config)#routerospf1//R3的配置R3(config-router)#router-idR3(config-router)#networkarea0R3(config-router)#network55area03.查看R1、R2、R3的OSPF路由表，命令如下：R1#showiprouteospf//查看R1的OSPF路由表R2#showiprouteospf//查看R2的OSPF路由表R3#showiprouteospf//查看R3的OSPF路由表4.為R1、R2、R3開啟telnet服務(wù)，允許管理員通過密碼“123”對這些設(shè)備進(jìn)行telnet遠(yuǎn)程管理。通過ACL實(shí)現(xiàn)只允許PC0訪問路由器R1、R2、R3的Telnet服務(wù)；拒絕PC1所在網(wǎng)段訪問Server0（0）。命令如下：R1(config)#access-list1permithost0//為R1定義ACL1的第一個(gè)表項(xiàng)，允許PC0通過，默認(rèn)表項(xiàng)“拒絕所有”將自動(dòng)添加在最后，成為ACL1的第二個(gè)表項(xiàng)R1(config)#linevty04//進(jìn)入0~4這五個(gè)遠(yuǎn)程虛擬終端的配置界面R1(config-line)#access-class1in//將ACL1應(yīng)用在遠(yuǎn)程連接的入方向，此處access-class命令只對標(biāo)準(zhǔn)ACL有效R1(config-line)#password123//遠(yuǎn)程連接驗(yàn)證時(shí)的密碼R1(config-line)#login//遠(yuǎn)程連接時(shí)需要密碼驗(yàn)證R2(config)#access-list1permithost0//為R2定義ACL1第一個(gè)表項(xiàng)，允許PC0通過，默認(rèn)表項(xiàng)“拒絕所有”將自動(dòng)添加在最后，成為ACL1的第二個(gè)表項(xiàng)R2(config)#linevty04R2(config-line)#access-class1in//將ACL1應(yīng)用在遠(yuǎn)程連接的入方向R2(config-line)#password123R2(config-line)#loginR3(config)#access-list1permithost0//為R3定義ACL1的第一個(gè)表項(xiàng)，允許PC0通過，默認(rèn)表項(xiàng)“拒絕所有”將自動(dòng)添加在最后，成為ACL1的第二個(gè)表項(xiàng)R3(config)#access-list2deny55//ACL2第一個(gè)表項(xiàng)拒絕PC1所在網(wǎng)段R3(config)#access-list2permitany//ACL2第二個(gè)表項(xiàng)允許所有網(wǎng)段通過，默認(rèn)表項(xiàng)“拒絕所有”將自動(dòng)添加在最后，成為ACL1的第三個(gè)表項(xiàng)，由于第二個(gè)表項(xiàng)已經(jīng)允許所有，所有第三個(gè)表項(xiàng)將不會(huì)被用到R3(config)#linevty04R3(config-line)#access-class1in//將ACL1應(yīng)用在遠(yuǎn)程連接的入方向R3(config-line)#password123R3(config-line)#loginR3(config-line)#exitR3(config)#interfaceserial0/0/0R3(config-if)#ipaccess-group2in//將ACL2應(yīng)用在當(dāng)前接口的入方向

5.測試方法如下：（1）在PC0上進(jìn)行連接R1的telnet測試，命令如下：C:\>ipconfig//查看PC0的IP地址C:\>telnet//遠(yuǎn)程連接R1Password://輸入密碼123R1>exit//成功連接到R1，輸入命令返回

（2）在PC0上進(jìn)行連接R2的telnet測試，命令如下：C:\>telnet//遠(yuǎn)程連接R2Password://輸入密碼123R2>exit//成功連接到R2，輸入命令返回（3）在PC0上進(jìn)行連接R3的telnet測試，命令如下：C:\>telnet//遠(yuǎn)程連接R3Password://輸入密碼123R3>exit//成功連接到R3，輸入命令返回（4）在PC0上ping服務(wù)器Server0，測試它們之間的連通性，命令如下：C:\>ping0//可以ping通（5）在PC1上telnetR1，命令如下：C:\>ipconfig//查看PC1的IP地址C:\>telnet//遠(yuǎn)程連接R1%Connectionrefusedbyremotehost//提示連接被拒絕

（6）在PC1上telnetR2C:\>telnet//遠(yuǎn)程連接R2%Connectionrefusedbyremotehost//提示連接被拒絕（7）在PC1上telnetR3，命令如下：C:\>telnet//遠(yuǎn)程連接R3%Connectiontimedout;remotehostnotresponding//提示超時(shí)（8）在PC1ping服務(wù)器Server0，命令如下：C:\>ping0//通過ping測試PC1與服務(wù)器Server0的連通性，ping不通

（9）在R3上查看訪問控制列表，命令如下：R3#showipaccess-listsStandardIPaccesslist110permithost0(2match(es))//ACL1表項(xiàng)1的匹配量StandardIPaccesslist210deny55(28match(es))

//ACL2表項(xiàng)1的匹配量20permitany(136match(es))//ACL2表項(xiàng)2的匹配量

（10）在R3上清空ACL各表項(xiàng)的匹配，命令如下：R3#clearaccess-listcounters//清空ACL各表項(xiàng)的匹配R3#showipaccess-lists//查看訪問控制列表，可以看到各表項(xiàng)的匹配量被清空StandardIPaccesslist110permithost0StandardIPaccesslist210deny5520permitany（11）在R3上查看接口s0/0/0的信息，命令如下：R3#showipinterfaceserial0/0/0OutgoingaccesslistisnotsetInboundaccesslistis2//表明接口的入方向上應(yīng)用了ACL29.2擴(kuò)展和高級ACL

擴(kuò)展ACL-也稱為高級ACL，擴(kuò)展ACL可根據(jù)數(shù)據(jù)包的源IP地址、目的IP地址、指定協(xié)議、源端口、目的端口和標(biāo)志來允許或拒絕數(shù)據(jù)包。9.2.1思科設(shè)備配置擴(kuò)展ACL

思科擴(kuò)展ACL的列表號范圍是100~199。下面，我們使用擴(kuò)展ACL實(shí)現(xiàn)以下功能：

（1）只允許PC1所在網(wǎng)段訪問R3的Telnet服務(wù)；

（2）拒絕PC0所在網(wǎng)段pingServer0（0）；

（3）拒絕PC0所在網(wǎng)段訪問Server0（0）的Web服務(wù)和FTP服務(wù)；

（4）單向ping限制：不允許PC1pingServer0，但允許Server0pingPC1。

在PacketTracer中搭建如圖9-6所示的拓?fù)?。圖9-6思科設(shè)備配置擴(kuò)展ACL的拓?fù)?/p>

1.開啟R3的telnet服務(wù)，命令如下：R3(config)#linevty04R3(config-line)#transportinputtelnetR3(config-line)#password123R3(config-line)#login

2.在R1上進(jìn)行擴(kuò)展ACL的配置，方法如下：

（1）定義擴(kuò)展ACL，命令如下：R1(config)#access-list100permittcp55hosteq23//此命令定義了ACL100的第一個(gè)列表項(xiàng)。列表號100表示當(dāng)前ACL是擴(kuò)展ACL；permit表示符合條件則允許通過；tcp表示根據(jù)tcp協(xié)議的端口號來進(jìn)行是否符合條件的判斷；條件的前半部分55省略了源端口號，指的是“55+任意源端口號”，表示PC2所在網(wǎng)段作為源IP，且對源端口號不做限制；條件的后半部分hosteq23等價(jià)于eq23，指的是目標(biāo)地址為，即R3的IP地址，且目標(biāo)TCP端口號eq23，即等于23，指的是目標(biāo)TCP端口號等于23，即telnet服務(wù)R1(config)#access-list100permittcp55hosteq23//此命令定義了ACL100的第二個(gè)列表項(xiàng)，此處目標(biāo)地址是R3另一個(gè)接口的地址R1(config)#access-list100denytcpanyhosteq23//此命令定義了ACL100的第三個(gè)列表項(xiàng)，拒絕了任意源IP地址、任意源端口號訪問地址、且TCP端口號等于23的目標(biāo)R1(config)#access-list100denytcpanyhosteq23//此命令定義了ACL100的第四個(gè)列表項(xiàng)，此處目標(biāo)地址是R3另一個(gè)接口的地址以上4條ACL100的列表項(xiàng)實(shí)現(xiàn)了只允許PC2所在網(wǎng)段訪問R3的telnet服務(wù)。R1(config)#access-list100denyicmp55host0

//此命令定義了ACL100的第五個(gè)列表項(xiàng)，拒絕PC0所在網(wǎng)段（）pingServer0（0）R1(config)#access-list100denytcp55host0eq80

//此命令定義了ACL100的第六個(gè)列表項(xiàng)，拒絕PC0所在網(wǎng)段（）訪問Server0（0）的tcp80端口，即Web服務(wù)R1(config)#access-list100denytcp55host0eq21

//此命令定義了ACL100的第七個(gè)列表項(xiàng)，拒絕PC0所在網(wǎng)段（）訪問Server0（0）的tcp21端口，即FTP服務(wù)的控制通道R1(config)#access-list100denytcp55host0eq20//此命令定義了ACL100的第八個(gè)列表項(xiàng)，拒絕PC0所在網(wǎng)段（）訪問Server0（0）的tcp20端口，即FTP服務(wù)的數(shù)據(jù)通道以上3條ACL100的列表項(xiàng)拒絕了PC0所在網(wǎng)段訪問Server0（0）的Web服務(wù)和FTP服務(wù)。R1(config)#access-list100denyicmphost0host0echo//此命令定義了ACL100的第九個(gè)列表項(xiàng)，作用是不允許PC1（0）pingServer0（0），但不拒絕Server0pingPC1。Ping成功意味著去到了目標(biāo)并且成功返回，即有去有回。其中icmp協(xié)議的echo表示去的過程，即源向目標(biāo)發(fā)出回顯請求；icmp協(xié)議的echoreply表示回的過程，即目標(biāo)向源發(fā)回的回顯答復(fù)R1(config)#access-list100permitipanyany//此命令定義了ACL100的第十個(gè)列表項(xiàng)，作用是允許所有源訪問所有目標(biāo)的IP協(xié)議。對于以太網(wǎng)來說，IP是第三層協(xié)議，承載了第四層的TCP協(xié)議和UDP協(xié)議，所以允許對IP協(xié)議的訪問意味著允許對TCP和UDP等所有四層協(xié)議的訪問。所以本列表項(xiàng)的作用是允許所有還有一條默認(rèn)ACL條目排在最后，內(nèi)容是拒絕所有。由于ACL100的上一條列表已經(jīng)允許所有了，所以排在最后的默認(rèn)ACL條目不會(huì)被執(zhí)行到。

（２）在接口下應(yīng)用ACL，命令如下：R1(config)#interfaceserial0/0/0R1(config-if)#ipaccess-group100out//在接口下應(yīng)用ACL。定義好的ACL只有被應(yīng)用了才會(huì)生效

3.分別在PC1和PC0上訪問R3，比較訪問效果。命令如下：C:\>ipconfig//在PC1上，查看自身的IP地址C:\>telnet//在PC1上通過telnet遠(yuǎn)程管理R3Password://輸入密碼123R3>exit//成功連接C:\>ipconfig//在PC0上查看自身的IP地址C:\>telnet//在PC0上通過telnet遠(yuǎn)程管理R3Trying...%Connectiontimedout;remotehostnotresponding//無法成功連接謝謝欣賞第9章

網(wǎng)絡(luò)間的訪問控制編著：

秦?zé)鲋耙呀?jīng)實(shí)現(xiàn)了公司總部與分部間、公司各部門間的互聯(lián)互訪，但考慮到網(wǎng)絡(luò)安全的需求，各子網(wǎng)間的互訪需要進(jìn)行一些控制，如禁止公司分部訪問總部的財(cái)務(wù)部門、禁止公司總部的市場部門訪問分部、只允許網(wǎng)絡(luò)管理人員遠(yuǎn)程訪問和管理網(wǎng)絡(luò)設(shè)備等。這些子網(wǎng)間訪問控制的需求可以通過ACL（AccessControlList，訪問控制列表）實(shí)現(xiàn)。ACL是應(yīng)用在路由器接口的指令規(guī)則列表，這些列表可根據(jù)數(shù)據(jù)包的源地址、目的地址、源端口、目的端口等信息，控制路由器放行這些數(shù)據(jù)包還是攔截這些數(shù)據(jù)包，達(dá)到對子網(wǎng)間訪問控制的目的。9.1標(biāo)準(zhǔn)和基礎(chǔ)ACL1.標(biāo)準(zhǔn)ACL也叫基本ACL，它只根據(jù)報(bào)文的源IP地址來允許或拒絕數(shù)據(jù)包，不考慮目的地址、端口等信息。2.ACL創(chuàng)建好后，需要在接口上應(yīng)用才會(huì)生效。在接口應(yīng)用ACL時(shí)，要指明是應(yīng)用在路由器的入方向還是出方向上。對于進(jìn)入路由器的數(shù)據(jù)包，路由器會(huì)先檢查入方向的ACL，只有ACL允許通行才查詢路由表；對于從路由器外出的數(shù)據(jù)包則先查詢路由表，明確出接口后才查看出方向的ACL?？梢姲袮CL應(yīng)用到入站接口比應(yīng)用到出站接口效率更高。3.應(yīng)用ACL時(shí)，還要考慮應(yīng)用到哪臺(tái)路由器上更好。由于標(biāo)準(zhǔn)ACL只能根據(jù)源地址過濾數(shù)據(jù)包，為了避免過早拒絕導(dǎo)致拒絕范圍被擴(kuò)大，標(biāo)準(zhǔn)ACL應(yīng)該應(yīng)用到離目的地最近的路由器上。4.ACL被應(yīng)用在路由器接口的入或出方向后，方向一致的數(shù)據(jù)包流經(jīng)接口時(shí)，就會(huì)被從ACL的第一個(gè)表項(xiàng)開始、自上而下的進(jìn)行檢查，一旦當(dāng)前被檢查的數(shù)據(jù)包匹配某一表項(xiàng)的條件，就停止對后續(xù)表項(xiàng)的檢查，并執(zhí)行當(dāng)前表項(xiàng)的動(dòng)作。動(dòng)作有兩個(gè)，一個(gè)是允許通過permit，另一個(gè)的拒絕通過deny。9.1.2華為設(shè)備配置基本ACL

一個(gè)ACL中可以包含多條規(guī)則，華為設(shè)備為流策略和Telnet分別規(guī)定了一條默認(rèn)規(guī)則，默認(rèn)規(guī)則會(huì)自動(dòng)添加到所有規(guī)則的最后。其中，流策略的ACL默認(rèn)規(guī)則是“允許所有”，Telnet的ACL默認(rèn)規(guī)則是“拒絕所有”。華為設(shè)備的基本ACL編號是2000~2999。

在eNSP中搭建如圖9-2所示拓?fù)?，配置地址，配置單區(qū)域OSPF使全網(wǎng)互通。為R3開啟telnet服務(wù)，允許通過密碼“123”對它進(jìn)行telnet遠(yuǎn)程管理。通過配置基本ACL，只允許PC0訪問路由器R3的Telnet服務(wù)；拒絕PC1所在網(wǎng)段訪問Server0（0）。

圖9-2華為設(shè)備配置基本ACL的拓?fù)?/p>

1.各路由器的和PC的基本配置，命令如下：[R1]interfaceGigabitEthernet0/0/0//R1的配置[R1-GigabitEthernet0/0/0]ipaddress24[R1-GigabitEthernet0/0/0]quit[R1]interfaceGigabitEthernet0/0/1[R1-GigabitEthernet0/0/1]ipaddress24[R1-GigabitEthernet0/0/1]quit[R1]interfaceg0/0/2[R1-GigabitEthernet0/0/2]ipaddress30[R2]interfaceGigabitEthernet0/0/0//R2的配置[R2-GigabitEthernet0/0/0]ipaddress30[R2-GigabitEthernet0/0/0]quit[R2]interfaceGigabitEthernet0/0/1[R2-GigabitEthernet0/0/1]ipaddress30[R3]interfaceGigabitEthernet0/0/1//R3的配置[R3-GigabitEthernet0/0/1]ipaddress30[R3-GigabitEthernet0/0/1]quit[R3]interfaceGigabitEthernet0/0/0[R3-GigabitEthernet0/0/0]ipaddress24[PC0]interfaceGigabitEthernet0/0/0//PC0的配置，用路由器模擬[PC0-GigabitEthernet0/0/0]ipaddress024[PC0-GigabitEthernet0/0/0]quit[PC0]iproute-static0[PC1]interfaceGigabitEthernet0/0/0//PC1的配置，用路由器模擬[PC1-GigabitEthernet0/0/0]ipaddress024[PC1-GigabitEthernet0/0/0]quit[PC1]iproute-static0

2.Server0的配置如下：IP地址：0//Server0的配置子網(wǎng)掩碼：網(wǎng)關(guān)：

3.在R3上開啟telnet服務(wù)，命令如下：[R3]telnetserverenable[R3]user-interfacevty04[R3-ui-vty0-4]protocolinboundtelnet[R3-ui-vty0-4]authentication-modepasswordPleaseconfiguretheloginpassword(maximumlength16):123//直接指定密碼[R3-ui-vty0-4]setauthenticationpasswordcipher123

//還可以通過命令設(shè)置密碼[R3-ui-vty0-4]userprivilegelevel15

4.配置單區(qū)域OSPF使全網(wǎng)互通，命令如下：[R1]ospf1router-id//R1的配置[R1-ospf-1]area0[R1-ospf-1-area-]network55[R1-ospf-1-area-]network55[R1-ospf-1-area-]network[R2]ospf1router-id//R2的配置[R2-ospf-1]area0[R2-ospf-1-area-]network[R2-ospf-1-area-]network[R3]ospf1router-id//R3的配置[R3-ospf-1]area0[R3-ospf-1-area-]network[R3-ospf-1-area-]network55

5.查看各路由器的OSPF路由表，命令如下：[R1]displayiprouting-tableprotocolospf//查看R1的路由表[R2]displayiprouting-tableprotocolospf//查看R2的路由表[R3]displayiprouting-tableprotocolospf//查看R3的路由表

6.用于Telnet的ACL配置和測試如下：

（1）ACL配置的配置如下：[R3]acl2000[R3-acl-basic-2000]rulepermitsource00//為R3定義ACL2000的第一條規(guī)則，允許0（即PC0）通過，Telnet的ACL默認(rèn)規(guī)則動(dòng)作“拒絕所有”將自動(dòng)添加在最后，成為ACL2000的第二條規(guī)則[R3-acl-basic-2000]quit[R3]user-interfacevty04//進(jìn)入0~4這五個(gè)遠(yuǎn)程虛擬終端的配置界面[R3-ui-vty0-4]acl2000inbound//將ACL2000應(yīng)用在遠(yuǎn)程連接的入方向[R3-ui-vty0-4]quit（2）PC0遠(yuǎn)程連接R3測試，命令如下：<PC0>telnet//PC0遠(yuǎn)程連接R3LoginauthenticationPassword://輸入密碼123<R3>quit//成功連接到R1，輸入命令返回（3）PC1遠(yuǎn)程連接R3測試，命令如下：<PC1>telnet//PC1遠(yuǎn)程連接R3Error:Can'tconnecttotheremotehost//PC1無法遠(yuǎn)程連接到R37.用于流策略的ACL配置和測試如下：（1）ACL配置命令如下：[R3]acl2001[R3-acl-basic-2001]ruledenysource55//為R3定義ACL2001的第一條規(guī)則，拒絕（即PC所在網(wǎng)段）通過，流策略的ACL默認(rèn)規(guī)則動(dòng)作“允許所有”將自動(dòng)添加在最后，成為ACL2001的第二條規(guī)則[R3-acl-basic-2001]quit[R3]interfaceGigabitEthernet0/0/0[R3-GigabitEthernet0/0/0]traffic-filteroutboundacl2001//將ACL2001應(yīng)用在當(dāng)前接口的出方向（2）PC0pingServer0測試，命令如下：<PC0>ping0//PC0pingServer0Replyfrom0:bytes=56Sequence=5ttl=252time=30ms//ping通了（3）PC1pingServer0測試，命令如下：<PC1>ping0//PC1pingServer0Requesttimeout//ping不通9.2擴(kuò)展和高級ACL

擴(kuò)展ACL-也稱為高級ACL，擴(kuò)展ACL可根據(jù)數(shù)據(jù)包的源IP地址、目的IP地址、指定協(xié)議、源端口、目的端口和標(biāo)志來允許或拒絕數(shù)據(jù)包。9.2.2華為設(shè)備配置高級ACL

下面，介紹華為設(shè)備配置高級ACL的方法。如圖9-7所示，在基礎(chǔ)ACL實(shí)驗(yàn)的基礎(chǔ)上，繼續(xù)使用擴(kuò)展ACL實(shí)現(xiàn)以下功能：（1）只允許PC1所在網(wǎng)段訪問R3的Telnet服務(wù)；（2）拒絕PC0所在網(wǎng)段pingServer0（0）；（3）拒絕PC0所在網(wǎng)段訪問Server0（0）的Web服務(wù)和FTP服務(wù)；（4）單向ping限制：不允許PC1pingServer0，但允許Server0pingPC1。

圖9-7華為設(shè)備配置高級ACL的拓?fù)?/p>

1.在R3上清空原來的ACL配置，命令如下：[R3]interfaceGigabitEthernet0/0/0[R3-GigabitEthernet0/0/0]undotraffic-filteroutbound[R3-GigabitEthernet0/0/0]quit[R3]user-interfacevty04[R3-ui-vty0-4]undoaclinbound[R3-ui-vty0-4]quit[R3]undoaclall

2.在R1上配置擴(kuò)展ACL，命令如下：[R1]acl3000[R1-acl-adv-3000]rulepermittcpsource55destination0destination-porteq23//此命令定義了ACL3000的第一條規(guī)則，permit表示符合條件則允許通過；tcp表示根據(jù)tcp協(xié)議的端口號來進(jìn)行是否符合條件的判斷；條件的前半部分55省略了源端口號，指的是“55+任意源端口號”，表示PC2所在網(wǎng)段作為源IP，且對源端口號不做限制；條件的后半部分“destination0destination-porteq23”指的是目標(biāo)地址為，即R3的IP地址，且目標(biāo)TCP端口號等于23，即telnet服務(wù)[R1-acl-adv-3000]rulepermittcpsource55destination0destination-porteq23//此命令定義了ACL3000的第二條規(guī)則，此處目標(biāo)地址是R3另一個(gè)接口的地址[R1-acl-adv-3000]ruledenytcpsourceanydestination0destination-porteq23//此命令定義了ACL3000的第三條規(guī)則，拒絕了任意源IP地址、任意源端口號訪問地址、且TCP端口號等于23的目標(biāo)。[R1-acl-adv-3000]ruledenytcpsourceanydestination0destination-porteq23//此命令定義了ACL3000的第四條規(guī)則，此處目標(biāo)地址是R3另一個(gè)接口的地址

以上4條ACL100的列表項(xiàng)實(shí)現(xiàn)了只允許PC2所在網(wǎng)段訪問R3的telnet服務(wù)。[R1-acl-adv-3000]ruledenyicmpsource55destination00//此命令定義了ACL3000的第五條規(guī)則，拒絕PC0所在網(wǎng)段（）pingServer0（0）[R1-acl-adv-3000]ruledenytcpsource55destination00destination-porteq80//此命令定義了ACL3000的第六條規(guī)則，拒絕PC0所在網(wǎng)段（）訪問Server0（0）的tcp80端口，即Web服務(wù)[R1-acl-adv-3000]ruledenytcpsource55destination00destination-porteq21//此命令定義了ACL3000的第七條規(guī)則，拒絕PC0所在網(wǎng)段（）訪問Server0（0）的tcp21端口，即FTP服務(wù)的控制通道[R1-acl-adv-3000]ruledenytcpsource55destination00destination-porteq20//此命令定義了ACL3000的第八條規(guī)則，拒絕PC0所在網(wǎng)段（）訪問Server0（0）的tcp20端口，即FTP服務(wù)的數(shù)據(jù)通道[R1-acl-adv-3000]ruledenyicmpsource00destination00icmp-typeecho//此命令定義了ACL100的第九個(gè)列表項(xiàng)，作用是不允許PC1（0）pingServer0（0），但不拒絕Server0pingPC1。Ping成功意味著去到了目標(biāo)并且成功返回，即有去有回。其中icmp協(xié)議的echo表示去的過程，即源向目標(biāo)發(fā)出回顯請求；icmp協(xié)議的echoreply表示回的過程，即目標(biāo)向源發(fā)回的回顯答復(fù)

以上3條ACL3000的列表項(xiàng)拒絕了PC0所在網(wǎng)段訪問Server0（0）的Web服務(wù)和FTP服務(wù)。

還有一條默認(rèn)ACL條目排在最后，內(nèi)容是允許所有源訪問所有目標(biāo)的IP協(xié)議。

3.在R1的G0/0/2接口下應(yīng)用ACL，命令如下：[R1]interfaceGigabitEthernet0/0/2 [R1-GigabitEthernet0/0/2]traffic-filteroutboundacl3000

4.分別在PC1和PC0上訪問R3，比較訪問效果。

（1）在PC1上通過telnet遠(yuǎn)程管理R3，命令如下：C:\DocumentsandSettings\Administrator>telnetLoginauthenticationPassword://輸入密碼123<R3>//成功連接<R3>quit

（2）在PC0上通過telnet遠(yuǎn)程管理R3，命令如下：C:\DocumentsandSettings\Administrator>telnet返回提示：正在連接到...不能打開到主機(jī)的連接，在端口23:連接失敗

5.驗(yàn)證“拒絕PC0所在網(wǎng)段pingServer0（0）”，方法如下：

（1）PC0pingServer0（0）測試，命令如下：C:\DocumentsandSettings\Administrator>ping0Requesttimedout.//無法ping通

（2）PC1ping測試，命令如下：C:\DocumentsandSettings\Administrator>pingReplyfrom:bytes=32time=32msTTL=253//可以ping通

6.驗(yàn)證“拒絕PC0所在網(wǎng)段訪問Server0（0）的Web服務(wù)和FTP服務(wù)”，方法如下：

（1）如圖9-8所示，在PC0上訪問Server0的Web服務(wù)，無法訪問。圖9-8PC0訪問Server0的Web服務(wù)

（2）如圖9-9所示，在PC1訪問Server0的Web服務(wù)，可以訪問。

（3）PC0訪問Server0的FTP服務(wù)，命令如下：C:\DocumentsandSettings\Administrator>ftp0>ftp:connect:連接超時(shí)圖9-9PC1訪問Server0的Web服務(wù)

（4）PC1訪問Server0的FTP服務(wù)，命令如下：C:\DocumentsandSettings\Administrator>ftp0Connectedto0.220FtpServerTryFtpDforfreeUser(0:(none)):admin//輸入用戶名331Passwordrequiredforadmin.Password://輸入密碼230Useradminloggedin,proceed//成功連接登陸ftp>quit//返回

7.驗(yàn)證“單向ping限制：不允許PC1pingServer0，但允許Server0pingPC1”，方法如下：

（1）PC1pingServer0測試，命令如下：C:\DocumentsandSettings\Administrator>ping0Requesttimedout.//無法ping通

（2）如圖9-10所示，在Server0上執(zhí)行pingPC1的測試

可以看到，Server0能ping通PC1。圖9-10Server0pingPC1測試的界面謝謝欣賞第9章

網(wǎng)絡(luò)間的訪問控制編著：

秦?zé)鲋耙呀?jīng)實(shí)現(xiàn)了公司總部與分部間、公司各部門間的互聯(lián)互訪，但考慮到網(wǎng)絡(luò)安全的需求，各子網(wǎng)間的互訪需要進(jìn)行一些控制，如禁止公司分部訪問總部的財(cái)務(wù)部門、禁止公司總部的市場部門訪問分部、只允許網(wǎng)絡(luò)管理人員遠(yuǎn)程訪問和管理網(wǎng)絡(luò)設(shè)備等。這些子網(wǎng)間訪問控制的需求可以通過ACL（AccessControlList，訪問控制列表）實(shí)現(xiàn)。ACL是應(yīng)用在路由器接口的指令規(guī)則列表，這些列表可根據(jù)數(shù)據(jù)包的源地址、目的地址、源端口、目的端口等信息，控制路由器放行這些數(shù)據(jù)包還是攔截這些數(shù)據(jù)包，達(dá)到對子網(wǎng)間訪問控制的目的。9.1標(biāo)準(zhǔn)和基礎(chǔ)ACL1.標(biāo)準(zhǔn)ACL也叫基本ACL，它只根據(jù)報(bào)文的源IP地址來允許或拒絕數(shù)據(jù)包，不考慮目的地址、端口等信息。2.ACL創(chuàng)建好后，需要在接口上應(yīng)用才會(huì)生效。在接口應(yīng)用ACL時(shí)，要指明是應(yīng)用在路由器的入方向還是出方向上。對于進(jìn)入路由器的數(shù)據(jù)包，路由器會(huì)先檢查入方向的ACL，只有ACL允許通行才查詢路由表；對于從路由器外出的數(shù)據(jù)包則先查詢路由表，明確出接口后才查看出方向的ACL。可見把ACL應(yīng)用到入站接口比應(yīng)用到出站接口效率更高。3.應(yīng)用ACL時(shí)，還要考慮應(yīng)用到哪臺(tái)路由器上更好。由于標(biāo)準(zhǔn)ACL只能根據(jù)源地址過濾數(shù)據(jù)包，為了避免過早拒絕導(dǎo)致拒絕范圍被擴(kuò)大，標(biāo)準(zhǔn)ACL應(yīng)該應(yīng)用到離目的地最近的路由器上。4.ACL被應(yīng)用在路由器接口的入或出方向后，方向一致的數(shù)據(jù)包流經(jīng)接口時(shí)，就會(huì)被從ACL的第一個(gè)表項(xiàng)開始、自上而下的進(jìn)行檢查，一旦當(dāng)前被檢查的數(shù)據(jù)包匹配某一表項(xiàng)的條件，就停止對后續(xù)表項(xiàng)的檢查，并執(zhí)行當(dāng)前表項(xiàng)的動(dòng)作。動(dòng)作有兩個(gè)，一個(gè)是允許通過permit，另一個(gè)的拒絕通過deny。9.1.3華三設(shè)備配置基本ACL一個(gè)ACL中可以包含多條規(guī)則，華三設(shè)備與華為設(shè)備一樣，為流策略和Telnet分別規(guī)定了一條默認(rèn)規(guī)則，默認(rèn)規(guī)則會(huì)自動(dòng)添加到所有規(guī)則的最后。其中，流策略的ACL默認(rèn)規(guī)則是“允許所有”，Telnet的ACL默認(rèn)規(guī)則是“拒絕所有”。華三設(shè)備的基本ACL編號是2000~2999。如圖9-3所示，在HCL中搭建拓?fù)?，配置地址，配置單區(qū)域OSPF使全網(wǎng)互通。為R3開啟telnet服務(wù)，允許通過密碼“123@h3c”對它進(jìn)行telnet遠(yuǎn)程管理。配置基本ACL只允許PC0訪問路由器R3的Telnet服務(wù)；拒絕PC1所在網(wǎng)段訪問Server0（0）。圖9-3華三設(shè)備配置基本ACL的拓?fù)?/p>

1.PC0、PC1和Server0采用VMware的windows虛擬機(jī)連接，具體方法如下：

（1）如圖9-4所示，在桌面打開OracleVMVirtualBox管理器，選擇“全局工具”中的“主機(jī)網(wǎng)絡(luò)管理器”，創(chuàng)建“VirtualBoxHost-OnlyEthernetAdapter#2”和“VirtualBoxHost-OnlyEthernetAdapter#3”。圖9-4OracleVMVirtualBox管理器

（2）如圖9-5所示，打開桌面的VMwareWorkstation，參照“華三設(shè)備無密碼的遠(yuǎn)程telnet連接”實(shí)驗(yàn)中給VMWare的虛擬網(wǎng)卡和VirtualBox的虛擬網(wǎng)卡間建立聯(lián)系的方法，將VMnet1橋接到VirtualBoxHost-OnlyEthernetAdapter，將VMnet2橋接到VirtualBoxHost-OnlyEthernetAdapter#2，將VMnet3橋接到VirtualBoxHost-OnlyEthernetAdapter#3。圖9-5VMwareWorkstation虛擬網(wǎng)絡(luò)編輯器（3）PC0的配置如下：IP地址：0，子網(wǎng)掩碼：，網(wǎng)關(guān)：（4）PC1的配置如下：IP地址：0，子網(wǎng)掩碼：，網(wǎng)關(guān)：（5）Server0的配置如下：IP地址：0，子網(wǎng)掩碼：，網(wǎng)關(guān)：

2.路由器的基本配置，命令如下：[R1]interfaceGigabitEthernet0/0//R1的配置[R1-GigabitEthernet0/0]ipaddress24[R1-GigabitEthernet0/0]quit[R1]interfaceGigabitEthernet0/1[R1-GigabitEthernet0/1]ipaddress24[R1-GigabitEthernet0/1]quit[R1]interfaceGigabitEthernet0/2[R1-GigabitEthernet0/2]ipaddress30[R2]interfaceGigabitEthernet0/0//R2的配置[R2-GigabitEthernet0/0]ipaddress30[R2-GigabitEthernet0/0]quit[R2]interfaceGigabitEthernet0/1[R2-GigabitEthernet0/1]ipaddress30[R3]interfaceGigabitEthernet0/1//R3的配置[R3-GigabitEthernet0/1]ipaddress30[R3-GigabitEthernet0/1]quit[R3]interfaceGigabitEthernet0/0[R3-GigabitEthernet0/0]ipaddress24

3.在R3上配置telnet，命令如下：[R3]telnetserverenable[R3]linevty04[R3-line-vty0-4]protocolinboundtelnet[R3-line-vty0-4]authentication-modepassword[R3-line-vty0-4]setauthenticationpasswordsimple123@h3c[R3-line-vty0-4]userlevel-15

4.各路由器上動(dòng)態(tài)路由的配置，命令如下：[R1]ospf1router-id//R1的配置[R1-ospf-1]area0[R1-ospf-1-area-]network55[R1-ospf-1-area-]network55[R1-ospf-1-area-]network[R2]ospf1router-id//R2的配置[R2-ospf-1]area0[R2-ospf-1-area-]network[R2-ospf-1-area-]network[R3]ospf1router-id//R3的配置[R3-ospf-1]area0[R3-ospf-1-area-]network[R3-ospf-1-area-]network555.在各路由器上查看OSPF路由表，命令如下：[R1]displayiprouting-tableprotocolospf//查看R1的路由表[R2]displayiprouting-tableprotocolospf//查看R2的路由表[R3]displayiprouting-tableprotocolospf//查看R3的路由表

6.用于Telnet的ACL配置方法和測試過程如下：

（1）ACL的配置命令如下：[R3]aclnumber2000[R3-acl-ipv4-basic-2000]rulepermitsource00//為R3定義ACL2000的第一條規(guī)則，允許0（即PC0）通過，Telnet的ACL默認(rèn)規(guī)則動(dòng)作“拒絕所有”將自動(dòng)添加在最后，成為ACL2000的第二條規(guī)則[R3-acl-ipv4-basic-2000]quit[R3]telnetserveracl2000//將ACL2000應(yīng)用在telnet遠(yuǎn)程連接上

（2）PC0遠(yuǎn)程連接R3測試，命令如下：C:\DocumentsandSettings\Administrator>telnetPassword://輸入密碼123@h3c<R3>//成功連接到R3<R3>quit//輸入命令返回

（3）PC1遠(yuǎn)程連接R3測試，命令如下：C:\DocumentsandSettings\Administrator>telnet返回提示：正在連接到...不能打開到主機(jī)的連接，在端口23:連接失敗

7.用于流策略的ACL配置方法和測試過程如下：

（1）ACL的配置命令如下：[R3]aclnumber2001[R3-acl-ipv4-basic-2001]ruledenysource55//為R3定義ACL2001的第一條規(guī)則，拒絕（即PC所在網(wǎng)段）通過，流策略的ACL默認(rèn)規(guī)則動(dòng)作“允許所有”將自動(dòng)添加在最后，成為ACL2001的第二條規(guī)則[R3-acl-basic-2001]quit[R3]interfaceGigabitEthernet0/0[R3-GigabitEthernet0/0]packet-filter2001outbound//將ACL2001應(yīng)用在當(dāng)前接口的出方向[R3-GigabitEthernet0/0]quit

（2）PC0pingServer0測試，命令如下：C:\DocumentsandSettings\Administrator>ping0Replyfrom0:bytes=32time=3msTTL=125//可以ping通（3）PC1pingServer0測試，命令如下：C:\DocumentsandSettings\Administrator>ping0Requesttimedout.//無法ping通9.2擴(kuò)展和高級ACL

擴(kuò)展ACL-也稱為高級ACL，擴(kuò)展ACL可根據(jù)數(shù)據(jù)包的源IP地址、目的IP地址、指定協(xié)議、源端口、目的端口和標(biāo)志來允許或拒絕數(shù)據(jù)包。9.2.3華三設(shè)備配置高級ACL

下面，介紹華三設(shè)備配置高級ACL的方法。在基礎(chǔ)ACL實(shí)驗(yàn)的基礎(chǔ)上繼續(xù)，使用擴(kuò)展ACL實(shí)現(xiàn)以下功能：（1）只允許PC1所在網(wǎng)段訪問R3的Telnet服務(wù)；（2）拒絕PC0所在網(wǎng)段pingServer0（0）；（3）拒絕PC0所在網(wǎng)段訪問Server0（0）的Web服務(wù)和FTP服務(wù)；（4）單向ping限制：不允許PC1pingServer0，但允許Server0pingPC1。

1.清空R3上原來的ACL配置，命令如下：[R3]interfaceGigabitEthernet0/0[R3-GigabitEthernet0/0]undopacket-filter2001outbound[R3-GigabitEthernet0/0]quit[R3]undotelnetserveracl[R3]undoaclallAllIPv4ACLswillbedeleted.Continue?[Y/N]:y

2.R1上的ACL配置，命令如下：[R1]aclnumber3000[R1-acl-ipv4-adv-3000]rulepermittcpsource55destination0destination-porteq23//此命令定義了ACL3000的第一條規(guī)則，permit表示符合條件則允許通過；tcp表示根據(jù)tcp協(xié)議的端口號來進(jìn)行是否符合條件的判斷；條件的前半部分55省略了源端口號，指的是“55+任意源端口號”，表示PC2所在網(wǎng)段作為源IP，且對源端口號不做限制；條件的后半部分“destination0destination-porteq23”指的是目標(biāo)地址為，即R3的IP地址，且目標(biāo)TCP端口號等于23，即telnet服務(wù)[R1-acl-ipv4-adv-3000]ruledenytcpsource55destination0destination-porteq23//此命令定義了ACL3000的第二條規(guī)則，此處目標(biāo)地址是R3另一個(gè)接口的地址[R1-acl-ipv4-adv-3000]ruledenytcpsourceanydestination0destination-porteq23//此命令定義了ACL3000的第三條規(guī)則，拒絕了任意源IP地址、任意源端口號訪問地址、且TCP端口號等于23的目標(biāo)[R1-acl-ipv4-adv-3000]ruledenytcpsourceanydestination0destination-porteq23//此命令定義了ACL3000的第四條規(guī)則，此處目標(biāo)地址是R3另一個(gè)接口的地址

以上4條ACL100的列表項(xiàng)實(shí)現(xiàn)了只允許PC2所在網(wǎng)段訪問R3的telnet服務(wù)。[R1-acl-ipv4-adv-3000]ruledenyicmpsource55destination00//此命令定義了ACL3000的第五條規(guī)則，拒絕PC0所在網(wǎng)段（）pingServer0（0）[R1-acl-ipv4-adv-3000]ruledenytcpsource55destination00destination-porteq80//此命令定義了ACL3000的第六條規(guī)則，拒絕PC0所在網(wǎng)段（）訪問Server0（0）的tcp80端口，即Web服務(wù)[R1-acl-ipv4-adv-3000]ruledenytcpsource55destination00destination-porteq21//此命令定義了ACL3000的第七條規(guī)則，拒絕PC0所在網(wǎng)段（）訪問Server0（0）的tcp21端口，即FTP服務(wù)的控制通道[R1-acl-ipv4-adv-3000]ruledenytcpsource55destination00destination-porteq20//此命令定義了ACL3000的第八條規(guī)則，拒絕PC0所在網(wǎng)段（）訪問Server0（0）的tcp20端口，即FTP服務(wù)的數(shù)據(jù)通道[R1-acl-ipv4-adv-3000]ruledenyicmpsource00destination00icmp-typeecho//此命令定義了ACL100的第九個(gè)列表項(xiàng)，作用是不允許PC1（0）pingServer0（0），但不拒絕Server0pingPC1。Ping成功意味著去到了目標(biāo)并且成功返回，即有去有回。其中icmp協(xié)議的echo表示去的過程，即源向目標(biāo)發(fā)出回顯請求；icmp協(xié)議的echoreply表示回的過程，即目標(biāo)向源發(fā)回的回顯答復(fù)以上3條ACL3000的列表項(xiàng)拒絕了PC0所在網(wǎng)段訪問Server0（0）的Web服務(wù)和FTP服務(wù)。還有一條默認(rèn)ACL條目排在最后，內(nèi)容是允許所有源訪問所有目標(biāo)的IP協(xié)議。

3.在R1的G0/2接口下應(yīng)用ACL，命令如下：[R1]interfaceGigabitEthernet0/2[R1-GigabitEthernet0/2]packet-filter3000outbound//在接口下應(yīng)用ACL，定義好的ACL只有被應(yīng)用了才會(huì)生效4.分別在PC1和PC0上訪問R3，比較訪問效果。方法如下：（1）在PC0上通過telnet遠(yuǎn)程管理R3，命令如下：C:\DocumentsandSettings\Administrator>telnet返回提示“正在連接到...不能打開到主機(jī)的連接，在端口23:連接失敗”。

（2）在PC1上通過telnet遠(yuǎn)程管理R3，命令如下：C:\DocumentsandSettings\Administrator>telnetPassword://輸入密碼123@h3c<R3>quit//連接成功，用quit命令返回

5.驗(yàn)證“拒絕PC0所在網(wǎng)段pingServer0（0）”，方法如下：

（1）PC0pingServer0（0）測試，命令如下：C:\DocumentsandSettings\Administrator>ping0Requesttimedout.//無法ping通

（2）PC0ping測試，命令如下：C:\DocumentsandSettings\Administrator>pingReplyfrom:bytes=32time=20msTTL=253//可以ping通

6.驗(yàn)證“拒絕PC0所在網(wǎng)段訪問Server0（0）的Web服務(wù)和FTP服務(wù)”，方法如下：

（1）如圖9-11所示，在Server0上搭建Web服務(wù)和FTP服務(wù)。圖9-11在Server0上搭建Web服務(wù)和FTP服務(wù)

（2）如圖9-12所示，在Server0上創(chuàng)建用戶user1，為其設(shè)置密碼，用于FTP連接。圖9-12在Server0上創(chuàng)建用戶user1

（3）如圖9-13所示，在PC0上訪問Server0的Web服務(wù)，無法訪問。

（4）如圖9-14所示，在PC1上訪問Server0的Web服務(wù)，可以訪問。圖9-13PC0訪問Server0的Web服務(wù)圖9-14PC1訪問Server0的Web服務(wù)

（4）PC0訪問Server0的FTP服務(wù)，命令如下：C:\DocumentsandSettings\Administrator>ftp0>ftp:connect:連接超時(shí)

（5）PC1訪問Server0的FTP服務(wù)，命令如下：C:\DocumentsandSettings\Administrator>ftp0Connectedto0.220MicrosoftFTPServiceUser(0:(none)):user1//輸入用戶名331Passwordrequiredforuser1.Password://輸入密碼230Useruser1loggedin.//成功連接

7.驗(yàn)證“單向ping限制：不允許PC1pingServer0，但允許Server0pingPC1”，方法如下：

（1）PC1pingServer0測試，命令如下：C:\DocumentsandSettings\Administrator>ping0Requesttimedout.//無法ping通

（2）Server0pingPC1測試C:\DocumentsandSettings\Administrator>ping0Replyfrom0:bytes=32time=2msTTL=125//可以ping通謝謝欣賞第9章

網(wǎng)絡(luò)間的訪問控制編著：

秦?zé)鲋耙呀?jīng)實(shí)現(xiàn)了公司總部與分部間、公司各部門間的互聯(lián)互訪，但考慮到網(wǎng)絡(luò)安全的需求，各子網(wǎng)間的互訪需要進(jìn)行一些控制，如禁止公司分部訪問總部的財(cái)務(wù)部門、禁止公司總部的市場部門訪問分部、只允許網(wǎng)絡(luò)管理人員遠(yuǎn)程訪問和管理網(wǎng)絡(luò)設(shè)備等。這些子網(wǎng)間訪問控制的需求可以通過ACL（AccessControlList，訪問控制列表）實(shí)現(xiàn)。ACL是應(yīng)用在路由器接口的指令規(guī)則列表，這些列表可根據(jù)數(shù)據(jù)包的源地址、目的地址、源端口、目的端口等信息，控制路由器放行這些數(shù)據(jù)包還是攔截這些數(shù)據(jù)包，達(dá)到對子網(wǎng)間訪問控制的目的。9.1標(biāo)準(zhǔn)和基礎(chǔ)ACL1.標(biāo)準(zhǔn)ACL也叫基本ACL，它只根據(jù)報(bào)文的源IP地址來允許或拒絕數(shù)據(jù)包，不考慮目的地址、端口等信息。2.ACL創(chuàng)建好后，需要在接口上應(yīng)用才會(huì)生效。在接口應(yīng)用ACL時(shí)，要指明是應(yīng)用在路由器的入方向還是出方向上。對于進(jìn)入路由器的數(shù)據(jù)包，路由器會(huì)先檢查入方向的ACL，只有ACL允許通行才查詢路由表；對于從路由器外出的數(shù)據(jù)包則先查詢路由表，明確出接口后才查看出方向的ACL?？梢姲袮CL應(yīng)用到入站接口比應(yīng)用到出站接口效率更高。3.應(yīng)用ACL時(shí)，還要考慮應(yīng)用到哪臺(tái)路由器上更好。由于標(biāo)準(zhǔn)ACL只能根據(jù)源地址過濾數(shù)據(jù)包，為了避免過早拒絕導(dǎo)致拒絕范圍被擴(kuò)大，標(biāo)準(zhǔn)ACL應(yīng)該應(yīng)用到離目的地最近的路由器上。4.ACL被應(yīng)用在路由器接口的入或出方向后，方向一致的數(shù)據(jù)包流經(jīng)接口時(shí)，就會(huì)被從ACL的第一個(gè)表項(xiàng)開始、自上而下的進(jìn)行檢查，一旦當(dāng)前被檢查的數(shù)據(jù)包匹配某一表項(xiàng)的條件，就停止對后續(xù)表項(xiàng)的檢查，并執(zhí)行當(dāng)前表項(xiàng)的動(dòng)作。動(dòng)作有兩個(gè)，一個(gè)是允許通過permit，另一個(gè)的拒絕通過deny。9.1.1思科設(shè)備配置標(biāo)準(zhǔn)ACL

思科設(shè)備規(guī)定了一條默認(rèn)表項(xiàng)，會(huì)自動(dòng)添加到所有ACL表項(xiàng)的后面，內(nèi)容是拒絕所有數(shù)據(jù)包通過，即denyany，若當(dāng)前數(shù)據(jù)包與之前的ACL表項(xiàng)都不匹配，就會(huì)被拒絕通過。思科設(shè)備的標(biāo)準(zhǔn)ACL編號是1~99。

在PacketTracer中搭建如圖9-1所示拓?fù)洌ㄟ^配置標(biāo)準(zhǔn)ACL實(shí)現(xiàn)只允許PC0訪問路由器R1、R2、R3的Telnet服務(wù)；拒絕PC1所在網(wǎng)段訪問Server0（0）。圖9-1思科設(shè)備配置標(biāo)準(zhǔn)ACL的拓?fù)?/p>

1.各路由器的基本配置，命令如下：R1(config)#interfacegigabitEthernet0/0//R1的配置R1(config-if)#ipaddressR1(config-if)#noshutdownR1(config-if)#exitR1(config)#interfacegigabitEthernet0/1R1(config-if)#ipaddressR1(config-if)#noshutdownR1(config-if)#exitR1(config)#interfaceserial0/0/0R1(config-if)#ipaddress52R1(config-if)#noshutdownR2(config)#interfaceSerial0/0/0//R2的配置R2(config-if)#ipaddress52R2(config-if)#noshutdownR2(config-if)#exitR2(config)#interfaceserial0/0/1R2(config-if)#ipaddress52R2(config-if)#noshutdownR3(config)#interfaceserial0/0/0//R3的配置R3(config-if)#ipaddress52R3(config-if)#noshutdownR3(config-if)#exitR3(config)#interfacegigabitEthernet0/0R3(config-if)#ipaddressR3(config-if)#noshutdown

2.配置單區(qū)域OSPF使全網(wǎng)互通，命令如下：R1(config)#routerospf1//R1的配置R1(config-router)#router-idR1(config-router)#network55area0R1(config-router)#network55area0R1(config-router)#networkarea0R2(config)#routerospf1//R2的配置R2(config-router)#router-idR2(config-router)#networkarea0R2(config-router)#networkarea0R3(config)#routerospf1//R3的配置R3(config-router)#router-idR3(config-router)#networkarea0R3(config-router)#network55area03.查看R1、R2、R3的OSPF路由表，命令如下：R1#showiprouteospf//查看R1的OSPF路由表R2#showiprouteospf//查看R2的OSPF路由表R3#showiprouteospf//查看R3的OSPF路由表4.為R1、R2、R3開啟telnet服務(wù)，允許管理員通過密碼“123”對這些設(shè)備進(jìn)行telnet遠(yuǎn)程管理。通過ACL實(shí)現(xiàn)只允許PC0訪問路由器R1、R2、R3的Telnet服務(wù)；拒絕PC1所在網(wǎng)段訪問Server0（0）。命令如下：R1(config)#access-list1permithost0//為R1定義ACL1的第一個(gè)表項(xiàng)，允許PC0通過，默認(rèn)表項(xiàng)“拒絕所有”將自動(dòng)添加在最后，成為ACL1的第二個(gè)表項(xiàng)R1(config)#linevty04//進(jìn)入0~4這五個(gè)遠(yuǎn)程虛擬終端的配置界面R1(config-line)#access-class1in//將ACL1應(yīng)用在遠(yuǎn)程連接的入方向，此處access-class命令只對標(biāo)準(zhǔn)ACL有效R1(config-line)#password123//遠(yuǎn)程連接驗(yàn)證時(shí)的密碼R1(config-line)#login//遠(yuǎn)程連接時(shí)需要密碼驗(yàn)證R2(config)#access-list1permithost0//為R2定義ACL1第一個(gè)表項(xiàng)，允許PC0通過，默認(rèn)表項(xiàng)“拒絕所有”將自動(dòng)添加在最后，成為ACL1的第二個(gè)表項(xiàng)R2(config)#linevty04R2(config-line)#access-class1in//將ACL1應(yīng)用在遠(yuǎn)程連接的入方向R2(config-line)#password123R2(config-line)#loginR3(config)#access-lis