一、 实验目的
1.了解什么是标准的 ACl; 2.了解标准 ACL 不同的实现方法;
二、 应用环境
ACL (Access Control Lists)是交换机实现的一种数据包过滤机制,通过允许或拒绝特定的数据包进出网络,交换机可以对网络访问进行控制,有效保证网络的安全运行。用户可以基于报文中的特定信息制定一组规则(rule),每条规则都描述了对匹配一定信息的数据包所采取的动作:允许通过(permit)或拒绝通过(deny)。用户可以把这些规则应用到特定交换机端口的入口或出口方向,这样特定端口上特定方向的数据流就必须依照指定的 ACL 规则进出交换机。通过 ACL,可以限制某个 IP 地址的 PC 或者某些网段的 PC 的上网活动。用于网络管理。
三、 实验设备
1. DCRS-5650-28C交换机2 台 2. PC 机 2 台
四、 实验拓扑
DCRS-5650-01 PC2 Vlan20 Vl10Vl10DCRS-5650-02 PC1 Vlan10 PC1 PC3 Vlan10 Vlan30
五、实验要求
1.在交换机 A 和交换机 B 上分别划分两个基于端口的 VLAN见表:
交 换 机 Vlan 10 交换机A 20 100 交换机B 30 101 端口成员 1-8 9-46 24 1-8 24 2.交换机A和B通过24 口级联
3.配置交换机A和B各vlan虚拟借口的ip地址见表:
Vlan10 192.168.10.1 Vlan20 192.168.20.1 Vlan30 192.168.30.1 Vlan100 192.168.100.1 Vlan101 192.168.100.2 4.PC1-PC2的网络设置见表:
设 备 PC1 PC2 Ip地址 192.168.10.101 192.168.20.101 Gateway 192.168.10.1 192.168.20.1 mask 255.255.255.0 255.255.255.0 5.验证
PC1 和 PC2 都通过交换机 A 连接到 交换机B上 1.不配置 ACL,两台 PC 都可以 ping通vlan30
2.配置 ACL 后,PC1 和 PC2 的 IP ping不通vlan30,更改了 IP 地址后才可以上网。
若实验结果和理论相符,则本实验完成
六、实验步骤
1.交换机恢复出厂 (以交换机A为例,交换机B配置步骤同A)
DCS-5650-28C>enable
DCS-5650-28C#set default Are you sure? [Y/N] = y !是否确认? DCS-5650-28C#write
DCS-5650-28C#reload Process with reboot? [Y/N] y
2.配置交换机VlAN信息
交换机A:创建 vlan10和 vlan20、 vlan100 和并给相应vlan添加端口。
switch-RSA(Config)#vlan 10
switch-RSA(Config-Vlan10)#switchport interface Ethernet 0/0/1-8 switch-RSA(Config-Vlan10)#exit switch-RSA(Config)#vlan 20
switch-RSA(Config-Vlan20)#switchport interface ethernet 0/0/9-16 switch-RSA(Config-Vlan20)#exit switch-RSA(Config)#vlan 100
switch-RSA(Config-Vlan100)#switchport interface ethernet 0/0/24 Set the port Ethernet1/24 access vlan 100 successfully switch-RSA(Config-Vlan100)#exit
验证配置:
switch-RSA#show vlan
交换机B:创建 vlan 30和 vlan 40、 vlan101 和并给相应vlan添加端口。(配置命令与交换机A配置类似)如图:
验证配置:
switch-RSA#show vlan
3.配置交换机各vlan虚接口的IP地址
注意:若要配置多个IP时,必须开启三层转发功能(默认情况下此功能关闭,需要先开启此功能)
switch-RSA((Config)#l3 enable (此命令不能自动补全,需手动输入)
分别给交换机A的Vlan 10 、Vlan 20、Vlan 100配置IP地址 switch-RSA(Config)#int vlan 10 switch-RSA(Config-If-Vlan10)#ip 255.255.255.0
switch-RSA(Config-If-Vlan10)#no shut switch-RSA(Config-If-Vlan10)#exit switch-RSA(Config)#int vlan 20
switch-RSA(Config-If-Vlan20)#ip address 192.168.20.1 255.255.255.0 switch-RSA(Config-If-Vlan20)#no shut switch-RSA(Config-If-Vlan20)#exit switch-RSA(Config)#int vlan 100 switch-RSA(Config-If-Vlan100)#ip 255.255.255.0
switch-RSA(Config-If-Vlan100)#no shut switch-RSA(Config-If-Vlan100)#exit
address
192.168.100.1
address
192.168.10.1
给交换机B的Vlan 30 、Vlan 40、Vlan 101配置IP地址(配置方式同交换机A)如图:
4.配置静态路由 交换机A:
switch-RSA(Config)#ip route 0.0.0.0 0.0.0.0 192.168.100.2 验证配置:
switch-RSA(Config)#show ip route
交换机B:
Switch-RSB: ip route 0.0.0.0 0.0.0.0 192.168.100.1 验证配置:
5.在交换机B的VLan30端口上配置端口的回环测试功能,保证vlan30 可以ping通
6.验证(本验证是基于在没有配置ACL之前进行的)
PC PC1:192.168.10.101 PC2:192.168.20.101 端口 0/0/1 0/0/9 Ping 192.168.100.1 192.168.200.1 结果 通 通 原因 7.配置访问控制表
方法 1:配置命名标准 IP 访问列表 (其中test为指定名称) switch-RSA(Config)#ip access-list standard test
switch-RSA(Config-Std-Nacl-test)#deny192.168.100.101 0..0.0.255 switch-RSA(Config-Std-Nacl-test)#deny host-source 192.168.20.101 switch-RSA(Config-Std-Nacl-test)#exit switch-RSA(Config)# 验证配置:
方法 2: 配置数字标准 IP 访问列表 (其中11为指定编号) switch-RSA(Config)#access-list 11 deny 192.168.100.11 0.0.0.255 switch-RSA(Config)#access-list 11 deny 192.168.200.11 0.0.0.0
8.开启访问控制列表功能,默认动作为全部开启 switch-RSA(Config)#firewall enable switch-RSA(Config)#firewall default permit (两种方法任选其一)
验证配置:
switch-RSA#show firewall
9.绑定 ACL 到各端口
方式二:(在方式二下的绑定,以11为编号绑定) switch-RSA(Config)#interface ethernet 0/0/1
switch-RSA(Config-Ethernet1/1)#ip access-group 11 in switch-RSA(Config-Ethernet1/1)# exit switch-RSA(Config)#interface ethernet 0/0/9
switch-RSA(Config-Ethernet1/9)#ip access-group 11 in switch-RSA(Config-Ethernet1/9)# exit 验证配置:
switch-RSA#show access-group
方式一:(在方式一下的绑定,以test为名称绑定)
switch-RSA(Config)#interface ethernet 0/0/1
switch-RSA(Config-Ethernet1/1)#ip access-group test in switch-RSA(Config-Ethernet1/1)# exit switch-RSA(Config)#interface ethernet 0/0/9
switch-RSA(Config-Ethernet1/9)#ip access-group test in switch-RSA(Config-Ethernet1/9)# exit 验证略 10.结果
PC PC1:192.168.10.101 PC1:192.168.10.12 PC2:192.168.20.101 PC2:192.168.20.12 端口 0/0/1 0/0/1 0/0/9 0/0/9 Ping 192.168.100.1 192.168.100.1 192.168.200.1 192.168.200.1 结果 不通 不通 不通 通 原因 七、 注 意事项和排错
1、 对 ACL 中的表项的检查是自上而下的,只要匹配一条表项,对
此 ACL 的检查就马上结束。
2、 端口特定方向上没有绑定 ACL 或没有任何 ACL 表项匹配时,才会使用默认规则。
3、 firewall default 命令只对所有端口入口的 IP 数据包有效,对其它类型的包无效。
4、 一个端口可以绑定一条入口 ACL
八、 共同思考
1、 第七步中,为什么 PC1 改变了 IP 地址仍然不能上网;而 PC2 改变了地址就可以上网。
2、 如果 access-list 中包括过滤信息相同但动作矛盾的规则,将会如何?
九、 课后练习
配置“数字标准 IP 访问列表”完成同样的功能。
十、 相关配置命令详解 ACL 配置任务序列
1. 配置 access-list
(1) 配置数字标准 IP 访问列表 (2) 配置数字扩展 IP 访问列表 (3) 配置命名标准 IP 访问列表
a) 创建一个命名标准 IP 访问列表 b) 指定多条 permit 或 deny 规则表项 (4)配置命名扩展IP访问列表
a) 创建一个命名扩展 IP 访问列表
b) 指定多条 permit 或 deny 规则表项 c) 退出访问表配置模式
2.配置包过滤功能
(1)全局打开包过滤功能
(2)配置默认动作(default action)
3. 将 accessl-list 绑定到特定端口的特定方向
配置 access-list
(1)配置数字标准 IP 访问列表
命令 解释 全局配置模式 access-list access-list (3)配置命名标准 IP 访问列表 a. 创建一个命名标准 IP 访问列表 命令 全局配置模式 ip access standard b. 指定多条 permit 或 deny 规则 命令 命名标准 IP 访问列表配置模式 [no] {deny {{ (4)配置命名扩展 IP 访问列表 a. 创建一个命名扩展 IP 访问列表 命令 解释 全局配置模式 ip access extended (c)退出命名扩展 IP 访问列表配置模式 命令 命 Exit 、 配置包过滤功能 (1)全局打开包过滤功能 命令 全局配置模式 firewall enable 解释 全局打开包过滤功能。 解释 退出命名扩展 IP 访问列表配置模式。 firewall disable (2)配置默认动作(default action) 全局关闭包过滤功能。 命令 解释 全局配置模式 firewall default permit 设置默认动作为 permit。 firewall default deny 设置默认动作为 deny。 (3)将 accessl-list 绑定到特定端口的特定方向 命令 解释 物理接口配置模式 ip access-group 1) access-list(extended) 命令 : access-list {host-source access-list {host-source {host-source {host-destination access-list {host-source {host-destination access-list {host-destination 功能:创建一条匹配特定 IP 协议或所有 IP 协议的数字扩展 IP 访问规则;如果此编号数字扩展访问列表不存在,则创建此访问列表;本命令的 no 操作为删除一条数字扩展 IP 访问列表。 参数: igmp 的类型; 先级,0-7; 命令模式:全局配置模式 缺省情况:没有配置任何的访问列表。 使用指南:当用户第一次指定特定 项。 举例:创建编号为 110 的数字扩展访问列表。拒绝 icmp 报文通过,允许目的地址为 192.168.0.1目的端口为 32 的 udp 包通过。 Switch(Config)#access-list any-destination Switch(Config)#access-list 110 permit udp any-source host-destination 192.168.0.1 dPort 32 access-list(standard) 命令:access-list no access-list 功能:创建一条数字标准 IP 访问列表,如果已有此访问列表,则增加一条 rule 表项;本命 令的 no 操作为删除一条数字标准 IP 访问列表 参数: 为源 IP 的反掩码,格式为点分十进制。 命令模式:全局配置模式 缺省情况:没有配置任何的访问列表。 使用指南:当用户第一次指定特定 110 deny icmp any-source 项。 举例:创建一条编号为 20 的数字标准 IP 访问列表,允许源地址为 10.1.1.0/24 的数据包通过, 拒绝其余源地址为 10.1.1.0/16 的数据包通过。 Switch(Config)#access-list 20 permit 10.1.1.0 0.0.0.255 Switch(Config)#access-list 20 deny 10.1.1.0 0.0.255.25 firewall 命令:firewall { enable | disable} 功能:允许防火墙起作用或禁止防火墙起作用。 参数:enable 表示允许防火墙起作用;disable 表示禁止防火墙起作用。 缺省情况:缺省为防火墙不起作用。 命令模式:全局配置模式 使用指南:在允许和禁止防火墙时,都可以设置访问规则。但只有在防火墙起作用时才可以将规则应用至特定端口的特定方向上。使防火墙不起作用后将删除端口上绑定的所有 ACL。 举例:允许防火墙起作用。 Switch(Config)#firewall enable firewall default 命令:firewall default {permit | deny} 功能:设置防火墙默认动作。 参数: permit 表示允许数据包通过;deny 表示拒绝数据包通过。 命令模式:全局配置模式 缺省情况:缺省动作为 permit。 使用指南:此命令只影响端口入口方向的 IP 包,其余情况下数据包均可通过交换机。 举例:设置防火墙默认动作为拒绝数据包通过。 Switch(Config)#firewall default den ip access extended 命令:ip access extended 功能:创建一条命名扩展 IP 访问列表;本命令的 no 操作为删除此命名扩展 IP 访问列表(包 含所有表项)。 参数: 命令模式:全局配置模式 缺省情况:没有配置任何的访问列表。 使用指南:第一次以调用此命令后,只是创建一个空的命名访问列表,其中不包含任何表项 举例:创建一条名为 tcpFlow 的命名扩展 IP 访问列表。 Switch(Config)#ip access-list extended tcpFlow ip access standard 命令:ip access standard 功能:创建一条命名标准 IP 访问列表;本命令的 no 操作为删除此命名标准 IP 访问列表(包 含所有表项)。 参数: 缺省情况:没有配置任何的访问列表。 使用指南:第一次以调用此命令后,只是创建一个空的命名访问列表,其中不包含任何表项。 举例:创建一条名为 ipFlow 的命名标准 IP 访问列表。 Switch(Config)#ip access-list standard ipFlow ip access-group 命令:ip access-group 功能:在端口的入口方向上应用一条 access-list;本命令的 no 操作为删除绑定在端口上的 access-list。 参数: 使用指南:一个端口只可以绑定一条入口规则,目前不支持在出口方向应用 Access-list。 举例:将名为 aaa 的访问列表绑定到端口的入口方向上。 Switch(Config-Ethernet1/1)#ip access-group aaa in permit | deny(extended) 命 令 : [no] {deny | permit} icmp {{ [ [no] {deny | permit} igmp {{ [