前言
访问控制列表(Access Control List,简称ACL)是根据报文字段对报文进行过滤的一种安全技术。访问控制列表通过过滤报文达到流量控制、攻击防范以及用户接入控制等功能,在现实中应用广泛。ACL根据功能的不同分为标准ACL和扩展ACL。标准ACL只能过滤报文的源IP地址;扩展ACL可以过滤源IP、目的IP、协议类型、端口号等。ACL的配置主要分为两个步骤:(1)根据需求编写ACL;(2)将ACL应用到路由器接口的某个方向。
第一部分:ACL理论知识
1.ACL如何定义规则
●读取第三层(ICMP、IP)、第四层(TCP、UDP)包头信息
●访问控制列表利用四个元素定义规则:
第三层:源地址、目标地址
第四层:源端口、目标端口
2.访问控制列表在接口应用的方向
●入接口:已到达路由器接口的数据包,将被路由器处理(对本机生效)
●出接口:已经过路由器的处理,正离开路由器接口的数据包(对本机无效)
3.访问控制列表的处理数据包过程
顺序匹配执行;隐含的拒绝所有
至少permit一条,否则ACL没有意义
4.两种访问控制列表
●标准访问控制列表:
基于源IP地址过滤数据包
标准访问控制列表的访问控制列表号是2000-2999
●扩展访问控制列表:
基于源IP地址、目的IP地址、指定协议、端口和标志来过滤数据包
扩展访问控制列表的访问控制列表号是3000-3999
第二部分:ACL实验
需求:
1.全网互通
2.用ACL标准列表禁止vlan10和vlan20通信
3.用ACL扩展列表禁止AR1访问ftp访问器
1.实现全网互通
二层交换机:
连接4台PC用access,向上到路由器配置trunk
路由器R1配置:
路由器R2配置:
现在已经实现了全网互通。
2.用ACL标准列表禁止vlan10和vlan20通信
写列表:
靠近目标处接口(出)调用列表:
现在vlan10和vlan20无法通信
3.用ACL扩展列表禁止AR1访问ftp访问器
开启服务器中的ftp配置,现在R1中可以访问ftp服务器
在R2上配置ACL
接口(入)下调用
这时R1无法访问ftp服务器
