用訪問控制列表(ACL)實現包過濾

                                      　　　　　　　　   用訪問控制列表(ACL)實現包過濾

 

 

一.ACL概述

1.ACL（Access Control List,訪問控制列表）是用來實現數據包識別功能的

2.ACL可以應用於諸多方面

　　a>.b包過濾防火牆功能；

　　b>.NAT（Network Address Translation,網絡地址轉換）；

　　c>.QoS（Quality of Service,服務質量）的數據分類；

　　d>.路由策略和過濾

　　e>.按需撥號

 

二.ACL包過濾原理

1.基於ACL的包過濾技術

　　a>.對進入的數據包逐個過濾，丟棄或允許通過；

　　b>.ACL應用於接口上，每個接口的出入雙向分別過濾；

　　c>.僅當數據包過濾經過一個接口是時，才會被此接口的此方向的ACL過濾；

 

2.入站包過濾工作流程

 

3.出站包過濾工作流程

 

 

4.通配符掩碼

　　a>.通配符掩碼和IP地址結合使用以描述一個地址范圍；

　　b>.通配符和子網掩碼相思，但含義不同:0表示對應位需要比較，1表示對應為不需要比較。

 

5. 通配符掩碼的應用示例

 

三.ACL分類

1.ACL的標識

a>.利用數字需要標識訪問控制列表；

詳細介紹：

　　　　1>.標准2000-2999：檢查數據包的源，根據數據包的源IP指定規則，允許或拒絕的是整個數據包的IP；(屬於基本ACL)

　　　　2>.擴展3000-3999：根據報文的源IP地址信息，目的IP地址信息，IP承載的協議類型，協議的特性等三，四層信息指定規則；(屬於高級ACL)

　　　　3>.二層ACL 4000-4999：根據報文的源MAC地址，目的MAC地址，VLAN優先級，二層協議類型等二層信息指定規則。

　　　　4>.用戶自定義ACL 5000-5999：可以以報文頭，IP頭等位基准，指定從第幾個字節開始於掩碼進行“與”操作，將報文提取出來的字符串和用戶定義的字符串進行比較，找到匹配的報文。

b>.可以給訪問控制列表指定名稱，便於維護；

 

四.配置ACL包過濾

在做實驗之前，需要將以下拓撲圖兩個機房配置通：

　　

准備環境：要求亦庄機房的PC可以ping同高碑店的pc,我們可以用OSPF來做，配置過程如下：

"亦庄出口路由"配置如下：
[Huawei]sysname yizhuang
[yizhuang]interface Ethernet 0/0/0
[yizhuang-Ethernet0/0/1]ip address 172.30.1.254 24
[yizhuang-Ethernet0/0/1]undo shutdown 
[yizhuang-Ethernet0/0/1]quit 
[yizhuang]interface Ethernet 0/0/1
[yizhuang-Ethernet0/0/1]ip address 10.10.10.1 24
[yizhuang-Ethernet0/0/1]undo shutdown
[yizhuang-Ethernet0/0/1]quit 
[yizhuang]ospf 200
[yizhuang-ospf-200]area 0
[yizhuang-ospf-200-area-0.0.0.0]network 10.10.10.1 0.0.0.0
[yizhuang-ospf-200-area-0.0.0.0]network 172.30.1.0 0.0.0.255
[yizhuang-ospf-200-area-0.0.0.0]quit 
[yizhuang-ospf-200]quit 

"高碑店出口路由"配置如下：
[Huawei]sysname gaobeidian
[gaobeidian]interface Ethernet 0/0/0
[gaobeidian-Ethernet0/0/0]ip address 192.168.1.254 24
[gaobeidian-Ethernet0/0/0]undo shutdown
[gaobeidian]interface Ethernet 0/0/1
[gaobeidian-Ethernet0/0/1]ip address 10.10.10.2 24
[gaobeidian-Ethernet0/0/1]undo shutdown 
[gaobeidian-Ethernet0/0/1]quit 
[gaobeidian]ospf 100
[gaobeidian-ospf-100]area 0
[gaobeidian-ospf-100-area-0.0.0.0]network 10.10.10.2 0.0.0.0
[gaobeidian-ospf-100-area-0.0.0.0]network 192.168.1.0 0.0.0.255
[gaobeidian-ospf-100-area-0.0.0.0]quit 

PC>ipconfig

Link local IPv6 address...........: fe80::5689:98ff:fe15:18c0
IPv6 address......................: :: / 128
IPv6 gateway......................: ::
IPv4 address......................: 172.30.1.1
Subnet mask.......................: 255.255.255.0
Gateway...........................: 172.30.1.254
Physical address..................: 54-89-98-15-18-C0
DNS server........................:

PC>
PC>ping 192.168.1.1

Ping 192.168.1.1: 32 data bytes, Press Ctrl_C to break
From 192.168.1.1: bytes=32 seq=1 ttl=126 time=62 ms
From 192.168.1.1: bytes=32 seq=2 ttl=126 time=62 ms
From 192.168.1.1: bytes=32 seq=3 ttl=126 time=32 ms
From 192.168.1.1: bytes=32 seq=4 ttl=126 time=62 ms
From 192.168.1.1: bytes=32 seq=5 ttl=126 time=31 ms

--- 192.168.1.1 ping statistics ---
  5 packet(s) transmitted
  5 packet(s) received
  0.00% packet loss
  round-trip min/avg/max = 31/49/62 ms

PC>

 

需求一：要求亦庄機房pc無法ping通高碑店機房pc.

我們在離高碑店機房pc的上聯路由或者交換機上做配置即可:

華為機器配置如下：

[gaobeidian]acl 2000 #定義基本策略
[gaobeidian-acl-basic-2000]rule 0 deny source 172.30.1.1 0.0.0.0  #寫一條拒絕的規則
[gaobeidian-acl-basic-2000]quit 
[gaobeidian]traffic classifier deny_icmp #創建策略
[gaobeidian-classifier-deny_icmp]if-match acl 2000   #和條件綁定
[gaobeidian-classifier-deny_icmp]quit 
[gaobeidian]traffic behavior deny #創建一個策略的動作，
[gaobeidian-behavior-deny]quit 
[gaobeidian]traffic policy xianzhi  #創建一個策略組
[gaobeidian-trafficpolicy-xianzhi]classifier deny_icmp behavior deny #關聯策略和動作
[gaobeidian-trafficpolicy-xianzhi]quit 
[gaobeidian]interface Ethernet 0/0/1
[gaobeidian-Ethernet0/0/1]traffic-policy xianzhi inbound #在相應的如接口調用策略組

 H3C配置如下：（你會發現這2個差距並不是很大，原理都是一樣的）

firewall enable #啟用防火牆
firewall default permit  #設置默認規則為允許
acl number 2000 
rule 0 deny source 172.30.1.1 0.0.0.0
quit
interface Ethenet 0/0/1
firewall packer-filter 2000 inbound #綁定策略

 

 實驗測試結果如下：

PC>ping 192.168.1.1

Ping 192.168.1.1: 32 data bytes, Press Ctrl_C to break
From 192.168.1.1: bytes=32 seq=1 ttl=126 time=93 ms
From 192.168.1.1: bytes=32 seq=2 ttl=126 time=109 ms
From 192.168.1.1: bytes=32 seq=3 ttl=126 time=93 ms
From 192.168.1.1: bytes=32 seq=4 ttl=126 time=62 ms
From 192.168.1.1: bytes=32 seq=5 ttl=126 time=78 ms

--- 192.168.1.1 ping statistics ---
  5 packet(s) transmitted
  5 packet(s) received
  0.00% packet loss
  round-trip min/avg/max = 62/87/109 ms

PC>ping 192.168.1.1

Ping 192.168.1.1: 32 data bytes, Press Ctrl_C to break
Request timeout!
Request timeout!
Request timeout!
Request timeout!
Request timeout!

--- 192.168.1.1 ping statistics ---
  5 packet(s) transmitted
  0 packet(s) received
  100.00% packet loss

PC>ipconfig

Link local IPv6 address...........: fe80::5689:98ff:fe80:32ad
IPv6 address......................: :: / 128
IPv6 gateway......................: ::
IPv4 address......................: 172.30.1.1
Subnet mask.......................: 255.255.255.0
Gateway...........................: 172.30.1.254
Physical address..................: 54-89-98-80-32-AD
DNS server........................:

PC>

 注意：

　　可能ENSP模擬的路由器在寫ACL上存在BUG,我這里建議更換交換機測試，或者在路由器和電腦之前加個交換機，在交換機上做策略也好使，已經實測。

 

需求二.使得亦庄路由器無法telnet高碑店路由器.

 拓撲圖如下：

配置過程如下：

#高碑店路由器配置：
[gaobeidain]telnet server enable 
[gaobeidain]user-interface vty 0 4
[gaobeidain-ui-vty0-4]authentication-mode none 
[gaobeidain-ui-vty0-4]user privilege level 3


#亦庄路由器測試：
<Huawei>telnet 10.10.10.2
Trying 10.10.10.2 ...
Press CTRL+K to abort
Connected to 10.10.10.2 ...

Info: The max number of VTY users is 10, and the number
      of current VTY users on line is 1.
      The current login time is 2017-04-19 00:15:06.
<gaobeidain>

“三層交換機”配置如下：
[Huawei]acl number 3000
[Huawei-acl-adv-3000]rule 0 deny tcp source 10.10.10.1 0 destination 10.10.10.2 0 destination-port eq 
telnet  #拒絕訪問10.10.10.2的路由器的telnet功能
[Huawei-acl-adv-3000]quit 
[Huawei]traffic classifier deny_telnet
[Huawei-classifier-deny_telnet]if-match acl 3000
[Huawei-classifier-deny_telnet]quit 
[Huawei]traffic behavior deny #定義一個動作
[Huawei-behavior-deny]quit  #動作內容為空，直接退出即可
[Huawei]traffic policy xianzhi
[Huawei-trafficpolicy-xianzhi]classifier deny_telnet behavior deny
[Huawei-trafficpolicy-xianzhi]quit 

 

 

 拓撲圖如下：

准備環境：

“魯谷機房”配置如下：
[Huawei]sysname lugu
[lugu]interface Ethernet 0/0/1
[lugu-Ethernet0/0/1]ip address 10.10.10.2 24
[lugu-Ethernet0/0/1]quit 
[lugu]interface LoopBack 1
[lugu-LoopBack1]ip address 192.168.1.1 24
[lugu-LoopBack1]quit 
[lugu]ip route-static 0.0.0.0 0.0.0.0 10.10.10.1
[lugu]user-interface vty 0 4
[lugu-ui-vty0-4]authentication-mode none 
[lugu-ui-vty0-4]user privilege level 3


"策略交換機"配置如下：
[Huawei]sysname celue
[celue]interface Ethernet 0/0/1
[celue-Ethernet0/0/1]port link-type trunk 
[celue-Ethernet0/0/1]quit 


“兆維機房”配置如下：
[Huawei]sysname zhaowei
[zhaowei]interface LoopBack 1
[zhaowei-LoopBack1]ip address 172.30.1.1 24
[zhaowei-LoopBack1]quit 
[zhaowei]interface Ethernet 0/0/1
[zhaowei-Ethernet0/0/1]ip address 10.10.10.1 24
[zhaowei-Ethernet0/0/1]undo shutdown 
[zhaowei-Ethernet0/0/1]quit 
[zhaowei]ip route-static 0.0.0.0 0.0.0.0 10.10.10.2
<zhaowei>telnet 192.168.1.1  #鏈接魯谷機房pc
Trying 192.168.1.1 ...
Press CTRL+K to abort
Connected to 192.168.1.1 ...

Info: The max number of VTY users is 10, and the number
      of current VTY users on line is 1.
      The current login time is 2017-04-19 11:11:19.
<lugu>

 

策略限制如下：

 

“魯谷機房”配置如下：

[lugu]acl 3000
[lugu-acl-adv-3000]rule 0 deny tcp source 172.30.1.1 0 

destination 192.168.1.1 0 destination-port eq
 telnet  #定義一條拒絕telnet的策略
[lugu]user-interface vty 0 4
[lugu-ui-vty0-4]authentication-mode none #驗證方式為空
[lugu-ui-vty0-4]acl 3000 inbound #綁定策略

 

測試結果如下：

<zhaowei>telnet 192.168.1.1
Trying 192.168.1.1 ...
Press CTRL+K to abort
Error: Failed to connect to the remote host.
<zhaowei>

 

 

以上操作用的是ENSP配置，如果要配置H3C的話請參考：

實驗十 配置ACL包過濾

【實驗目的】

l  掌握訪問控制列表的簡單的工作原理

l  掌握訪問控制列表的基本配置方法

l  掌握訪問控制列表的常用配置命令

【實驗要求】

分別使用ACL禁止PC1訪問PC2和禁止從PC1到網絡192.168.3.0/24的FTP數據流。

【實驗設備】

路由器兩台、PC機兩台、網線三根、console

【實驗拓撲】

 

【實驗過程】

實驗過程一、配置基本的ACL

1、路由器接口IP地址以及PC機的IP地址規划

設備名稱	接口	IP地址	網關
RT1	G0/0/1	192.168.1.1	--
	G0/0/0	192.168.2.1	--
	looback	1.1.1.1.1/32
RT2	G0/0/0	192.168.2.2	--
	G0/0/1	192.168.3.1	--
	looback	2.2.2.2./32
PC1	--	192.168.1.2	192.168.1.1
PC2	--	192.168.3.2	192.168.3.1

2、使用RIP協議使全網互通（也可以使用OSPF以及靜態路由）

RT1

[RT1]rip

[RT1-rip-1]network 192.168.1.0

[RT1-rip-1]network 192.168.2.0

[RT1-rip-1]quit

[RT1]

RT2

[RT2]rip

[RT2-rip-1]network 192.168.2.0

[RT2-rip-1]network 192.168.3.0

[RT2-rip-1]quit

[RT2]

3、PC1 ping PC2驗證網絡的連通性

 

4、配置ACL並且應用

防火牆功能需要在路由器上啟動后才能生效

[RT1]firewall enable

設置防火牆的默認過濾方式是Permit

[RT1]firewall default permit

配置基本ACL，並指定ACL序號

[RT1]acl number 2000

定義ACL定義規則

[RT1-acl-basic-2000]rule deny source 192.168.1.2 0.0.0.0[w1] 

[RT1-acl-basic-2000]quit

進入接口並在接口上應用接口上

[RT1]interface g0/0/1

[RT1-GigabitEthernet0/0/1]firewall packet-filter 2000 inbound[w2] 

[RT1-GigabitEthernet0/0/1]qu

[RT1]

5、PC1 ping PC2測試主機間的連通性，測試結果應該是不可達，如下

 

 

6、查看ACL以及防火牆的狀態和統計

可以看到，有數據報文命中了ACL中定義的額規則。

實驗過程二 配置擴展的ACL

1、PC組網圖和IP地址規划同實驗一基本的ACL

2、配置ACL規則

[RT1]acl number 3000

[RT1-acl-adv-3000]rule deny tcp source 192.168.1.2 0.0.0.0 destination 192.168.3.0 0.0.0.255 destination-port eq ftp  

[RT1-acl-adv-3000]rule permit ip source 192.168.1.2 0.0.0.0 destination 192.168.2.0 0.0.0.255

[RT1-acl-adv-3000]quit

[RT1]interface g0/0/1

[RT1-GigabitEthernet0/0/1]firewall packet-filter 3000 inbound

[RT1-GigabitEthernet0/0/1]quit

[RT1]

3、做完之后銅須門可以自己試一下PC1 ping PC2能否ping通，如果能ping通過則說明什么？

4、在PC2上開啟FTP服務，然后再PC1上使用FTP客戶端軟件連接到PC2，看一下結果是被拒絕還是允許？                 

【思考拓展】

在實驗二高級ACL應用中，可以把ACL應用在RTB上嗎？

---

指定動作是Permit揮着Deny

          制定要匹配的源IP地址范圍

Inbound：過濾接口接收的數據包

          Outbound ：過濾接口轉發的數據包

 

 

 

 

五.ACL包過濾的注意事項