原理概述
訪問控制列表ACL (Access Control L ist)是由permit或 deny語句組成的一系列有順序的規則集合,這些規則根據數據包的源地址、目的地址、源端口、目的端口等信息來描述。ACL規則通過匹配報文中的信息對數據包進行分類,路由設備根據這些規則判斷哪些數據包可以通過,哪些數據包需要拒絕。
按照訪問控制列表的用途,可以分為基本的訪問控制列表和高級的訪問控制列表,基本ACL可使用報文的源IP地址、時間段信息來定義規則,編號范圍為2000〜2999。
一個ACL可以由多條“deny/permit"語句組成,每一條語句描述一條規則,每條規 則有一個Rule-IDoRule-ID可以由用戶進行配置,也可以由系統自動根據步長生成,默 認步長為5, Rule-ID默認按照配置先后順序分配0、5、10、15等,匹配順序按照ACL 的Rule-ID的順序,從小到大進行匹配。
實驗內容
本實驗模擬企業網絡環境,R1為分支機構A 管理員所在IT部門的網關,R2為分支機構A用戶部門的網關,R3為分支機構A 去往總部出口的網關設備,R4為總部核心路由器設備。整網運行OSPF協議,並在區域0 內。企業設計通過遠程方式管理核心網路由器R 4 ,要求只能由R1所連的PC (本實驗使用環回接口模擬)訪問R 4 ,其他設備均不能訪問。
實驗拓撲
實驗編址
實驗步驟
根據實驗編址表進行相應的基本配置,並使用ping命令檢測各直連鏈路的連通性。(其余測試也通過了,在此省略)
搭建OSPF網絡
在所有路由器上運行OSPF協議,通告相應網段至區域0 中。
配置完成之后,在 R1的路由表上查看OSPF路由信息。
路由器R1己經學習到了相關網段的路由條目,測試R1的環回口與R4的環回口間的連通性。
配置基本ACL控制訪問
在總部核心路由器R4上配置Telnet相關配置,配置用戶密碼為huawei
配置完成后,嘗試在IT部門網關設備R1上建立Telnet連接。
可以看到,R1可以成功登錄R4。再嘗試在普通員工部門網關設備R2上建立連接。
可以發現,只要是路由可達的設備,並且擁有Telnet的密碼,都可以成功訪問核心 設備R4。這顯然是極為不安全的。通過配置標准ACL來實現訪問過濾,禁止普通員工設備登錄。
基本的ACL可以針對數據包的源IP地址進行過濾,在 R4上使用acl命令創建一個編號型ACL,基本ACL的范圍是2000〜2999。
接下來在ACL視圖中,使用rule命令配置ACL規則,指定規則1D為5 , 允許數據包源地址為1.1.1.1的報文通過,反掩碼為全0 , 即精確匹配。
使用rule命令配置第二條規則,指定規則ID為10 ,拒絕任意源地址的數據包通過。
在上面的ACL配置中,第一條規則的規則ID定義為5 , 並不是1:第二條定義為10 ,也不與5連續,這樣配置的好處是能夠方便后續的修改或插入新的條目。並且在配置的時候也可以不采用手工方式指定規則ID, ACL會自動分配規則ID ,第一條為5 ,第二條為1 0 ,第三條為1 5 ,依此類推,即默認步長為5 , 該參數也是可以修改的。
ACL配置完成后,在 VTY中調用。使用inbound參數,即在R4的數據入方向 上調用。
配置完成后,使用R1的環回口地址1.1.1.1測試訪問4.444的連通性。
發現沒問題,然后嘗試在R2上訪問R4。
可以觀察到,此時R2已經無法訪問4 4 4 .4 ,即上述ACL配置己經生效。
ACL的執行是有順序性的,如果規則ID小的規則已經被命中,並且執行了允許或者拒絕的動作,那么后續的規則就不再繼續匹配。
在使用display acl all命令可以查看設備上所有的訪問控制列表。
