摘要:
訪問控制列表ACL (Access Control L ist)是由permit或 deny語句組成的一系列有順序的規則集合,這些規則根據數據包的源地址、目的地址、源端口、目的端口等信息
來描述。ACL規則通過匹配報文中的信息對數據包進行分類,路由設備根據這些規則判 斷哪些數據包可以通過,哪些數據包,需要拒絕。
按照訪問控制列表的用途,可以分為基本的訪問控制列表和高級的訪問控制列表, 基本ACL可使用報文的源IP地址、時間段信息來定義規則,編號范圍為2000〜 2999
一個ACL可以由多條“deny/permit"語句組成,每一條語句描述一條規則,每條規 則有一個Rule-ID。Rule-ID可以由用戶進行配置,也可以由系統自動根據步長生成,默認步長為5,
Rule-ID默認按照配置先后順序分配0、5、10、15等,匹配順序按照ACL 的Rule-ID的順序,從小到大進行匹配。
實驗場景模擬:
本實驗模擬企業網絡環境,R1為分支機構A 管理員所在IT部門的網關,R2為分支機構A用戶部門的網關,R3為分支機構A 去往總部
出口的網關設備,R4為總部核心路由器設備。整網運行OSPF協議,並在區域0 內。企業設計通過遠程方式管理核心網路由器R4 ,要求
只能由R1所連的PC (本實驗使用環回接口模擬)訪問R 4 ,其他設備均不能訪問。
實驗拓撲:
實驗編址:
實驗步驟:
1. 基本配置
根據實驗編址表進行相應的基本配置,並使用ping命令檢測各直連鏈路的連通性(測試略)。
2. 搭建OSPF網絡
在所有路由器上運行OSPF協議,通告相應網段至區域0中。
配置完成之后,在 R1的路由表上查看OSPF路由信息。
路由器R1己經學習到了相關網段的路由條目,測試R1的環回口與R4的環回口間
的連通性。
通信正常,其他路由器之間測試省略。
3 . 配置基本ACL控制訪問
在總部核心路由器R4上配置Telnet相關配置,配置用戶密碼為huawei。
配置完成后,嘗試在IT部門網關設備R1上建立Telnet連接。
可以觀察到,R1可以成功登錄R4。再嘗試在普通員工部門網關設備R2上建立連接。
這時發現,只要是路由可達的設備,並且擁有Telnet的密碼,都可以成功訪問核心 設備R4。
這顯然是極為不安全的,只要是直連路由就可以進,我們要設置一下acl控制一下,只允許1.1.1.1 訪問服務器
接下來在ACL視圖中,使用rule命令配置ACL規則,指定規則ID 為 5 , 允許數 據包源地址為1.1.1.1的報文通過,反掩碼為全0 , 即精確匹配
使用rule命令配置第二條規則,指定規則ID 為 1 0 ,拒絕任意源地址的數據包 通過。
在上面的ACL配置中,第一條規則的規則ID定義為5 , 並不是1,第二條定義 為 10 ,也不與5連續,這樣配置的好處是能夠方便后續的修改或插入新的條目。並且在配置
的時候也可以不采用手工方式指定規則ID,ACL會自動分配規則ID ,第一條為5 ,第二條為1 0第三條為1 5 ,依此類推,即默認步長為5 , 該步長參數也是可以修改的。
ACL配置完成后,在 VTY中調用。使用inbound參數,即在R4的數據入方向上調用。
配置完成后,使用R1的環回口地址1.1.1.1測試訪問444.4的連通性
發現沒有問題,然后嘗試在R2上訪問R4
可以觀察到,此時R2已經無法訪問4 .4 4 4 ,即上述ACL配置已經生效。
4 . 基本ACL的語法規則
ACL的執行是有順序性的,如果規則ID小的規則已經被命中,並且執行了允許或
者拒絕的動作,那么后續的規則就不再繼續匹配。
在 R4上使用display acl all命令査看設備上所有的訪問控制列表。
以上是目前ACL的所有配置信息,即我們剛添加的兩條
下面使用規則ID 15來添加允許3.3.3.3訪問的規則
配置完成后,嘗試使用R3的3.3.3.3訪問R4。
發現無法訪問。按照ACL匹配順序,這是由於規則為10的條目是拒絕所有行為,
后續所有的允許規則都不會被匹配。若要此規則生效,必須添加在拒絕所有的規則ID
之前。
在 R4上修改ACL 2000,將規則ID修改為8
配置完成后,再次嘗試使用R3的環回口訪問R4。
此時訪問成功,證明配置已經生效。
最后別忘了save保存配置。