部署ACL限制網(wǎng)絡(luò)訪問范圍劉道剛董良新主編項(xiàng)11目路由交換技術(shù)與實(shí)踐RoutingandSwitching工業(yè)和信息化精品系列教材目錄CONTENTS11.1用戶需求11.2知識(shí)梳理11.3方案設(shè)計(jì)11.4項(xiàng)目實(shí)施11.1用戶需求某學(xué)校網(wǎng)絡(luò)拓?fù)鋱D如圖11-1所示，計(jì)算機(jī)PC1位于辦公網(wǎng)絡(luò)，計(jì)算機(jī)PC2位于食堂網(wǎng)絡(luò)，計(jì)算機(jī)PC3位于學(xué)生網(wǎng)絡(luò)。怎樣實(shí)現(xiàn)學(xué)生網(wǎng)絡(luò)中的計(jì)算機(jī)無法訪問辦公網(wǎng)絡(luò)？目錄CONTENTS11.1用戶需求11.2知識(shí)梳理11.3方案設(shè)計(jì)11.4項(xiàng)目實(shí)施11.2.1ACL的概念A(yù)CL（AccessControlList，訪問控制列表）是一種路由器配置腳本，它根據(jù)從報(bào)頭中發(fā)現(xiàn)的條件來控制路由器允許還是拒絕報(bào)文通過，在控制進(jìn)出網(wǎng)絡(luò)的流量方面非常有用。010203流量過濾流量分類允許或拒絕對(duì)特定網(wǎng)絡(luò)服務(wù)的訪問11.2.1ACL的概念11.2.3ACL的工作原理入站ACL的工作原理出站ACL的工作原理01021．標(biāo)準(zhǔn)ACL2．?dāng)U展ACL標(biāo)準(zhǔn)ACL根據(jù)源IP地址過濾數(shù)據(jù)包。數(shù)據(jù)包中包含的目的地址和端口號(hào)無關(guān)緊要。擴(kuò)展ACL根據(jù)多種屬性（如協(xié)議類型、源IP地址、目的IP地址、源TCP或UDP端口號(hào)及目的TCP或UDP端口號(hào)）過濾數(shù)據(jù)包，并可依據(jù)協(xié)議類型信息進(jìn)行更為精確的控制。11.2.4ACL的類型11.2.5通配符掩碼通配符掩碼是32位二進(jìn)制數(shù)字。通配符掩碼使用二進(jìn)制1和0過濾單個(gè)IP地址或一組IP地址，用于確定應(yīng)該為地址匹配多少位IP源或目的地址，通配符掩碼位0表示精確匹配地址中對(duì)應(yīng)位的值；通配符掩碼位1表示忽略地址中對(duì)應(yīng)位的值。11.2.6通配符掩碼關(guān)鍵字host關(guān)鍵字可替代0.0.0.0掩碼，表示必須匹配所有IP地址位，即僅匹配一臺(tái)主機(jī)。any關(guān)鍵字可替代IP地址和255.255.255.255掩碼，表示忽略整個(gè)IP地址，即接受任何地址。通配符掩碼關(guān)鍵字host和any可以用來標(biāo)識(shí)最常用的通配符掩碼。這些關(guān)鍵字避免了在標(biāo)識(shí)特定主機(jī)或網(wǎng)絡(luò)時(shí)要輸入通配符掩碼的麻煩。1．每種協(xié)議一個(gè)ACL2．每個(gè)方向一個(gè)ACL3．每個(gè)接口一個(gè)ACL要控制接口上的流量，必須為接口上啟用的每種協(xié)議定義相應(yīng)的ACL。一個(gè)ACL只能控制接口上一個(gè)方向的流量，要同時(shí)控制入站流量和出站流量，必須兩個(gè)方向分別定義ACL。一個(gè)ACL只能控制一個(gè)接口上的流量。11.2.7ACL創(chuàng)建原則11.2.8標(biāo)準(zhǔn)ACL的放置位置ACL的放置位置決定了是否能有效減少不必要的流量，在適當(dāng)?shù)奈恢梅胖肁CL，可以過濾掉不必要的流量，使網(wǎng)絡(luò)更加高效。因?yàn)闃?biāo)準(zhǔn)ACL不會(huì)指定目的地址，所以其放置位置應(yīng)該盡可能靠近目的地。1．配置標(biāo)準(zhǔn)編號(hào)ACL2．配置標(biāo)準(zhǔn)命名ACL3．在接口應(yīng)用ACLRouter(config)#access-listaccess-list-number{deny|permit|remark}source[source-wildcard][log]Router(config)#ipaccess-liststandardnameRouter(config-std-nacl)#{deny|permit|remark}source[source-wildcard][log]Router(config)#interfacetypenumberRouter(config-if)#ipaccess-group{access-list-number|name}{in|out}11.2.9配置命令4．查看ACLRouter#showaccess-lists5．查看接口的配置6．清除ACL的統(tǒng)計(jì)信息Router#showipinterfaceRouter#clearaccess-listcounters[access-list-number|name]11.2.9配置命令11.2.10ACL的編輯使用文本編輯器使用序號(hào)0102目錄CONTENTS11.1用戶需求11.2知識(shí)梳理11.3方案設(shè)計(jì)11.4項(xiàng)目實(shí)施11.3方案設(shè)計(jì)在如圖11-1所示的網(wǎng)絡(luò)拓?fù)鋱D中，要實(shí)現(xiàn)學(xué)生網(wǎng)絡(luò)中的計(jì)算機(jī)無法訪問辦公網(wǎng)絡(luò)，可以采用標(biāo)準(zhǔn)ACL拒絕來自學(xué)生網(wǎng)絡(luò)中的數(shù)據(jù)。標(biāo)準(zhǔn)ACL依據(jù)數(shù)據(jù)包的源地址進(jìn)行控制，配置ACL語句時(shí)源地址要用學(xué)生網(wǎng)絡(luò)的網(wǎng)絡(luò)地址和通配符掩碼。標(biāo)準(zhǔn)ACL的放置位置需要盡量靠近目的地，所以，ACL要在路由器R1上創(chuàng)建，在路由器R1的f0/0接口上應(yīng)用。目錄CONTENTS11.1用戶需求11.2知識(shí)梳理11.3方案設(shè)計(jì)11.4項(xiàng)目實(shí)施11.4.1標(biāo)準(zhǔn)編號(hào)ACL的配置步驟1：在路由器R1的全局配置模式下輸入以下代碼，配置RIPv2。R1(config)#routerripR1(config-router)#version2R1(config-router)#network192.168.0.0R1(config-router)#network192.168.3.0R1(config-router)#noauto-summary步驟2：在路由器R2的全局配置模式下輸入以下代碼，配置RIPv2。R2(config)#routerripR2(config-router)#version2R2(config-router)#network192.168.1.0R2(config-router)#network192.168.2.0R2(config-router)#network192.168.3.0R2(config-router)#noauto-summary11.4.1標(biāo)準(zhǔn)編號(hào)ACL的配置步驟3：在路由器R1的特權(quán)執(zhí)行模式下，輸入showiproute命令查看路由表，如圖11-2所示。步驟4：在路由器R2的特權(quán)執(zhí)行模式下，輸入showiproute命令查看路由表，如圖11-3所示。11.4.1標(biāo)準(zhǔn)編號(hào)ACL的配置步驟5：在計(jì)算機(jī)PC3的命令行界面輸入ping192.168.0.1命令檢驗(yàn)連通性，如圖11-4所示。步驟6：在計(jì)算機(jī)PC3的命令行界面輸入ping192.168.1.1命令檢驗(yàn)連通性，如圖11-5所示。11.4.1標(biāo)準(zhǔn)編號(hào)ACL的配置步驟7：在路由器R1的全局配置模式下輸入以下代碼，配置ACL。R1(config)#access-list1deny192.168.2.00.0.0.255R1(config)#access-list1permitany步驟8：在路由器R1的全局配置模式下輸入以下代碼，在接口上應(yīng)用ACL。R1(config)#interfacef0/0R1(config-if)#ipaccess-group1out11.4.1標(biāo)準(zhǔn)編號(hào)ACL的配置步驟9：在計(jì)算機(jī)PC3的命令行界面輸入ping192.168.0.1命令檢驗(yàn)連通性，如圖11-6所示。步驟10：在計(jì)算機(jī)PC3的命令行界面輸入ping192.168.1.1命令檢驗(yàn)連通性，如圖11-7所示。11.4.1標(biāo)準(zhǔn)編號(hào)ACL的配置11.4.2標(biāo)準(zhǔn)命名ACL的配置網(wǎng)絡(luò)拓?fù)鋱D如圖11-8所示，計(jì)算機(jī)PC1位于辦公網(wǎng)絡(luò)，計(jì)算機(jī)PC2位于食堂網(wǎng)絡(luò)，計(jì)算機(jī)PC3和PC4位于學(xué)生網(wǎng)絡(luò)，路由器的接口和計(jì)算機(jī)的IP地址已經(jīng)配置完成，并實(shí)現(xiàn)了全網(wǎng)互通。要求完成標(biāo)準(zhǔn)命名ACL的配置，實(shí)現(xiàn)學(xué)生網(wǎng)絡(luò)中除計(jì)算機(jī)PC4外其他設(shè)備無法訪問辦公網(wǎng)絡(luò)。11.4.2標(biāo)準(zhǔn)命名ACL的配置步驟1：在路由器R1的全局配置模式下輸入以下代碼，配置ACL。R1(config)#ipaccess-liststandarddenypc3R1(config-std-nacl)#permit192.168.2.20.0.0.0R1(config-std-nacl)#deny192.168.2.00.0.0.255R1(config-std-nacl)#permitany當(dāng)ACL語句中的條件是某一個(gè)地址時(shí)，可以用host關(guān)鍵字，第2條語句也可以寫成如下格式。R1(config-std-nacl)#permithost192.168.2.2步驟2：在路由器R1的全局配置模式下輸入以下代碼，在接口上應(yīng)用ACL。R1(config)#interfacef0/0R1(config-if)#ipaccess-groupdenypc3out步驟3：在計(jì)算機(jī)PC3的命令行界面輸入ping192.168.0.1命令檢驗(yàn)連通性，如圖11-9所示。步驟4：在計(jì)算機(jī)PC4的命令行界面輸入ping192.168.0.1命令檢驗(yàn)連通性，如圖11-10所示。11.4.2標(biāo)準(zhǔn)命名ACL的配置R1(config)#ipaccess-liststandarddenypc3R1(config-std-nacl)#deny192.168.2.00.0.0.255R1(config-std-nacl)#permit192.168.2.20.0.0.0R1(config-std-nacl)#permitany步驟5：修改步驟1的配置命令，第2條和第3條語句互換