博客
关于我
强烈建议你试试无所不能的chatGPT,快点击我
演示:标准ACL的配置、及使用技巧、和相关局限
阅读量:6040 次
发布时间:2019-06-20

本文共 4199 字,大约阅读时间需要 13 分钟。

演示:标准ACL的配置、及使用技巧、和相关局限

技术交流与答疑请加入群:1952289

演示目标:

n使用标准ACL来过滤网络的访问流量。

n理解标准ACL在应用中的限制。

n使用标准ACL过滤“奇数”位子网。

演示环境:如下图10.6所示的演示环境

演示背景:在演示环境中,请设计使用标准ACL拒绝通信源子网192.168.1.0对服务器A所在子网的任何访问,但是允许访问服务B和C所在的子网;然后思考将标准ACL应用于该演示环境中哪台路由器的具体接口上。

演示步骤:

第一步:完成路由器R1与R2的所有基本配置,包括为各个接口配置IP地址及启动路由协议,要求网络中的各个子网络都能相互Ping通。

第二步:使用标准ACL的配置,具体配置如下所示,首先尝试将配置的ACL应用

在路由器R1的ACL配置:

R1(config)#access-list 1 deny 192.168.1.0 0.0.0.255

* access-list 1指示ACL的列表号为1,它的取值范围是1-99(表示基于IP的标准访问控制列表),deny 192.168.1.0 0.0.0.255指示拒绝源子网是192.168.1.0;0.0.0.255是该子网对应的反掩,关于反掩的作用在第六章理解并实施路由技术中的OSPF部分有详细描述,这里不再重复描述。

R1(config)#access-list 1 permit any

* 该条配置指令是允许所有的其它源地址的通信,如果没有该指令,在ACL列表1中就存在一条默认的拒绝一切的语句(access-list 1 deny any)。

R1(config)#interface ethernet 1/0

R1(config-if)#ip access-group 1 in

* 该访问控制列表1被应用到路由器R1的E1/0接口的进入方向上。

完成上述配置后,在主机A(192.168.1.2)上测试与服务器A、B、C的通信,如下图10.7所示ping不通任何一台服务器子网,这明显不满足背景需求,因为背景需求是设计使用标准ACL拒绝通信源子网192.168.1.0对服务器A所在子网的任何访问,但是允许访问服务B和C所在的子网;那么是什么原因导致这个现象的发生?

因为使用的是标准访问控制列表,标准访问控制列表只能匹配源地址,所以应该将标准的访问控制列表应用于距离目标最近的位置,如果将ACL 1 应用于距离控制源最近的位置,这将导致192.168.1.0子网无法访问其它的任何网络,再次强调标准的ACL只能匹配源地址。

第三步所以现在将ACL 1 从路由器R1上删除,并将ACL 1 配置在距离目标最近的接口上(路由器R2的E1/0),关于删除ACL 1的配置如下:

在路由器R1上删除ACL1的配置:

R1(config)#no access-list 1

R1(config)#interface e1/0

R1(config-if)#no ip access-group 1 in

R1(config-if)#exit

在距离控制目标最近的位置(路由器R2的E1/0)配置并应用ACL

R2(config)#access-list 1 deny 192.168.1.0 0.0.0.255

R2(config)#access-list 1 permit any

R2(config)#interface e1/0

R2(config-if)#ip access-group 1 out *在路由器R2的E1/0接口的出方向上应用ACL 1。

R2(config-if)#exit

完成上述配置后,再次在主机A(192.168.1.2)上完成对服务器A、B、C的连通性测试,这次的测试如下图10.8所示,达到了背景需要的要求,此时,主机A无法与服务器A通信,这是要求的目标,但是它可以与服务器B和C正常通信。

第四步现在再次删除路由器R2上的ACL配置与接口应用,并在路由器R2上配置6个环回接口IP地址,分别是172.16.1.1/24......172.16.6.1/24;用于模拟6个不同的子网,并将这6个子网公告到RIP路由进程中,确保路由器R1能学习并ping通这6个子网,具体的配置如下:

删除路由器R2上的ACL配置与接口应用:

R2(config)#no access-list 1

R2(config)#interface e1/0

R2(config-if)#no ip access-group 1 out

在路由器R2上配置6个环回子网:

R2(config)#interface loopback 1

R2(config-if)#ip address 172.16.1.1 255.255.255.0

R2(config)#interface loopback 2

R2(config-if)#ip address 172.16.2.1 255.255.255.0

R2(config)#interface loopback 3

R2(config-if)#ip address 172.16.3.1 255.255.255.0

R2(config)#interface loopback 4

R2(config-if)#ip address 172.16.4.1 255.255.255.0

R2(config)#interface loopback 5

R2(config-if)#ip address 172.16.5.1 255.255.255.0

R2(config)#interface loopback 6

R2(config-if)#ip address 172.16.6.1 255.255.255.0

将上述6个子网公告到RIP路由进程中:

R2(config)#router rip

R2(config-router)#network 172.16.0.0

R2(config-router)#exit

第五步:关于路由器R1成功ping通路由器R26个环回接口的状态如下图10.9所示在没有任何ACL控制策略情况下路由器R1应该能成功的ping通路由器R2上的6个环回接口。

第六步:现在要求在路由器R2上使用标准ACL来拒绝172.16.X.0/24(X表示奇数位子网)的通信;但是允许172.16.Y.0/24(Y表示偶数位子网)的通信,要求匹配奇数位子网只使用一条ACL语句;要求匹配偶数位子网只使用一条ACL语句,这样做的目标是为了提高ACL的效率,那么现在的问题是怎么一条ACL语句来匹配奇数位或者是偶数位子网,如下图10.10所示,可看出奇数位子网的十进制转换成二进制时,二进制的最后一位是1;偶数位二进制的最后一位是0;注意:此时使用反码11111110(254)去匹配1就能匹配上奇数位子网;匹配2就能匹配偶数位子网;为什么反码是11111110?因为反码的1表示不关心的位;0表示关心的位;而识别奇偶子网,只需要关心8个二进制位的最后一位,所以,只需要反码的最后一位为0,就能成功的完成匹配。

在路由器R2拒绝奇数位子网;允许偶数位子网的ACL配置:

R2(config)#access-list 1 deny 172.16.1.0 0.0.254.255

* 使用一条ACL语句拒绝奇数位子网的ACL配置

R2(config)#access-list 1 permit 172.16.2.0 0.0.254.255

* 使用一条ACL语句允许偶数位子网的ACL配置

R2(config)#interface e1/2

R2(config-if)#ip access-group 1 in * 在路由器R2上的E1/2接口的入方向上应用ACL。

R2(config-if)#exit

注意一个非常重要的问题:当在路由器R2完成上述配置后(将ACL应用到R2的e1/2接口的入方向),在R1上发起对路由器R2上6个环回接口的ping,您会发现ACL没有生效,无论是奇数还是偶数子网都能被R1所ping通,难道是ACL书写形式错了吗?

不是的,发生这个问题的根本原因:注意理解标准ACL的特性,它只能基于通信源地址进行过滤,而在路由器R1上发起对R2上各个奇偶子网的Ping时,通信的源地址为192.168.2.1/24,所以access-list 1 permit172.16.2.0 0.0.254.255根本对源地址不生效。正确的做法应当如下所示:

首先删除在路由器R2上的ACL

R2(config)#no access-list 1

R2(config)#interface e1/2

R2(config-if)#no ip access-group 1 in

R2(config-if)#exit

然后在路由器R1上配置ACL并应用

R1(config)#access-list 1 deny 172.16.1.0 0.0.254.255

* 使用一条ACL语句拒绝奇数位子网的ACL配置

R1(config)#access-list 1 permit 172.16.2.0 0.0.254.255

* 使用一条ACL语句允许偶数位子网的ACL配置

R1(config)#interface e1/2

R1(config-if)#ip access-group 1 in  * 在路由器R1上的E1/2接口的入方向上应用ACL。

R1(config-if)#exit

为什么需要在R1的E1/2的进入方向上应用ACL

道理后简单,当你在R1上发起对R2上各个奇偶子网的ping时,ping的回程流量(从R2各个奇偶子网返回到R1的流量),通信的源地址正是172.16.X.0,此时不正好匹配access-list 1 deny 172.16.1.0 0.0.254.255和access-list1 permit 172.16.2.0 0.0.254.255所定义的规则吗。所以可以得到如下图10.11所示,可看出成功的拒绝了奇数位子网的通信;允许了偶数位子网的通信。

转载地址:http://qwrhx.baihongyu.com/

你可能感兴趣的文章
SQLServer跨库查询--分布式查询[转载]
查看>>
django错误-NoReverseMatch at /admin/
查看>>
Laravel中的信息验证 和 语言包
查看>>
折半查找法(二分查找 java版)
查看>>
工作两周年—--个人知识体系梳理
查看>>
win2003开启telnet
查看>>
php配置文件php.ini中文详解
查看>>
关于Tomcat配置相关总结
查看>>
安装PDO_MYSQL遇到的问题:error: Cannot find MySQL header files under
查看>>
CocoaPods最新安装及跳过pod setup快速安装教程
查看>>
必须用C模拟OS?
查看>>
JavaScript引入
查看>>
ARM9代码分析启动MAIN.C
查看>>
JSON
查看>>
4.3 Verilog练习(2)
查看>>
浅谈html5某些新元素的用途
查看>>
csv文件的操作
查看>>
DotNETCore 学习笔记 配置
查看>>
Educational Codeforces Round 19
查看>>
CF878D D. Magic Breeding bitset
查看>>