数通核心技术----访问控制列表ACL_思科配置acl中怎么让pc机只能访问dns

ACL

应用场景

一般用于路由器和防火墙上，但是在路由器上称为ACL、防火墙上一般称为策略，策略是升级版的ACL，可以基于IP、端口、协议、应用层数据来进行各种过滤

ACL分类

• 标准ACL
  • 表号：1-99
  • 特点：只能基于源IP地址对包进行过滤
• 扩展ACL
  • 表号：100-199
  • 特点：可以基于源IP地址、目标IP地址、目标端口号、协议等对包进行过滤

ACL原理

1、ACL表配置完成后，必须应用到接口的in或者out方向上才能生效
2、一个接口的一个方向上只能应用一张表
3、在所有ACL表最后都存在一条隐藏的拒绝所有条目
4、在匹配ACL时，是严格自上而下匹配每一条的；匹配成功，则完成动作，没匹配成功。则继续匹配下一条，全部不匹配，执行隐藏条目，拒绝全部
5、标准ACL因为只能基于源IP对包进行过滤，建议写在靠近目标端的位置
6、一个ACL编写完成后，默认情况下，不能删除某一条，也不能插入新的条目，只能继续在最后追加新的条目
1
2
3
4
5
6

ACL命令

标准ACL

• conf  t 
  access-list 表号 permit/deny 条件 
  1
  2

  • 表号：1-99

  • 条件：源IP地址+反子网掩码

  • access-list 1 deny 10.1.1.0 0.0.0.255 # 拒绝源IP为10.1.1.0网段的流量 
    access-list 1 permit 0.0.0.0 255.255.255.255 # 允许所有网段
    1
    2

扩展ACL

• conf t 
  access-list 表号 permit/deny 协议 源IP 反掩码 目标IP 反掩码 eq 端口号
  1
  2

  • 表号：100-199

  • 协议：TCP/UDP/IP/ICMP 若写端口号，则只能写TCP或者UDP

  • conf t 
    access-list 101 permit tcp host 10.1.1.1 host 192.168.1.1 eq 80 
    access-list 101 deny tcp host 10.1.1.2 host 192.168.1.1 eq 80 
    access-list 101 permit ip any any
    1
    2
    3
    4

应用到接口

• int f0/1 
  ip access-group 102 in/out 
  exit 
  1
  2
  3

命名ACL

创建命名ACL

• conf t
  ip access-list extended 表名
  开始从permit/deny编辑每一条即可 
  编写完exit退出即可！
  1
  2
  3
  4

命名ACL的好处

• 使用命名ACL可以任意删除或者添加某一条目

  • R1(config)#do sh ip access-lists 
    Extended IP access list 120 
    	10 deny icmp any any 
    	20 deny udp 192.168.1.0 0.0.0.255 any eq domain 
    	30 permit ip any any 
    1
    2
    3
    4
    5

  • 删除某一条目

    • R1(config)#ip access-list extended 120 R1(config-ext-nacl)#no 20 
      R1(config-ext-nacl)#exit
      1
      2

  • 查看结果

    • R1(config)#do sh ip access-lists 
      Extended IP access list 120 
      	10 deny icmp any any 
      	30 permit ip any any 
      R1(config)#
      1
      2
      3
      4
      5

标准ACL实验

实验要求

1、各个主机能够成功访问服务器

2、ACL要求：

​ 允许李四主机访问服务器

​ 拒绝10.1.2.1访问服务器

​ 拒绝10.1.1.0/24网段访问服务器

实验拓扑

实验步骤

扩展ACL实验

实验要求

1、全网互通

2、PC1、PC2能够成功访问服务器1、服务器2并且能够ping通

3、ACL要求：

​ 禁止PC1访问Server1的web服务，但可以访问其他服务

​ PC2只允许访问Server1的web服务，不可以访问其他服务

​ 禁止PC1、PC2pingserver2，但可以访问其他服务

实验拓扑

实验步骤

1、通过RIP动态路由协议实现全网互通

2、使用扩展ACL完成精准访问控制

完成对PC1的访问控制

完成对PC2的访问控制

总结

ACL在数通领域，还是非常重要的。无论是标准ACL、扩展ACL还是命令ACL。命令都不复杂，只要足够耐心多加练习，熟练掌握还是没有问题的。