【網絡環境】
網絡時代的高速發展,對網絡的安全性也越來越高。西安凌雲高科技有限公司因爲網絡建設的擴展,因此便引入了訪問控制列表(ACL)來進行控制,作爲網絡管理員我們應該怎麼來具體的實施來滿足公司的需求呢?
【網絡目的】
明白ACL訪問控制列表的原理、以及正確的配置;
按照網絡拓撲圖的要求來正確的連接設備。
創建訪問控制列表來滿足我們所定義的需求;
【網絡拓撲】
【實驗步驟】
第一步:配置Router1的端口IP地址:(注意:在配置之前我們先要明白ACL訪問控制列表的工作原理;ACL訪問控制列表的原理是它是以包過濾技術,在路由器上讀取OSI7層模型的第三層和第四層包頭中的信息,根據自己預先定義好的規則,對包進行過濾,從而來達到訪問控制的目的。我們在配置IP地址的時候肯定會不明白爲什麼所配置的IP地址不在一個網段?但是又怎麼樣才能讓它們互相通信?根據拓撲圖:我們所看到的E0/1和E0/2和E0/0它們分別互連着交換機、PC機而我們這樣做的原因就是爲了ACL訪問控制列表對流量的歸類,ACL通過在接口路由器上接口出控制數據包是轉發還是丟棄,來過濾通信流量。路由器根據ACL訪問控制列表中的條件來檢測通過路由器的數據包是,從而來決定該數據包是轉發還是丟棄!!!)
第二步:配置Router2的端口IP地址:(注意:ACL訪問控制列表分爲最基本的兩種,它們是標準訪問控制列表和擴展訪問控制列表:標準訪問控制列表和擴展訪問控制列表有什麼區別呢?標準的訪問控制列表檢查被路由器的源地址。結果是基於源網絡/子網/主機的IP地址,來決定該數據包是轉發還是拒絕該數據包;它所使用1~99之間的數字作爲表號。擴展訪問控制列表是對數據包的源地址和目的地址均進行檢查,它也可以檢查特定的協議、端口號以及其他的修改參數。它所使用的是100~199之間的數字作爲表號;我們在這裏只對標準訪問控制列表和擴展訪問控制列表進行說明;還有一些例如:基於時間的訪問控制列表基於動態訪問控制列表等一些新的類型、ACL的定義的是基於協議的。換句話說,如果想控制某種協議的通信數據流,就要對該接口進行單獨的ACL)
第三步:配置Router3端口的IP地址:(注意:訪問控制列表的作用很強大;訪問控制列表爲ACL爲網絡提供了一個強有力的工具,也能夠爲過濾通信量增加靈活性,通行量你可以理解爲那些進出路由器接口的數據包;這樣做的原因是有助於限定網絡通信量和某些用戶以及設備對網絡的使用,AC訪問控制列表最常見的用途是作爲數據包的過濾器。如果沒有ACL訪問控制列表來作爲過濾器,那麼所有的數據包都能傳輸到網絡的任意一處,ACL在這裏是來過濾掉沒有必要的信息的從而來減少通信量;ACL的有點還有就是能增加網絡訪問的安全性;如果沒有經過同意ACL就會拒絕那些未經過同意的某一主機來訪問;ACL還可以用於QOS對數據流量進行控制。它具體是怎麼來理解呢?例如:ACL可以預先設置好那些是自己感興趣的、那些是自己不感興趣的!他可以對自己感興趣的來設置更高的優先級而對自己不感興趣的直接設置比較低的優先級,來直接拒絕!這樣就達到了對流量的有效限制,以及減少網絡的擁塞)
第四步:配置Router4端口的IP地址(注意:ACL訪問控制列表還可以提供對通行量的控制手段;ACL可以通過限定路由器選擇更新信息的長度,這種限定往往用來限制通過路由器的莫伊網段的通信流量、通過ACL訪問控制列表,可以在路由器接口出決定那種類型的通信流量被轉發,那種類型的被拒絕。我們可以允許讓Telnet通過而讓Ftp的不能通過,後面我們將會講解具體來怎麼配置)
第五步:在Router1上配置RIP協議,這裏我們選用RIPv2來作爲具體的配置;(注意:現在是不是有點不明白爲什麼我們在配置ACL訪問控制列表而要講解RIPv2呢?因爲我們先要保證全網的互通!!!在這裏我們用RIP可以或者用靜態等保證全網的互通我們在這裏來選用RIP來做具體的配置;)
第六步:在Router2上配置RIP協議;(注意:在配置RIP的時候我們所宣告的是它的直連網段;路由器對訪問控制列表的處理過程如下:ACL訪問控制列表是一組判斷語句的集合,它是從入站接口進入路由器的數據包而從出站接口離開路由器的數據包;但是在這裏我們還要注意:訪問控制列表對路由器本身產生的數據包不起作用;就像我們爲自己的電腦設置密碼而密碼對我們自己沒有什麼作用而而對其他的人就在一定的程度上起到了作用;就像我們想讓那些人用我們的電腦我們就告訴他的密碼,不想讓那些人用我們的密碼我們就不告訴我們的密碼;他的具體過程就是這樣的!!!
第七步:在Router3上配置RIP協議;(注意:我們怎麼樣來區分是不是應用了訪問控制列表;路由器對數據包的處理過程是不一樣的。路由器會檢查接口上是不是應用了訪問控制列表:檢查的過程如下:如果在路由器的接口上沒有配置ACL訪問控制列表,就對這個數據包進行常規的處理;如果在接口上配置了ACL訪問控制列表,和這個接口相關的一系列訪問控制列表語句組合就會檢查該接口:)
第八步:在Router4上配置RIP協議;(注意:在接口上配置了ACL訪問控制列表,當檢查出配置了訪問控制列表的時候;和訪問控制列表一切相關的都會檢測它,當第一條不匹配的時候,它會一次往下判斷,直到有任一條語句匹配,則不在繼續匹配,當匹配成功的時候路由器將決定該數據包是允許通過還是拒絕通過;若最後沒有任一條語句匹配,則路由器根據默認的處理方式將該數據包丟棄;基於ACL訪問控制列表的測試條件,數據包要麼被允許、要麼被拒絕;如果滿足了ACL訪問控制列表的條件,他將被允許通過;如果沒有滿足ACL訪問控制列表的條件那麼他將被拒絕,該數據包也將會丟棄,如果數據包丟棄,某些協議將返回到一個數據包的發送端,來說明目的地址是不可達的。)
第九步:配置客戶端的IP地址:(注意:我們在上面剛剛講完路由器對訪問控制列表的處理過程:也就是說如果在路由器的接口上配置了ACL訪問控制列表,那麼和他相關的將會檢查他,直到匹配的是時候爲止,如果第一條不匹配,那麼他會進行下次的匹配直到配置完成,看該數據包是允許還是該數據包拒絕;如果沒有在該接口上配置ACL訪問控制列表那麼他會正常的進行處理;)
爲了更加詳細的說明路由器對ACL訪問控制列表的處理過程:
如圖所示:
如圖:根據路由器對訪問控制列表的處理過程,在訪問控制列表中,各描述語句的放置順序是很重要的。如果找到匹配的條件,它就會結束比較的過程,不再檢查以後的其他條件判斷語句。因此,要保證是按照從具體到普遍的次序來排列條目。
要記住:只要在數據包與第一個判斷條件不匹配的時候,他纔會交給ACL中的下一個條件判斷語句進行比較;在與某條語句匹配後,就結束匹配過程;如果不與任何一條匹配,則它必須與隱含的拒絕匹配:
第十步:測試在沒有配置ACL訪問控制列表以前全網是不是互通(注意:在配置ACL訪問控制列表時候,默認的情況下它是有一條隱含的條目的:那麼,什麼是隱含的條件呢?最後的一個隱含的判斷語句條件都不匹配的數據包。這個最後的測試條件與其他的數據包匹配,它的匹配結果是拒絕。如果要避免這種情況,那麼這最後的隱含條件將必須該爲允許;一般的隱含條件是不會出現在配置文件中,建議在配置文件中顯式給出隱含拒絕條件的判斷語句。這樣也可以提高可讀性!)
如下圖所示:
我們在配置IP地址並在他的上面配置了RIP協議保證了全網的互通!!!
第十一步:在Router4上啓動HTTP服務以及FTP服務:(注意:爲了試驗的考慮我們用路由器來代理服務器在他的上面啓動HTTP服務、FTP服務;它們的具體配置如下圖所示:)
第十二步:在Router1的接口上配置ACL訪問控制列表;(注意:在接口的方向上只能配置一個1個Access-list。根據我們的拓撲圖所示:我們在它的接口上因配置Out,入訪問控制列表是不處理從該接口離開路由器的數據包;而對於出訪問控制列表而言;他不處理從該接口進入路由器的數據包。)
對於入訪問控制列表的處理我們用下圖更加詳細的來說明;
當接受到一個數據包時,路由器檢查數據包的源地址(這裏指的時標準的訪問控制列表)是不是與訪問控制列表中的條目相符;如果訪問控制列表允許該地址,那麼路由器將停止檢查訪問控制列表,繼續處理該數據包;如果訪問控制列表拒絕了這個地址,那麼他將丟棄該數據包,並且拒絕!!!!
如圖所示:
第十三步:在Router1上配置ACL訪問控制列表;(注意:我們在下面所配置的是擴展的ACL訪問控制列表;這裏所指的Permit和Deny是說明路由器時怎麼來處理的;我們在這裏要知道tcp是說明他的協議類型,Eq指的是他等於一個端口號;Lt指的是小於一個端口號;Gt指的是它大於一個端口號;Neq指的是他不等於一個端口號;而這裏所表示的any是指訪問控制列表的通配符;any他可以代表0.0.0.0
255.255.255.255;還有通配符host,如果想與整個IP地址的所有爲想匹配時:他可以用反碼縮寫字來代替)
下圖是在路由器上爲客戶機1和客戶機2配置的訪問控制列表來允許那些是通過的、那些是拒絕的!!!
第十四步:檢查他的ACL訪問控制列表的配置:(注意我們在這所配置的是查看他的詳細的信息;也可以用show ip interface 和show access-list show running-config來查看;查看的時候要注意他的接口是不是激活、IP地址是不是配置正確等一些詳細的信息)
用show access-list是來顯示所有ACL的內容,(注意:在訪問控制列表中我們還要知道;ACL訪問控制列表還可以命名,不管在標準的ACL中還是擴展的ACL中。我們可以用一個數字或者一個字母來表示;我們可以在下面的一些情況下使用ACL訪問控制列表來命名;我們可以用一個字母或者數字來直觀的表示特定的ACL;對於某一個特定的協議,在同一個路由器上,有超過99個標準ACL或者有超過100個擴展ACL需要配置;我們還要注意不能用同一個名字來命名多個ACL訪問控制列表;命名IP訪問可以從指定的訪問列表刪除單個條目。但是,條目無法有選擇地插入到列表中的某個位置!)
【實驗心得】
“陽光總在風雨後”有成功就會有失敗,保持一顆“平常心”積極的心態,奮發向上的樂觀精神,那麼成功就會離你不遠,我知道未來的路很長很長、作爲我們網絡工程師來說,這也是一條坎坷、充滿艱難險阻的道路!!!但是,相信自己那麼肯定會成功的、相信自己是我們最大的資本!!!
【實驗總結】
覺得ACL訪問控制列表在現實的生活中應用很廣泛,做試驗的時候思路一定要清晰,思路決定出路,在做實驗之前一定要理清自己的思路;如果不理清自己的思路那麼做試驗是比較困難的!!
還有就是一定要多看書,我們做實驗的目的還不是爲了對知識理解的更加清楚,所以看書還是很重要的不要以爲試驗做成功就什麼都OK了;那其實是一種錯誤的理解,書讀百遍其義自見,會有他一定的道理的!!!
