第17讲 扩展访问控制列表配置

主讲人：曾东波回顾1.ACL接口应用原则是什么？主讲人：曾东波主讲人：曾东波教学目标：知识目标：◎掌握常见服务端口；◎掌握扩展访问控制列表配置命令；◎掌握命令访问控制列表配置命令。能力目标：◎能配置编号扩展访问控制列表；◎能配置命名扩展访问控制列表。素质目标：◎培养团队协作能力、领悟能力、工作协调能力。主讲人：曾东波拓扑结构及说明三层交换机SB通过端口F0/2（三层接口）、F0/1分别与路由器RA、交换机SA相连，路由器RA连接internet(不考虑RA采用NAT接入),pc1、pc2属于财务部，连接在VLAN1中，pc3、pc4属于人事部，连接在VLAN2中，路由器RB与PC5表示internet网络，PC5是internet中的web服务器，PC6是internet中的DNS服务器。主讲人：曾东波主讲人：曾东波任务要求：◎分配IP地址；◎配置三层交换机实现不同vlan通信，配置IP及路由实现全网通信；◎配置扩展访问控制列表，公司内部电脑只能通过IP地址访问internet中的网站，禁止人事部pc3访问财务部数据库服务器PC1,。主讲人：曾东波验证与测试：◎配置路由后，通过ping命令测试全网通信；◎配置访问控制列表后，通过IE访问PC5中的网站，但是PING不成功，其他测试也不成功，PC3不能与财务部PC1电脑；◎通过showaccess-list查看列表信息。主讲人：曾东波相关知识：◎常见协议和端口◎扩展ACL配置◎命令ACL配置主讲人：曾东波重点：◎扩展ACL配置命令◎命令ACL配置难点：◎扩展ACL配置主讲人：曾东波相关知识—常见协议与端口端口号关键字描述TCP/UDP20FTP-DATA（文件传输协议）FTP（数据）TCP21FTP（文件传输协议）FTPTCP23TELNET终端连接TCP25SMTP简单邮件传输协议TCP42NAMESERVER主机名字服务器UDP53DOMAIN域名服务器（DNS)TCP/UDP69TFTP普通文件传输协议（TFTP)UDP80主讲人：曾东波相关知识—扩展访问控制列表配置1.配置步骤◎创建列表◎将列表应用于端口主讲人：曾东波2.配置命令◎创建列表access-listaccess-list-number{permit|deny}protocol[sourcesource-wildcarddestinationdestination-wildcard][operatorport]Access-list-number：列表编号（100-199或2000-2699）permit：表示允许数据deny：表示禁止数据protocol：表示协议，如：IP、ICMP、TCP、UDP等source：源主机或源网络source-wildcard：源主机或源网络反子网掩码destination：目的主机或目的网络destination-wildcard：目的主机或目的网络反子网掩码operator：操作符，如eq、gt、lt、neq、rangeport:端口号主讲人：曾东波例如：在路由器RA上创建访问控制列表，要求禁止PC1:192.168.1.1访问PC2：192.168.2.1access-list100denyiphost192.168.1.1host192.168.2.1access-list100denyipanyany主讲人：曾东波◎应用列表于接口ipaccess-groupaccess-list-number{in|out}access-list-number：列表编号in：表示入的方向out：表示出的方向例如：将列表100应用于接口f0/0出口方向RA（config）#interfacef0/0RA（config-if）#ipaccess-group1out主讲人：曾东波相关知识—扩展访问控制列表配置实例主讲人：曾东波IP地址规划设备名接口IP子网掩码RAF0/1192.168.1.1255.255.255.0F0/0192.168.2.1255.255.255.0RBF0/1192.168.3.1255.255.255.0F0/0192.168.2.2255.255.255.0PC0---192.168.1.2255.255.255.0FTP服务器---192.168.1.3255.255.255.0主讲人：曾东波要求1：禁止PC1访问ftp服务器，禁止pc2访问服务器，其他访问都允许。根据扩展访问控制列表应用原则，选择离源地址近的接口上应用ACL，因此选择在RB上。路由器RB：RB(config)#interfacef0/0RB(config-if)#ipaddress192.168.2.2255.255.255.0RB(config-if)#noshutdownRB(config)#interfacef0/1RB(config-if)#ipaddress192.168.3.1255.255.255.0RB(config-if)#noshutdownRB(config-if)#exitRB(config)#iproute0.0.0.00.0.0.0192.168.2.1RB(config)#access-list101denytcphost192.168.3.2host192.168.1.3eq20RB(config)#access-list101denytcphost192.168.3.2host192.168.1.3eq21RB(config)#access-list101denytcphost192.168.3.3host192.168.1.4eq80RB(config)#access-list101permitipanyanyRB(config)#interfacef0/1RB(config-if)#ipaccess-group101in主讲人：曾东波要求2：禁止ftp服务器访问PC1所在网段，禁止PC0PINGPC2,其他访问都允许。请大家自己完成RA(config)#access-list101denyip192.168.1.30.0.0.0192.168.3.00.0.0.255RA(config)#access-list101denyICMPhost192.168.1.2host192.168.3.3EchoRA(config)#access-list101permitipanyanyRA(config)#interfacef0/1RA(config-if)#ipaccess-group101in主讲人：曾东波相关知识—命令标准访问控制列表配置1.配置步骤◎创建命令列表◎定义规则◎将列表应用于端口主讲人：曾东波2.配置命令◎创建命令列表Ipaccess-liststandardlist-nameStandard:表示标准访问列表list-name:列表名字例如：创建标准命令访问列表，名字:bocaiRA(config)#Ipaccess-liststandardbocai主讲人：曾东波◎定义规则{permit|deny}source[source-wildcard]permit：表示允许数据deny：表示禁止数据source：源主机或源网络source-wildcard：反子网掩码例如：在列表bocai中添加规则，禁止源主机:192.168.1.1RB（config-std-nacl）#deny192.168.1.20.0.0.0主讲人：曾东波◎将列表应用于端口ipaccess-grouplist-name{in|out}list-name：列表名字in：表示入的方向out：表示出的方向例如：将列表100应用于接口f0/0出口方向RA（config）#interfacef0/0RA（config-if）#ipaccess-groupbocai1out主讲人：曾东波相关知识—命令标准ACL配置实例主讲人：曾东波IP地址规划设备名接口IP子网掩码RAF0/1192.168.1.1255.255.255.0F0/0192.168.2.1255.255.255.0RBF0/1192.168.3.1255.255.255.0F0/0192.168.2.2255.255.255.0PC0---192.168.1.2255.255.255.0FTP服务器---192.168.1.3255.255.255.0主讲人：曾东波要求1：只禁止主机PC0访问PC2，采用标准命令访问控制列表控制RB（config）#ipaccess-liststandardbocaiRB（config-std-nacl）#deny192.168.1.20.0.0.0RB（config-std-nacl）#permit0.0.0.0255.255.255.255RB（config）#interfacef0/1RB（config-if）#ipaccess-groupbocaiout主讲人：曾东波相关知识—命令扩展访问控制列表配置1.配置步骤◎创建命令列表◎定义规则◎将列表应用于端口主讲人：曾东波2.配置命令◎创建命令列表Ipaccess-listextendedlist-nameStandard:表示标准访问列表list-name:列表名字例如：创建命令扩展访问列表，名字:bocaiRA(config)#Ipaccess-listextendedbocai主讲人：曾东波◎定义规则{permit|deny}protocol[sourcesource-wildcarddestinationdestination-wildcard][operatorport]permit：表示允许数据deny：表示禁止数据protocol：表示协议，如：IP、ICMP、TCP、UDP等source：源主机或源网络source-wildcard：源主机或源网络反子网掩码destination：目的主机或目的网络destination-wildcard：目的主机或目的网络反子网掩码operator：操作符，如eq、gt、lt、neq、rangeport:端口号主讲人：曾东波例如：在路由器RA上创建访问控制列表，要求禁止PC1:192.168.1.1访问PC2：192.168.2.1，采用命令扩展列表RB（config）#ipaccess-listextendedbocaiRB（config-std-nacl）#denyiphost192.168.1.1host192.168.2.1RB（config-std-nacl）#denyipanyany主讲人：曾东波◎将列表应用于端口ipaccess-grouplist-name{in|out}list-name：列表名字in：表示入的方向out：表示出的方向例如：将列表100应用于接口f0/0出口方向RA（config）#interfacef0/0RA（config-if）#ipaccess-groupbocai1out主讲人：曾东波相关知识—命令扩展ACL配置实例主讲人：曾东波IP地址规划设备名接口IP子网掩码RAF0/1192.168.1.1255.255.255.0F0/0192.168.2.1255.255.255.0RBF0/1192.168.3.1255.255.255.0F0/0192.168.2.2255.255.255.0PC0---192.168.1.2255.255.255.0FTP服务器---192.168.1.3255.