1、1访问控制列表(ACL)的综合应用实验- 风行版访问控制列表的综合应用实验拓扑:实验要求:1、 在 R2 上配置标准访问列表,拒绝所有来自 3.3.3.0 网络的数据包。2、 在 R2 上配置扩展访问列表,阻塞来自网络 23.1.1.0/24 发往 12.1.1.1 地址的 ICMP包。3、 用命名的访问列表完成上述两个实验。4、 R1 路由器只允许 23.1.1.3 的 IP 地址能够 Telnet 到路由器上。5、 在第 4 步骤中,R1 路由器只允许 R3 在 2006 年 11 月 1 日至 2006 年 11 月 30 日的每周一到周五的 8:00 到 18:00 和周末的 9:00
2、 到 21:00 才可以 Telnet 到 R1。6、 只允许 R1 能够主动发起连接 Telnet 到 R3,不允许 R3 主动发起连接到 R1 路由器(Established) 。7、 在 R2 上配置 Lock-and-key,R3 与 R1 建立连接前需要在 R2 上进行认证(Telnet) ,在 R2 上的认证方式为本地数据库(在 VTY 线路下面开启 Login local) ,R2 自动生成临时动态访问列表,并配置绝对超时时间为 5 分钟,空闲时间为 3 分钟,自动生成的访问列表中的源地址必须用认证主机 IP 地址来进行替换。8、 在 R2 上配置自反列表,使 R1 可以 Pin
3、g 通 R3,R3 不能 Ping 通 R1。IP 地址表:(如图)实验配置如下:一、基本配置:配置 R1:RouterenRouter#conf tRouter(config)#hostname R12R1(config)#int S0R1(config-if)#ip add 12.1.1.1 255.255.255.0R1(config-if)#no shutR1(config-if)#router ripR1(config-router)#network 12.1.1.1R1(config-router)#endR1#sh run配置 R2:RouterenRouter#conf tRo
4、uter(config)#hostname R2R2(config)#int S0R2(config-if)#ip add 12.1.1.2 255.255.255.0R2(config-if)#no shutR2(config-if)#clock rate 64000R2(config-if)#int S1R2(config-if)#ip add 23.1.1.2 255.255.255.0R2(config-if)#no shutR2(config-if)#clock rate 64000R2(config-if)#router ripR2(config-router)#network 1
5、2.1.1.2R2(config-router)#network 23.1.1.2R2(config-router)#endR2#sh run配置 R3:RouterenRouter#conf tRouter(config)#hostname R3R3(config)#int S0R3(config-if)#ip add 23.1.1.3 255.255.255.0R3(config-if)#no shutR3(config-if)#int loop0R3(config-if)#ip add 3.3.3.3 255.255.255.0R3(config-if)#no shutR3(config
6、-if)#router ripR3(config-router)#network 3.3.3.3R3(config-router)#network 23.1.1.3R3(config-router)#endR3#sh run3二、访问控制列表综合应用:1. 在 R2 上配置标准访问列表,拒绝所有来自 3.3.3.0 网络的数据包.R2#conf tR2(config)#access-list 10 deny 3.3.3.0 0.0.0.255R2(config)#access-list 10 permit anyR2(config)#int S1R2(config-if)#ip access-
7、group 10 in2. 在 R2 上配置扩展访问列表,阻塞来自网络 23.1.1.0/24 发往 12.1.1.1 地址的 ICMP 包.R2#conf tR2(config)#access-list 100 deny icmp 23.1.1.0 0.0.0.255 host 12.1.1.1R2(config)#access-list 100 permit ip any anyR2(config)#int S1R2(config-if)#ip access-group 100 in3.R1 路由器只允许 23.1.1.3 的 IP 地址能够 Telnet 到路由器上 .R1#conf t
8、R1(config)#access-list 110 permit tcp host 23.1.1.3 host 12.1.1.1 eq 23R1(config)#int S0R1(config-if)#ip access-group 110 in4. 在第 3 步骤中,R1 路由器只允许 R3 在 2006 年 11 月 1 日至 2006 年 11 月 30 日的每周一到周五的 8:00 到 18:00 和周末的 9:00 到 21:00 才可以 Telnet 到 R1.R1#conf tR1(config)#time-range telnettime /建立允许访问的时间范围R1(con
9、fig-time-range)#absolute start 00:00 1 nov 2006 end 00:00 1 dec 2006 R1(config-time-range)#periodic weekday 08:00 to 18:00R1(config-time-range)#periodic weekend 09:00 to 21:00R1(config-time-range)#exitR1(config)#access-list 110 permit tcp host 23.1.1.3 host 12.1.1.1 eq 23 time-range telnettime/建立访问控
10、制列表只允许 R3telnet 登入到 R1,将允许时间范围应用上R1(config)#int S0R1(config-if)#ip access-group 110 in 5. 只允许 R1 能够主动发起连接 Telnet 到 R3,不允许 R3 主动发起连接到 R1 路由器(Established).R1#conf tR1(config)#access-list 110 permit tcp host 23.1.1.3 host 12.1.1.1 eq 23 time-range telnettime established /建立 Established 列表,只允许 R1 主动发起连接
11、 Telnet 到 R3, 这里的源地址指的是 R3 的接口地址 23.1.1.3,因为要检查的是 R3 回应的数据流,只有回应的数据流中 TCP 的 ACK 或 RST 比特才会被设置成 1,主动发起连接的设备 R1 数据流中的 TCP的 ACK 为 0,establish 关键字只能用在 TCP 数据流上,不能用在 UDP、ICMP 和其他的 IP协议上,否则无效。4R1(config)#int S0R1(config-if)#ip access-group 110 in6. 在 R2 上配置 Lock-and-key,R3 与 R1 建立连接前需要在 R2 上进行认证(Telnet) ,
12、在R2 上的认证方式为本地数据库(在 VTY 线路下面开启 Login local) ,R2 自动生成临时动态访问列表,并配置绝对超时时间为 5 分钟,空闲时间为 3 分钟,自动生成的访问列表中的源地址必须用认证主机 IP 地址来进行替换.R2#conf tR2(config)#access-list 120 dynamic lion timeout 5 permit tcp any host 12.1.1.1/绝对超时 5 分钟就是登录到 pc 机上的时间R2(config)#access-list 120 permit tcp host 23.1.1.3 host 23.1.1.2 /允许
13、 R3 通过 tcp 协议访问R2,首先要通过 R2 的认证。R2(config)#int S1R2(config-if)#ip access-group 120 inR2(config-if)#endR2#access-enable host timeout 3 /配置 Lock-and-key 特性的最后步骤是让路由器能在一个动态访问控制列表中创建一个临时性的访问控制列表条目,缺省情况下,路由器是不这么做的,可以使用下面此命令来进行启用.Cisco 强烈推荐用户使用该命令的关键字 Host,其源地址总是用认证主机的 IP 地址来替换,所以我们在定义动态访问列表的源地址中总是指定 any;T
14、imeout 规定了空闲超时值,指示连接在被切断之前允许保持的空闲时间。或者R2#conf tR2(config)#username lion password lion /建立本地用户和口令R2(config)#line vty 0 4R2(config-line)#login local /登入使用本地认证R2(config-line)#autocommand access-enable host timeout 3 /触发 access-enable 的命令 3 分钟如果没有登录到 R1 那么则剔除 R3 的请求7. 在 R2 上配置自反列表,使 R1 可以 Ping 通 R3,R3 不
15、能 Ping 通 R1.R2#conf tR2(config)#ip access-list extended outbound /建立命名扩展列表,允许从 S1 接口转发所有的外出路由包R2(config-ext-ncl)#permit icmp any any reflect icmp_traffic /自反列表,允许 R1 所有网段能PING 通 R3R2(config-ext-ncl)#exitR2(config)#ip access-list extended inboundR2(config-ext-ncl)#evaluate icmp_traffic /检查从外网进来的流量,如果
16、这个流量确实是从内网发起的对外访问的返回流量,那么允许这个流量进来R2(config-ext-ncl)#exitR2(config)#int S1R2(config-if)#ip access-group outbound out /应用控制列表R2(config-if)#ip access-group inbound in5实验总结:1.基于时间的访问控制列表:使用方法这种基于时间的访问列表就是在原来的标准访问列表和扩展访问列表中加入有效的时间范围来更合理有效的控制网络。它需要先定义一个时间范围,然后在原来的各种访问列表的基础上应用它。并且,对于编号访问表和名称访问表都适用。使用规则用 ti
17、me-range 命令来指定时间范围的名称,然后用 absolute 命令或者一个或多个 periodic命令来具体定义时间范围。IOS 命令格式为:time-range time-range-name 用来标识时间范围的名称absolute start time date end time date 指定绝对时间范围periodic days-of-the week hh:mm to days-of-the week hh:mm 以星期为单位来定义时间范围的一个参数2.动态访问控制列表:动态访问控制列表使指定的用户能获得对受保护资源的临时访问权,而不管他们是通过什么 IP 源地址进行访问。在
18、用户切断连接之后,Lock-and-key 特性将复原该访问控制列表。为了能让 Lock-and-key 特性能工作,用户必须先要 Telnet 到路由器上,Telnet 给予用户一个机会来告诉路由器它是谁(通过用户名和口令进行认证) ,以及它目前在使用哪个源IP 地址,如果用户成功地通过了认证,该用户的源 IP 地址就被授予临时通过路由器进行访问的权限。由动态访问控制列表的配置决定所允许访问的范围。动态访问列表的语法:Access-list dynamic timeout permit|deny any Name 是动态访问表的字符串名称;Timeout 参数是可选的,如果定义了该参数,则指
19、定动态表项的绝对超时时间3.自反列表 (Reflexive ACL):Reflexive ACL 的配置分为两个部分,一部分是 outbound 的配置,一部分是 inbound 的配置。Reflexive ACL 中 outbound 的部分决定了我出去的哪些内网网络流量是需要被单向访问的,inbound 部分决定了这些流量在返回后能被正确的识别并送给内网发起连接的 PC 机注意在 Reflexive ACL 中只能用 named 方式的 ACL,不能用 numbered 方式的 ACL。 |outbound 部分:基本配置和普通 ACL 并没有什么太多不同,不同之处是 reflect ic
20、mp_traffic,它的意思是这条 ACE 作为单向流量来处理,并且给了一个名称叫 icmp_traffic,icmp_traffic 在 inbound部分被引用。|inbound 部分:语句 evaluate icmp_traffic 对上述 outbound 配置中的 icmp_traffic 进行了引用,也就是说,它要检查从外网进来的流量,如果这个流量确实是从内网发起的对外访问的返回流量,那么允许这个流量进来。 应用 reflexive ACL 列表时应该注意方向,要能够完全明白 in 与 out 应正确在接口的哪个方向上。6permit ip any any 与 deny ip any any log 命令语句是用来验证其它包通过时的情况。
