7750 BRAS PPPoE 使用组播时的访问控制filter
IPD
作者:TSC 何锋
【产品类别】: 7750 8.0R6
【CASE ID 】: N/A ,适合用户
【故障级别】:Minor
【关键字】: BRAS PPPoE Multicast IGMP IP-Filter
【故障现象】:
在镇江电信BRAS 试商用项目中,要求当用户PC (机顶盒)以用户名为@vod 后缀方式
进行
PPPoE 拨入时,需要禁止此类型账号的用户访问Internet 。
ip-filter ),对此@vod 用户进行控制,只允许访问Internet )。
7750上配置同样的sla-profile (sla-pppoe-10M )上。发现IPTV 机顶盒播放不流畅,且IPTV 不能成功切换频道。但是修改sla-profile 的ip-filter 为默认forward 后,机顶盒播放流畅,且能成功切换频道。(但是此账号随之也能访问Internet 了)
【告警信息】:无
【原因分析】:
以下是7750上设置的ip-filter (ip-filter 200为7750 sap 的ingress 方向):
A:ZJ-DM-B-AC7750-01>config>filter# ip-filter 200
A:ZJ-DM-B-AC7750-01>config>filter>ip-filter# info
----------------------------------------------
entry 5 create
match
dst-ip 202.102.13.66/32
exit
action forward
exit
entry 10 create
match
dst-ip 218.2.135.1/32
exit
action forward
exit
entry 15 create
match
dst-ip 61.147.37.1/32
exit
action forward
exit
entry 20 create
match
dst-ip 202.102.15.118/32
exit
action forward
exit
entry 25 create
match
dst-ip 221.231.151.2/32
exit
action forward
exit
entry 30 create
match
dst-ip 239.252.152.0/24(IPTV的多播节目频道的地址) exit
action forward
exit
entry 35 create
match
dst-ip 10.205.24.0/24
exit
action forward
exit
entry 40 create
match
dst-ip 58.223.64.0/18
exit
action forward
exit
entry 45 create
match
dst-ip 58.223.128.0/17
exit
action forward
exit
entry 50 create
match
dst-ip 202.102.13.0/24
exit
action forward
exit
entry 55 create
match
dst-ip 221.231.144.0/24
exit
action forward
exit
----------------------------------------------
如果将ip-filter 200的default-action修改成forward后,IPTV播放能正常(但是此账户随之也能访问Internet了,没能进行访问控制)。因此原因应该是访问控制列表的地址范围不正确,有部分地址本应该被放开允许访问,但实际却被以上的ip-filter 200所drop 掉。
【解决方法】:
使用测试的@vod账号并通过PC进行抓包分析,发现机顶盒会向地址224.0.0.1(全网主机)和224.0.0.2(全网路由器)发IGMP报文。
因此,只需要在ip-filter 200(7750 sap的ingress方向)增加一个允许访问条目:
entry 55 create
match
dst-ip 224.0.0.0/24
exit
action forward
exit
并保持ip-filter 200的default-action为drop(ip-filter的默认设置)。
经测试@vod用户IPTV播放正常,IPTV点播、频道切换也工作正常。
【经验教训与总结】:
在7750 BRAS的多播应用中使用访问控制ip-filter时,需要放开224.0.0.1和224.0.0.2等这种协议用多播地址。
【附件】:
无
考试题型 选择题20个(共40分)、填空题10个(共10分)、简单题5个(共20分)、计算题1个(共10分),论述题2个(共20分) 复习要点 第一讲网络管理概论复习要点 1.网络管理的主要功能? 按照国际标准化组织(ISO)的定义,网络管理主要包括五个方面工作,即故障管理、配置管理、计费管理、性能管理、安全管理。 2.网络管理系统的组成?(自己完善) 网络管理系统可以抽象为管理者、管理协议、管理信息库和管理代理四部分组成。 管理者:发出指令与操作 管理协议:通信方式与操作命令的约定(SNMP) 管理代理:驻留在被管实体的进程,负责接收指令,通知事件 管理信息库(MIB):被管对象信息集合 3.SNMP模型的组成与模型图?(自己完善) SNMP管理模型的关键元素: 网管站(Network Management Station):对网络设备发送各种查询报文,并接收来自被管设备的响应及陷阱(trap)报文 代理(Agent):响应查询报文、通过Trap主动发送报文 管理信息库(MIB)
注意:SNMP协议基于UDP协议的,常用的端口为UDP161,162端口 MIB 数据库中的信息由代理(Agent )收集 第二讲 网络规划与设计复习要点 1.网络规划的主要内容?(自己完善) 基础平台设计: 网络逻辑结构设计:协议与标准、网络的拓扑结构、IP 地址规划、虚拟局域网(VLAN )设计、冗余设计等,网络物理结构设计:网络设备、网络服务器、综合布线等服务平台设计:操作系统的选择,网络服务的设计(WWW 、Email 、DNS 、DHCP 等)安全管理平台设计:防火墙、入侵检测系统等设计。 2.IP 地址分类 网络地址:192.168.0.0 有限广播地址:255.255.255.255 回送地址:127.0.0.1(本机地址) 私有地址: 3.子网划分 子网划分方法: (1)确定子网位。 (2)验证主机位。
一、时间安排 2016年1月18日-1月22日期末考试 2016年1月19日-1月25日阅卷 2016年1月8 日-1月26日成绩录入 二、考试题型 选择题20个(共40分)、填空题10个(共10分)、简单题5个(共20分)、计算题1个(共10分),论述题2个(共20分) 三、考试知识点(请同学们一定要认真复习,该记住的一定要记住,如果会做也不要太早提前交卷,考试时间是2个小时,尽量在一个半小时以后才可以交卷哦!,还有不要想着抄袭,不要空着,加油!!!!) 四、复习要点 第一讲网络管理概论复习要点 1.网络管理的主要功能? 按照国际标准化组织(ISO)的定义,网络管理主要包括五个方面工作,即故障管理、配置管理、计费管理、性能管理、安全管理。 2.网络管理系统的组成?(自己完善) 网络管理系统可以抽象为管理者、管理协议、管理信息库和管理代理四部分组成。 管理者:发出指令与操作 管理协议:通信方式与操作命令的约定(SNMP) 管理代理:驻留在被管实体的进程,负责接收指令,通知事件 管理信息库(MIB):被管对象信息集合 3.SNMP模型的组成与模型图?(自己完善) SNMP管理模型的关键元素: 网管站(Network Management Station):对网络设备发送各种查询报文,并接收来自被管设备的响应及陷阱(trap)报文
代理(Agent ):响应查询报文、通过Trap 主动发送报文 管理信息库(MIB) 注意:SNMP协议基于UDP协议的,常用的端口为UDP161,162端口 MIB 数据库中的信息由代理(Agent )收集 第二讲 网络规划与设计复习要点 1.网络规划的主要内容?(自己完善) 基础平台设计: 网络逻辑结构设计:协议与标准、网络的拓扑结构、IP 地址规划、虚拟局域网(VLAN )设计、冗余设计等,网络物理结构设计:网络设备、网络服务器、综合布线等服务平台设计:操作系统的选择,网络服务的设计(WWW 、Email 、DNS 、DHCP 等)安全管理平台设计:防火墙、入侵检测系统等设计。 2.IP 地址分类 网络地址:192.168.0.0 有限广播地址:255.255.255.255 回送地址:127.0.0.1(本机地址) 私有地址: 3.子网划分 子网划分方法: (1)确定子网位。 (2)验证主机位。
第七讲防火墙与NA T配置 (1)包过滤防火墙工作原理 (2)NAT工作原理 (3)在配置NA T时,是ACL还是NA T TABLE 确定哪些内网主机的地址将被转换(4)防火墙分类(包过滤和状态防火墙) (5)NAT的特点(功能) 节约IP地址 提高内网安全性 (6)配置包过滤防火墙的主要步骤(一,制定访问规则二,将访问规则作用在某个接口上) (7)访问控制列表中的反掩码中,0表示网段需要比较,1表示主机,不需要比较 第六讲广域网 (1)PPP协议时TCP/IP中那一层协议(数据链路层协议) (2)PPP协议组包含哪些部分(LCP ,NCP, 验证协议PAPCHAP) (3)广域网数据链路层协议包括哪几种(PPP HDLC, ISDN,帧中继) (4)PPP验证方式有哪几种,PAP CHAP ,他们之间的区别 前者是明文验证,或者是密文验证。如果验证配置正确,显示接口信息,会发现IPCP OPENED, 如果配置有误,验证没有通过,会有IPCP INITIAL (5) 在配置验证过程中,如果只配置了主验证方,不配被验证方,通信正常么?(不正常)如果不配置主验证方,只配置被验证方,通信正常么(正常) (6)LOCAL-USER代表哪一方的用户(对方) (7)广域网常见的几种数据传输方式(点到点,电路交换,分组交换) 第五讲 (1)路由器的功能(寻路,转发) (2)如何查看路由器的型号和软硬件版本,DIS VERSION) (3)第一次拿到路由器,有几种方式登录上去(一种,CONSOLE) (4)如何更改路由器名称 (5)如何配置路由器的IP地址(如果配置交换机IP地址) (6)避免环路常用的措施是什么(水平分割,毒性逆转) (7)路由协议的分类(RIP ,OSPF) (8)缺省路由概念 第四讲 (1)缺省情况下,交换机上的所有端口属于哪一个VLAN(VLAN1) (2)Vlan最大编号是多少(4096) (3)交换机端口链路类型分为(ACCESS, TRUNK,,HYBRID) (4)什么是广播域(接收同样广播消息的节点的集合。) (5)Vlan基本功能是什么(隔离广播域) (6)不同VLAN之间互通为什么要用路由 (7)VLAN分类 (8)三层交换机基本功能(vlan内部二层交换,vlan间路由,vlan划分) (9)何种情况下需要在设备上配置静态路由(无动态路由协议情况下要到达非直连网段) (10)查看路由表的命令是什么 (11)用什么命令查看具体VLAN所包含的端口(DIS VLAN 2) 第三讲
石河子大学信息科学与技术学院 网络工程实验报告 课题名称:配置实现访问控制列表ACL 学生姓名: 学号: 学院:信息科学与技术学院专业年级: 指导教师: 完成日期:2014年4月25日
一、实验目的 1、熟练掌握2种访问控制列表的配置实现技术,特别掌握扩展ACL的配置方法。 2、掌握使用show access-list,show access-lists和show ip interface [接口名]等命令对路由器ACL列表是否创建及其内容的各种查看和跟踪方法。 3、能按要求利用Cisco Packet Tracer V5.00 模拟配置工具绘制出本实验的 网络拓扑图,并能实现拓扑的物理连接 4、熟悉2种ACL的配置方法及基本操作步骤,掌握在存根网络中利用ACL将路由器配置为包过滤防火墙的方法 二、实验环境 PC机一台,并安装PACKET TRACER 5.0或以上版本 三、实验步骤 1、本实验的拓扑,如图所示:
2,PC0~PC2,server0,server1的IP配置: Step2:配置PC0的IP、子网掩码、默认网关、DNS 4项基本参数;(PC0: 1.1.1.100 255.255.255.0 GW: 1.1.1.3 DNS: 2.2.2.200) Step3:配置PC1的IP、子网掩码、默认网关、DNS 4项基本参数;(PC1: 1.1.1.200 255.255.255.0 GW: 1.1.1.3 DNS: 2.2.2.200) Step4:配置PC2的IP、子网掩码、默认网关、DNS 4项基本参数;(PC2: 2.2.2.100 255.255.255.0 GW: 2.2.2.1 DNS: 2.2.2.200) Step5:配置Server-PT Server0的IP、子网掩码、默认网关3项基本参数;(Server0: 2.2.2.200 255.255.255.0 GW: 2.2.2.1) Step6:配置Server-PT Server1的IP、子网掩码、默认网关3项基本参数;(Server0: 4.4.4.100 255.255.255.0 GW: 4.4.4.1)
H3C交换机典型(ACL)访问控制列表配置实例 一、组网需求: 2.要求配置高级访问控制列表,禁止研发部门与技术支援部门之间互访,并限制研发部门在上班时间8:00至18:00访问工资查询服务器; 三、配置步骤: H3C 3600 5600 5100系列交换机典型访问控制列表配置 共用配置 1.根据组网图,创建四个vlan,对应加入各个端口
需求1配置(基本ACL配置) 1.进入2000号的基本访问控制列表视图 [H3C-GigabitEthernet1/0/1] acl number 2000 3.在接口上应用2000号ACL 需求2 1.进入 [H3C] 2 3 4 [H3C-GigabitEthernet1/0/2] packet-filter inbound ip-group 3000 需求3配置(二层ACL配置) 1.进入4000号的二层访问控制列表视图 [H3C] acl number 4000 2.定义访问规则过滤源MAC为00e0-fc01-0101的报文 [H3C-acl-ethernetframe-4000] rule 1 deny source 00e0-fc01-0101 ffff-ffff-ffff time-range Huawei
目 录 课程表: (1) 开学、师资、教材、路由器及模块介绍 第一讲: (2) 资源环境及路由机架拓扑分析 (2) 第二讲:路由器及通信服务器的基本配置、思科认证 (5) 第三讲:路由器的各种密码设置及接口地址设置 (7) 第四讲:两地互连路由配置,路由变PC,模拟器的使用,静态路由 (9) 第五讲:三地互连路由配置,环回接口的使用,动态RIP路由 (16) 第六讲:路由器优化配置,默认路由,上下文帮助,IGRP路由协议 (22) 第七讲:有类路由与无类路由及IP地址的企业化应用 (28) 第八讲:EIGRP路由协议及CCNA认证考试及考题分析 (33) 第九讲:OSPF路由协议及MD7密码破解 (38) 第十讲:路由原理、编辑命令及网络案例故障分析 (40) 第十一讲:标准访问控制列表 (43) 第十二讲:扩展访问控制列表 (47) 第十三讲:命名及VTY访问控制列表,静态NAT (50) 第十四讲:动态NAT及端口NAT (53) 第十五讲:路由器的启动过程及特权密码破解 (58) 第十六讲:PPP配置、IOS及配置文件的升级与备份 (62) 第十七讲:帧中继的配置 (74) 第十八讲:帧中继的配置及排错 (78) 第十九讲:交换机的启动、工作原理及基本配置 (85) 第二十讲:交换机的安全配置 (86) 第二十一讲:交换机的VLAN配置 (90) 第二十二讲:单臂路由、VTP (96) 网络案例及通信服务器(总路由器)的配置 (97) 第二十三讲:综合练习 (105) ;
第二讲 路由器及通信服务器的基本配置 思科认证体系介绍 本课重点:掌握终端服务器及路由器的基本配置 实验一: COMM_SERV_RACK1>r1 回车 Translating "r1" 再回车 Trying r1 (1.1.1.1, 2001)... Open R1> --------------如要从该路由器返回到通信服务器 ctrl+shift+6 x ---返回到总路由器(通信服务器) show session -----显示会话数(占用了几个路由器) show host --------显示总路由器所连的设备代号 disconnect 1------主动释放某台路由器 show user --------显示连接到总路由器的用户 clear line 19 ---踢除某个用户 clear line 5 ----踢除5号线所连设备 quit/exit----------退出总路由器,释放所有路由器 实验二: R1: enable -----进入特权模式 disable-----从特权模式返回到用户模式 enable -----再次进入特权模式 config terminal----进入全局模式 exit ----返回上一层相当于DOS环境中的cd.. config terminal interface serial0 ---进入接口模式(26xx系列路由器如:r5则使用serial0/0) ip address 192.168.51.1 255.255.255.0 clock rate 64000 ----配置时钟(DCE) no shutdown -----------激活启用当前接口 end------返回到最顶层相当于DOS环境中的cd\ config terminal hostname r100----给路由器命名(区分大小写r1,从通信服务器转过来还用线名r1,非路由器名) end disable ping 192.168.xy.x/y !!!!!---拼通 .....---查错
第七讲防火墙与NAT配置 (1)包过滤防火墙工作原理 (2)NAT工作原理 (3)在配置NAT时,是ACL还是NAT TABLE确定哪些内网主机的地址将被转换(4)防火墙分类(包过滤和状态防火墙) (5)NAT的特点(功能) 节约IP地址 提高内网安全性 (6)配置包过滤防火墙的主要步骤(一,制定访问规则二,将访问规则作用在某个接口上) (7)访问控制列表中的反掩码中,0表示网段需要比较,1表示主机,不需要比较 第六讲广域网 (1)PPP协议时TCP/IP中那一层协议(数据链路层协议) (2)PPP协议组包含哪些部分(LCP,NCP,验证协议PAPCHAP) (3)广域网数据链路层协议包括哪几种(PPP HDLC,ISDN,帧中继) (4)PPP验证方式有哪几种,PAP CHAP,他们之间的区别 前者是明文验证,或者是密文验证。如果验证配置正确,显示接口信息,会发现IPCP OPENED,如果配置有误,验证没有通过,会有IPCP INITIAL (5)在配置验证过程中,如果只配置了主验证方,不配被验证方,通信正常么?(不正常)如果不配置主验证方,只配置被验证方,通信正常么(正常) (6)LOCAL-USER代表哪一方的用户(对方) (7)广域网常见的几种数据传输方式(点到点,电路交换,分组交换) 第五讲 (1)路由器的功能(寻路,转发) (2)如何查看路由器的型号和软硬件版本,DIS VERSION) (3)第一次拿到路由器,有几种方式登录上去(一种,CONSOLE) (4)如何更改路由器名称 (5)如何配置路由器的IP地址(如果配置交换机IP地址) (6)避免环路常用的措施是什么(水平分割,毒性逆转) (7)路由协议的分类(RIP,OSPF) (8)缺省路由概念 第四讲 (1)缺省情况下,交换机上的所有端口属于哪一个VLAN(VLAN1) (2)Vlan最大编号是多少(4096) (3)交换机端口链路类型分为(ACCESS,TRUNK,,HYBRID) (4)什么是广播域(接收同样广播消息的节点的集合。) (5)Vlan基本功能是什么(隔离广播域) (6)不同VLAN之间互通为什么要用路由 (7)VLAN分类 (8)三层交换机基本功能(vlan内部二层交换,vlan间路由,vlan划分) (9)何种情况下需要在设备上配置静态路由(无动态路由协议情况下要到达非直连网段) (10)查看路由表的命令是什么 (11)用什么命令查看具体VLAN所包含的端口(DIS VLAN2) 第三讲
ACL访问控制列表 Acl通常有两种,一种为标准的,一种有扩展的。 H3C标准ACL的序号为2000-2999 扩展的ACL序号为3000-3999 [RT1]firewall enable --开启防火墙功能 [RT1]acl num 2000 --写标准的ACL。(2000-2999) [RT1-acl-basic-2000]rule 0 deny source 1.1.1.0 0.0.0.255 --匹配源地址 [RT1-GigabitEthernet0/0/0]firewall packet-filter 2000 inbound --在入接口调用 [RT2]ip route-static 0.0.0.0 0.0.0.0 12.1.1.1 --加个默认路由,保证包能回来。 接下来我们更改ACL的写法,达到同样的目的! 首先将firewall默认的最后一条语句改为deny. [RT1]firewall default deny [RT1]acl num 2000 [RT1-acl-basic-2000]rule permit source 2.2.2.10 0 [RT1-acl-basic-2000]int g0/0/2 [RT1-GigabitEthernet0/0/2]firewall packet-filter 2000 outbound 因为acl的匹配原则为从上到下依次匹配,匹配到了就执行选项,deny或者是permit。在ACL,最后有一条隐含的语句。默认是permit any。可以更改!
下面写ACL,要求达到PC2可以Ping通R2。但是R2不能Ping通PC2。这个就需要运行扩展的ACL。 [RT1]acl number 3000 [RT1-acl-adv-3000]rule 0 deny icmp icmp-type echo source 12.1.1.2 0 destination 2.2.2.10 0 [RT1-acl-adv-3000]int g0/0/2 [RT1-GigabitEthernet0/0/2]firewall packet-filter 3000 inbound 验证一下实验结果; 要求,R1可以telnet到R3上,但是R1不能够Ping通R3。 R2: [RT2]firewall enable [RT2]acl num 3000 [RT2-acl-adv-3000]rule 0 permit tcp source 12.1.1.1 0 destination 23.2.2.3 0 destination-port eq 23 [RT2-acl-adv-3000]rule 5 deny icmp source 12.1.1.1 0 destination 23.2.2.3 0 [RT2-acl-adv-3000]int g0/0/1 [RT2-GigabitEthernet0/0/1]firewall packet-filter 3000 outbound 接下来在R3上开启telnet服务 [RT3]telnet server enable % Start Telnet server [RT3]user-interface vty 0 3 [RT3-ui-vty0-3]authentication-mode none [RT3-ui-vty0-3]quit
访问控制列表ACL的配置与使用 访问控制列表,即Access Control List,以下简称ACL,是路由器、交换机等网络设备上最常用的功能之一。可以说大多数的网络协议都跟ACL有着千丝万缕的联系,所以要弄清楚ACL的用法非常重要。 实际上,ACL的本质就是用于描述一个IP数据包、以太网数据帧若干特征的集合。然后根据这些集合去匹配网络中的流量(由大量数据包组成),同时根据策略来“允许”或者“禁止”。 ACL的基本原理: 1、ACL由若干条件,并按照一定的顺序而成,同时每个条件都对应了一个策略:允许或者禁止。 2、收到一个数据帧之后,ACL会按照从上到下的顺序逐一匹配: ●一个条件不匹配就查看下一个; ●任意一个条件匹配后就按照指定的策略执行,并跳出匹配; ●所有条件都不匹配时,默认禁止,即deny。 根据条件描述的不同,我们通常可以将IP ACL分为基本型和扩展型两种。 其中基本型只能就数据包的源ip地址进行匹配; 而扩展型ACL就可以对源IP、目的IP、协议号(判断tcp/udp/icmp等)、源端口号、目的端口号、QoS 参数(tos、precedence)等参数来进行定义,同时在匹配时,还可以根据路由器系统时间(time-range)来变化、还可以选择是否生成日志(log)等,功能非常强大。 显然标准型ACL功能非常简单,而扩展型ACL功能非常强大;但是功能越强大,匹配的越详细,对于路由器等网络设备的性能要求越高,或者对于网速的拖慢越明显。组网时需要酌情使用。 不过有一点,两种类型的ACL在原理上是完全一致的。 标准型ACL只能匹配源IP地址,在实际操作中,有三种匹配方式: 1、any,任意地址 2、
网络工程课程设计报告 完成日期:2012年5月3日 题目名称: 配置实现访问控制列表ACL 专业班级: 电信09(1)班 学生姓名: 黄永生 学生学号: 2009082333 指导教师: 曹传东
路由器配置实验:配置实现ACL 一、实验目的 1.熟练掌握2种访问控制列表的配置实现技术,特别掌握扩展ACL的配置方法。 2.掌握使用show access-list,show access-lists和show ip interface [接口名]等命令对路由器ACL列表是否创建及其内容的各种查看和跟踪方法。 3.能按要求利用Cisco Packet Tracer V5.00 模拟配置工具绘制出本实验的网络拓扑图,并能实现拓扑的物理连接 4.熟悉2种ACL的配置方法及基本操作步骤,掌握在存根网络中利用ACL将路由器配置为包过滤防火墙的方法 二、实验环境 PC机一台,并安装PACKET TRACER 5.0或以上版本 三、实验步骤 1.每人一机,安装并配置Cisco Packet Tracer V5.00模拟配置工具 2.在Cisco Packet Tracer V5.00模拟配置路由器中通过添加和连接设备构建出本 实验的实际相应的拓扑 实验拓扑: 3、逐个单击网络拓扑图中的每台设备,进入设备的命令交互操作,进行工作模式的切换和选择 4、利用命令检查设备的相关配置及信息 5、联系使用路由器/交换机IOS提供的CLI帮助系统和常用编辑功能键 6、在Cisco Packet Tracer V5.0模拟配置工具中,依据绘制的出的本实验的网络拓扑图,进行相应的设备基本呢配置及配置检查测试
访问控制列表(ACL) 第1节 理解ACL如何工作 最重要,也最强大的事情是需要一系列的访问控制。访问控制列表是一种细粒度,易维护以及易管理的方式来管理应用程序权限。访问控制列表或 ACL[1]处理2件主要的事情:他们想要的事情,以及想要他们的事情。按照ACL的行话来说,事情想要的使用的原料(最常见的是用户)称为访问请求对象,或者ARO(Access Request Object)。这些实体之所以称为'对象',是因为有的时候请求的对象不是一个人-有的时候你可能想限制访问某个Cake Controller,而此Controller在应用程序的其它部分不得不初始化逻辑。ACO可以是你想控制的任何东西,从一个Controller动作,到一个Web Service,或到一个你祖母的在线日记上去。 为了即刻使用所有的缩写形式,可以如下:ACL是用来决定一个ARO什么时候可以访问一个ACO。 现在,为了帮助你理解它,让我们使用一个实际的例子吧。假想一下,再过一会,一个冒险家们使用的计算机系统。这组冒险家的老大在为其他人员维护一个正常程度的隐私和安全时,他又想继续处理他们的请求。其中涉及到的ARO如下: Gandalf Aragorn Bilbo Frodo Gollum Legolas Gimli Pippin Merry 这些就是系统里的实体,他们会请求系统的东西(ACO)。你应该注意到ACL并“不是”一个系统,它的意思是指认证的用户。你也应该有一种方式来存储用户信息,而且当用户进入系统时,能够验证他们的身份。一旦你知道用户是谁时,这就是ACL真正发光之处!OK,还是让我们回到冒险家那里吧。 Gandalf需要做的下一件事情是制作一个系统会处理的东西(或ACO)的初始化列表.他的列表可能如下: 武器(Weapon) 环(Ring) 咸肉(Salted Pork) 外交策略(Diplomacy) 啤酒(Ale) 传统上,我们会使用一组矩阵来管理系统,此矩阵展示了一组用户和与之相关对象的权限。如果此信息存储在一个表里,它可能会像下面这样,其中X表示拒绝访问,O代表允许访问:
课设5:访问控制列表ACL的配置 【实验目的】: 1.熟悉掌握网络的基本配置连接 2.对网络的访问性进行配置 【实验说明】: 路由器为了过滤数据包,需要配置一系列的规则,以决定什么样的数据包能够通过,这些规则就是通过访问控制列表ACL定义的。访问控制列表是偶permit/deny语句组成的一系列有顺序的规则,这些规则根据数据包的源地址、目的地址、端口号等来描述。 【实验设备】:
【实验过程记录】: 步骤1:搭建拓扑结构,进行配置 (1)搭建网络拓扑图: (2 虚拟机名IP地址Gateway PC0 192.168.1.1 192.168.1.254 PC1 192.168.1.2 192.168.1.254 PC2 196.168.1.1 196.168.1.254 PC3 195.168.1.1 195.168.1.254 PC4 197.168.1.1 197.168.1.254 上节课的实验已经展示了如何配置网关和IP地址,所以本次实验将不再展示,其配置对应数据见上表。 (3)设置路由信息并测试rip是否连通
三个路由器均做route操作。 对rip结果进行测试,测试结果为连通。
(4)连通后对访问控制列表ACL进行配置 代码如下: Route(config)#route rip Route(config-route)#net 194.168.1.0 Route(config-route)#net 195.168.1.0 Route(config-route)#exit Route(config)#access-list 1 deny 192.168.1.0 0.0.0.255 Route(config)#access-list 1 permit any Route(config)#int s3/0 Route(config-if)#ip access-group 1 in Route(config-if)#end
CISCO路由器中的access-list(访问列表)最基本的有两种,分别是标准访问列表和扩展访问列表,二者的区别主要是前者是基于目标地址的数据包过滤,而后者是基于目标地址、源地址和网络协议及其端口的数据包过滤。 (1)标准型IP访问列表的格式 ---- 标准型IP访问列表的格式如下: ---- access-list[list number][permit|deny][source address] ---- [address][wildcard mask][log] ---- 下面解释一下标准型IP访问列表的关键字和参数。首先,在access和list这2个关键字之间必须有一个连字符"-";其次,list number的范围在0~99之间,这表明该access-list 语句是一个普通的标准型IP访问列表语句。因为对于Cisco IOS,在0~99之间的数字指示出该访问列表和IP协议有关,所以list number参数具有双重功能: (1)定义访问列表的操作协议; (2)通知IOS在处理access-list语句时,把相同的list number参数作为同一实体对待。正如本文在后面所讨论的,扩展型IP访问列表也是通过list number(范围是100~199之间的数字)而表现其特点的。因此,当运用访问列表时,还需要补充如下重要的规则: 在需要创建访问列表的时候,需要选择适当的list number参数。 ---- (2)允许/拒绝数据包通过 ---- 在标准型IP访问列表中,使用permit语句可以使得和访问列表项目匹配的数据包通过接口,而deny语句可以在接口过滤掉和访问列表项目匹配的数据包。source address代表主机的IP地址,利用不同掩码的组合可以指定主机。 ---- 为了更好地了解IP地址和通配符掩码的作用,这里举一个例子。假设您的公司有一个分支机构,其IP地址为C类的192.46.28.0。在您的公司,每个分支机构都需要通过总部的路由器访问Internet。要实现这点,您就可以使用一个通配符掩码0.0.0.255。因为C类IP地址的最后一组数字代表主机,把它们都置1即允许总部访问网络上的每一台主机。因此,您的标准型IP访问列表中的access-list语句如下: ---- access-list 1 permit 192.46.28.0 0.0.0.255 ---- 注意,通配符掩码是子网掩码的补充。因此,如果您是网络高手,您可以先确定子网掩码,然后把它转换成可应用的通配符掩码。这里,又可以补充一条访问列表的规则5。