工单任务1 使用标准访问控制列表实现流量控制
一、工作准备
想一想
什么是ACL?它的主要作用是什么?
写一写
写出在路由器RA上配置一条ACL的命令,列表编号为10,允许192.168.1.0网段数据包通过,并在接口(out)上应用访问控制列表。
二、任务描述
任务场景
配置全网互通及ACL。要求PC1可以访问PC2,PC1不能访问PC3,PC2和PC3可以相互访问,如图3-1所示。
施工拓扑
施工拓扑图如图3-1所示。
图3-1 施工拓扑图
设备环境
本实验采用Packet Tracer进行实验,使用的路由器型号为Router-PT,数量为2台,计算机3台。
三、任务实施
1.R1和R2的接口配置
(1)R1配置。
(2)R2配置。
2.配置RIP协议实现全网通
(1)R1的配置。
(2)R2的配置。
(3)ACL配置。
3.验证配置
(1)PC1 ping PC2。
(2)PC1 ping PC3。
(3)PC2 ping PC3。
通过上面的测试发现配置正确,实验成功。
任务归纳
标准访问控制列表只能对源地址进行控制,一般用于绑定一些网络业务,如Nat、策略路由等。
四、任务评价
五、相关知识
1.ACL的基本概念
访问控制列表(Access Control Lists,ACL)使用包过滤技术,在路由器上读取第3层或第4层包头中的信息,如源地址、目的地址、源端口、目的端口及上层协议等,根据预先定义的规则决定哪些数据包可以接收、哪些数据包需要拒绝,从而达到访问控制的目的。配置路由器的访问控制列表是网络管理员的一件经常性的工作。
2.ACL的作用
ACL的作用主要表现在两个方面:一方面保护资源节点,阻止非法用户对资源节点的访问;另一方面限制特定的用户节点所能具备的访问权限。
①检查和过滤数据包。
②限制网络流量,提高网络性能。
③限制或减少路由更新的内容。
④提供网络访问的基本安全级别。
3.工作原理
当一个数据包进入路由器的某一个接口时,路由器首先检查该数据包是否可路由或可桥接。然后路由器检查是否在入站接口上应用了ACL。如果有ACL,就将该数据包与ACL中的条件语句相比较。如果数据包被允许通过,就继续检查路由器选择表条目,以决定转发到的目的接口。ACL不过滤由路由器本身发出的数据包,只过滤经过路由器的数据包。之后路由器检查目的接口是否应用了ACL,如果没有应用,数据包就被直接送到目的接口输出,如图3-2所示。
图3-2 ACL工作原理
4.标准访问控制列表
最广泛使用的访问控制列表是IP访问控制列表,IP访问控制列表工作于TCP/IP协议组。按照访问控制列表检查IP数据包参数的不同,可以将其分成标准ACL和扩展ACL两种类型。
5.标准ACL的工作过程
标准ACL的工作过程如图3-3所示。
图3-3 标准ACL工作过程
6.ACL配置
(1)创建标准ACL列表。
(2)进入接口。
(3)配置ACL在接口的应用方向。
标准ACL参数信息如表3-1所示。
表3-1 标准ACL参数信息
六、课后练习
1.下列是正确的标准ACL的编号的是( )。
A.1~99 B.100~199 C.200~299 D.0~100
2.在锐捷交换机上配置专家ACL来放通ARP报文,下列配置错误的是( )。(多选题)
A.permit ip any any any any B.permit arp any any any any any
C.permit 0x0806 any any any any any D.permit 0x08dd any any any any any
3.在网络中使用ACL的路由不包括( )。
A.过滤穿过路由器的流量
B.定义符合某种特征的流量,在其他策略中调用
C.控制穿过路由器的广播流量
D.控制进入路由器的VTY访问
4.标准ACL以( )作为判别条件。
A.数据包大小 B.数据包的端口号
C.数据包的源地址 D.数据包的目的地址