Un.、CritèresACL

1、ACLConcepts de base

1.1、Qu'est - ce qu'une liste de contrôle d'accès

• Est une technologie de contrôle d'accès basée sur le filtrage de paquets（Démonter la couche réseauIPAdresse),Largement utilisé dans le routeur et les commutateurs à trois niveaux,Filtrage à partir de quintiles de paquets（SourceIP,ObjectifsP,Port Source,Port de destination,Accord)
• Lire les trois couches(Couche réseau)Et quatre étages（Couche de transmission)

1.2、Comment ça marche

• Tendance du flux de données（C'est sûr.,Entrée ou sortie du routeur,La suggestion est queACLAppliquer à l'entrée,Cela réduit la charge de travail du routeur)
• Processus de travail
  

1.3、Classification des listes de contrôle d'accès(Cisco Equipment)

• Critères
• • Basé sur la sourcePAdresse pour le contrôle.
• • Tableau No.:1~99
• Extension
• • Basé sur la sourceIP、ObjectifIP、Spécifiez l'accord、Numéro de port、Bits de drapeau pour filtrer.
• • Tableau No.:100~199
• Nom
• • Pas de numéro de tableau , Utilisez le nom comme numéro de tableau
• • Utilisation directe: standard Marque d'identification ACL extendedExtension de l'identitéACL

1.4、Configuration

Configuration I： Configurer la liste de contrôle d'accès standard

#Création
access-list 1 permit/deny host 192.168.1.1#Un hôte
access-list 1 permit/deny 192.168.1.1 0.0.0.0#Un hôte
access-list 1 permit/deny 192.168.1.0 0.0.0.255#Un segment réseau
access-7ist 1 permit /deny any#Tous les
# Appliquer une liste de contrôle d'accès aux interfaces 
int f0/0
ip access-group 1 in/out
#in Cette interface est l'entrée 
#out Cette interface est une sortie 

1.5、ACLRègles d'application

• Une seule liste de contrôle d'accès peut être appliquée dans une seule direction d'une interface

access-list 1 deny host 192.168.1.1
access-list 2 deny host 192.168.2.1
int f0/0
ip access-group 1 in# Cet article entre en vigueur 
ip access-aroup 2 in #  Cet article n'entre pas en vigueur 
ip access-aroup 2 out # Il n'y a rien dans l'autre direction 192.168.2.1 Message de communication pour , Donc ça revient à rien , Et utiliser les ressources pour rien 
 

L'expérience：CritèresACL
1、 Placer l'appareil et le câblage comme indiqué ci - dessous ,Et configurerIPAdresse

2、ping Pour configurer ACL

3、 Configurer d'abord le rejet , Reconfigurer permet . Dernière entrée d'application



4、PC0Impossible d'accéder àPC2,PC1AccessiblePC2.Terminer l'expérience

2.、ExtensionACL

access-list 100 permit/deny Accord(icmp ip tcp udp) Adresse de la source Adresse de destination(eq/gt/lt/neq/range) Numéro de port

L'expérience:ExtensionACL
1、 Placer l'appareil et le câblage comme indiqué ,Configurer comme indiquéIP

Notez que le serveur doit également être configuré IP

2、Configurer le serveur

3、Configurer le routage statique


4、 L'inspection peut pingSur le serveur


5、Détectionhttp Communication possible


6、DétectiondnsCapable de communiquer




7、Exigences expérimentales
1、PC0Impossible d'accéder au serveur0DeDNSServices, Les autres services ne sont pas touchés
2、PC1Impossible d'accéder au serveur0DehttpServices, Les autres services ne sont pas touchés
3、 Aucun des deux hôtes ne peut pingSur le serveur0
Attention!：ConfigurationACLAvant, Il faut d'abord l'interopérabilité du réseau
Et quand il y a plus de routeurs sur le réseau , Vous devez déterminer sur quel routeur configurer ACL Après avoir identifié le routeur configuré , Vous devez déterminer si la configuration est à l'entrée ou à la sortie



8、Inspection






9、 Inspection d'autres services



Réussite de l'expérience .

Trois、NomACL

Continuer l'expansionACLExpérience
1、SupprimerACL. Que ce soit standard ACLOu l'extensionACL, On ne peut que tout effacer , Impossible de supprimer un , C'est le mal
Oui.pingOK., Confirmer la suppression terminée ：

2、 Configurer le nom ACL

3、 Voir et appliquer


4、Inspection
pc0pingPas de serveur：

pc1- Oui.pingPas de serveur：

pc1 Impossible d'accéder à la page web ：

pc1Accessibledns：

pc0CompagnieftpPas d'accès non plus.：

5、Nous voulonspc0Accès au serveur, Alors supprimez le numéro 10Entrée pour

Supprimer l'opération ：

DécouvertePC0Accessible:

6、Oui.pc0 Toutes les autres opérations sont possibles ,C'est impossible.pingSur le serveur


pingÇa ne marche pas., Mais d'autres opérations peuvent être effectuées