08利用路由器實(shí)現(xiàn)網(wǎng)絡(luò)數(shù)據(jù)的篩選學(xué)習(xí)訪問控制列表基本原理01訪問控制列表簡(jiǎn)介與設(shè)計(jì)要點(diǎn)

訪問控制列表簡(jiǎn)介ACL利用三層技術(shù)高效控制數(shù)據(jù)，依據(jù)IP地址等信息過濾、分類和刪除數(shù)據(jù)，實(shí)現(xiàn)網(wǎng)絡(luò)訪問控制。

設(shè)計(jì)要點(diǎn)設(shè)計(jì)ACL配置時(shí)需考慮檢查過濾數(shù)據(jù)包、控制路由流量、匹配NAT流量及策略路由，確保網(wǎng)絡(luò)管理高效靈活。

自上而下的處理方式訪問控制列表配置默認(rèn)有序列號(hào)排序，需考慮語句順序，匹配范圍由小到大，一條規(guī)則匹配成功后不再匹配后續(xù)語句。

添加表項(xiàng)添加的語句一般自動(dòng)放入控制列表末尾，也可在語句前放置序號(hào)提前放置，但不能覆蓋已存在序號(hào)。訪問控制列表簡(jiǎn)介與設(shè)計(jì)要點(diǎn)訪問控制列表放置位置基本訪問控制列表放置在距離目的節(jié)點(diǎn)較近位置，高級(jí)訪問控制列表放置在離源地址較近位置。應(yīng)用方向訪問控制列表應(yīng)用在路由器接口，分為對(duì)進(jìn)入接口數(shù)據(jù)匹配和對(duì)離開接口數(shù)據(jù)匹配。注意事項(xiàng)所有規(guī)則不匹配時(shí)，普通數(shù)據(jù)路由轉(zhuǎn)發(fā)，Telnet和路由過濾數(shù)據(jù)不允許轉(zhuǎn)發(fā)，需有效設(shè)計(jì)語句。數(shù)據(jù)匹配（反掩碼）

ACL命令解析反掩碼是網(wǎng)絡(luò)地址后的反向數(shù)字串，1對(duì)應(yīng)位可不匹配，0對(duì)應(yīng)位須完全匹配，32位運(yùn)算告知路由器匹配地址位。

網(wǎng)絡(luò)地址與反掩碼網(wǎng)絡(luò)地址通過網(wǎng)絡(luò)號(hào)與掩碼運(yùn)算確定范圍，同一范圍內(nèi)為局域網(wǎng)用戶，ACL用反掩碼精細(xì)確定需過濾用戶。

反掩碼與網(wǎng)絡(luò)號(hào)的關(guān)系反掩碼與網(wǎng)絡(luò)號(hào)完全相反，掩碼對(duì)應(yīng)網(wǎng)絡(luò)地址得網(wǎng)絡(luò)范圍，反掩碼對(duì)應(yīng)網(wǎng)絡(luò)地址可匹配篩選范圍。訪問控制列表的類型

訪問控制列表類型訪問控制列表分為基本、高級(jí)和二層類型。基本ACL匹配源IP等，高級(jí)ACL匹配源/目的IP、端口等，二層ACL匹配MAC地址等。

訪問控制列表編號(hào)范圍基本訪問控制列表號(hào)2000~2999，高級(jí)3000~3999，二層4000~4999。訪問控制列表配置應(yīng)用方法02學(xué)習(xí)情境

學(xué)習(xí)情境小張跟隨王師傅指導(dǎo)，于模擬器實(shí)踐網(wǎng)絡(luò)拓?fù)浯罱ǎ钊胝莆赵L問控制列表配置技巧及差異。

實(shí)踐內(nèi)容重點(diǎn)學(xué)習(xí)訪問控制列表基礎(chǔ)，體驗(yàn)不同類型的配置流程，理解其功能與應(yīng)用區(qū)別。子任務(wù)1利用基本ACL實(shí)現(xiàn)數(shù)據(jù)篩選：搭建網(wǎng)絡(luò)拓?fù)?/p>

網(wǎng)絡(luò)拓?fù)渑c配置目標(biāo)使用圖8-2網(wǎng)絡(luò)拓?fù)溲菔净続CL應(yīng)用，通過路由器過濾數(shù)據(jù)，僅允許管理員計(jì)算機(jī)PC1訪問服務(wù)器。子任務(wù)1利用基本ACL實(shí)現(xiàn)數(shù)據(jù)篩選：搭建網(wǎng)絡(luò)拓?fù)溆?jì)算機(jī)和路由器接口的網(wǎng)絡(luò)參數(shù)

網(wǎng)絡(luò)拓?fù)浯罱ㄍㄟ^R1與R2的G0/0/0接口互聯(lián)，E1/0/0與G0/0/1連接不同網(wǎng)段，PC1、PC2及Server1接入相應(yīng)網(wǎng)段，配置IP與網(wǎng)關(guān)實(shí)現(xiàn)通信。

設(shè)備接口參數(shù)R1的G0/0/0與E1/0/0，R2的G0/0/0與G0/0/1設(shè)定IP地址，PC1、PC2、Server1配置IP與默認(rèn)網(wǎng)關(guān)，確保網(wǎng)絡(luò)連通性。子任務(wù)1利用基本ACL實(shí)現(xiàn)數(shù)據(jù)篩選：配置網(wǎng)絡(luò)參數(shù)配置R1的接口地址

進(jìn)入R1的GigabitEthernet0/0/0接口，配置IP地址24；進(jìn)入Ethernet1/0/0接口，配置IP地址25。配置R2的接口地址

R2的GigabitEthernet0/0/0接口地址為/24，GigabitEthernet0/0/1接口地址為/24。子任務(wù)1利用基本ACL實(shí)現(xiàn)數(shù)據(jù)篩選步驟3配置路由在路由器R1和R2上配置靜態(tài)路由確保全網(wǎng)通信，R1配置24網(wǎng)段路由指向，R2配置24網(wǎng)段路由指向。測(cè)試網(wǎng)絡(luò)通信主要測(cè)試兩臺(tái)計(jì)算機(jī)能否訪問服務(wù)器，如果配置沒有錯(cuò)誤，應(yīng)該是能夠正常訪問，測(cè)試過程請(qǐng)讀者自行操作。子任務(wù)1利用基本ACL實(shí)現(xiàn)數(shù)據(jù)篩選：配置基本ACL

配置基本ACL配置基本ACL，允許PC1訪問服務(wù)器，基于源IP過濾，應(yīng)用于R1的G0/0/1接口出站方向。子任務(wù)1利用基本ACL實(shí)現(xiàn)數(shù)據(jù)篩選：配置基本ACL編寫基本ACL規(guī)則

子任務(wù)1創(chuàng)建基本ACL2000，允許源IP0數(shù)據(jù)，隨后規(guī)則拒絕所有其他數(shù)據(jù)，確保非特許數(shù)據(jù)無法通過。子任務(wù)1利用基本ACL實(shí)現(xiàn)數(shù)據(jù)篩選：配置基本ACL應(yīng)用基本ACL于路由器接口將基本ACL應(yīng)用到路由器R1的G0/0/1接口出去的方向，命令為[R1-GigabitEthernet0/0/1]traffic-filteroutboundacl2000。子任務(wù)1利用基本ACL實(shí)現(xiàn)數(shù)據(jù)篩選：配置基本ACL測(cè)試與查看信息

子任務(wù)1配置基本ACL，允許源地址0訪問，拒絕其他，共匹配23個(gè)數(shù)據(jù)包。

測(cè)試通信PC1與Server1通信正常，PC2與Server1通信中斷，驗(yàn)證ACL效果。子任務(wù)2利用基本ACL控制Telnet數(shù)據(jù)篩選Telnet登錄控制通過基本ACL限制特定計(jì)算機(jī)遠(yuǎn)程登錄R1，保障網(wǎng)絡(luò)安全，精準(zhǔn)控制Telnet數(shù)據(jù)流。ACL配置位置不同于普通數(shù)據(jù)流，Telnet控制的ACL需配置于R1的VTY入站方向，精確管理遠(yuǎn)程登錄源。子任務(wù)2利用基本ACL控制Telnet數(shù)據(jù)篩選：開啟R1的VTY

開啟R1的VTY設(shè)置VTY接口，配置登錄密碼為"huawei"，限制遠(yuǎn)程訪問安全。

測(cè)試Telnet登錄在R2與PC3上嘗試Telnet登錄R1，驗(yàn)證ACL效果，確保數(shù)據(jù)篩選準(zhǔn)確。子任務(wù)2利用基本ACL控制Telnet數(shù)據(jù)篩選：開啟R1的VTY

在R2上登錄R1在R2上執(zhí)行telnet命令，嘗試連接后進(jìn)行登錄認(rèn)證，輸入密碼后成功登錄到R1。子任務(wù)2利用基本ACL控制Telnet數(shù)據(jù)篩選：開啟R1的VTY在PC3上登錄R1

Telnet登錄R1PC3成功Telnet至R1,顯示登錄認(rèn)證界面,輸入密碼后登錄成功。配置基本ACL目標(biāo)為僅許可PC3使用Telnet訪問R1,需設(shè)定相應(yīng)ACL規(guī)則。子任務(wù)2利用基本ACL控制Telnet數(shù)據(jù)篩選

配置基本ACL在路由器R1上配置ACL2001，規(guī)則5允許源0，規(guī)則10拒絕所有源，應(yīng)用到VTY0-4入站方向。子任務(wù)2利用基本ACL控制Telnet數(shù)據(jù)篩選：測(cè)試R2嘗試登錄R1失敗R2嘗試telnet登錄，提示不能連接到遠(yuǎn)程主機(jī)，登錄失敗。PC3成功登錄R1PC3通過telnet連接，嘗試連接后成功建立連接，經(jīng)登錄認(rèn)證輸入密碼，最終登錄R1成功。ACL配置影響R2無法用Telnet命令登錄R1，PC3可以，說明配置的ACL生效。子任務(wù)3利用高級(jí)ACL實(shí)現(xiàn)數(shù)據(jù)篩選

高級(jí)ACL應(yīng)用針對(duì)復(fù)雜需求，如特定計(jì)算機(jī)訪問權(quán)限控制，高級(jí)ACL提供詳細(xì)規(guī)則制定，實(shí)現(xiàn)精準(zhǔn)數(shù)據(jù)篩選。

基本ACL局限僅源地址匹配，無法滿足精細(xì)化管理，如限制特定類型數(shù)據(jù)或特定計(jì)算機(jī)訪問，需升級(jí)至高級(jí)ACL策略。子任務(wù)3利用高級(jí)ACL實(shí)現(xiàn)數(shù)據(jù)篩選

搭建網(wǎng)絡(luò)拓?fù)湟騟NSP模擬器PC不支持ftp命令，用路由器模擬計(jì)算機(jī)，修改圖8-2網(wǎng)絡(luò)拓?fù)?，以兩臺(tái)路由器替代PC1和PC2（圖8-4）。子任務(wù)3利用高級(jí)ACL實(shí)現(xiàn)數(shù)據(jù)篩選：配置高級(jí)ACL步驟1配置網(wǎng)絡(luò)參數(shù)

網(wǎng)絡(luò)配置按表8-4配置IP參數(shù)，確保全網(wǎng)通信，PC1、PC2設(shè)默認(rèn)路由至。

高級(jí)ACL利用高級(jí)ACL實(shí)現(xiàn)數(shù)據(jù)篩選，具體配置步驟需讀者自行操作。子任務(wù)3利用高級(jí)ACL實(shí)現(xiàn)數(shù)據(jù)篩選：配置高級(jí)ACL步驟2配置ACL規(guī)則

高級(jí)ACL配置利用源IP、目的IP、協(xié)議、端口精確過濾數(shù)據(jù)，R2上設(shè)ACL，近源應(yīng)用。

FTP訪問控制允許PC1FTP(21,20端口)訪問Server1，拒其他設(shè)備，允所有設(shè)備pingServer1。子任務(wù)3利用高級(jí)ACL實(shí)現(xiàn)數(shù)據(jù)篩選：測(cè)試

FTP服務(wù)器配置雙擊Server1圖標(biāo)，選“服務(wù)器信息”標(biāo)簽，“FtpServer”菜單，“配置”窗口指定“文件根目錄”，創(chuàng)建主文件夾后點(diǎn)擊“啟動(dòng)”按鈕。子任務(wù)3利用高級(jí)ACL實(shí)現(xiàn)數(shù)據(jù)篩選：測(cè)試PC1的FTP訪問測(cè)試PC1FTP測(cè)試成功連接至0，登錄FTP服務(wù)器，執(zhí)行dir命令展示W(wǎng)ebServer.html文件詳情，傳輸速率663.63bytes/sec。FTP服務(wù)驗(yàn)證PC1使用ftp命令登錄Server1的FTP服務(wù)，驗(yàn)證高級(jí)ACL數(shù)據(jù)篩選功能正常，文件傳輸穩(wěn)定。子任務(wù)3利用高級(jí)ACL實(shí)現(xiàn)數(shù)據(jù)篩選：測(cè)試PC2的FTP訪問