【正文】 AccessControlList 17 致謝 本文 是在 講師 的 悉心 指導(dǎo)和 無私 幫助 下完成的 ， 老師的指導(dǎo)和幫助使我掌握了正確的研究方法，并培養(yǎng)了嚴(yán)謹(jǐn)認(rèn)真的學(xué)習(xí)和工作態(tài)度，使我順利地完成了畢業(yè)論文（設(shè)計(jì)）的各項(xiàng)工作， 在此謹(jǐn)向我的指導(dǎo)老師 表示深深的敬意和誠(chéng)摯的感謝！ 。 Campus Network。通過 Packet Tracer 進(jìn)行模擬實(shí)驗(yàn)， 確保了 ACL命令的可行性。 Extended IP access list deny udp any any eq snmp (3 match(es)) deny udp any any eq 162 (1 match(es)) 16 顯示阻止成功。測(cè)試路由器 ACL 使用服務(wù)器群 Tel 路由器 PCtel Trying ...Open User Access Verification Password: Tel 成功 使用其他 VLAN 主機(jī) Tel 路由器 PCtel Trying ... % Connection refused by remote host Tel 失敗，路由器 ACL 設(shè)置成功。 PING 教務(wù)處主機(jī) PCping Pinging with 32 bytes of data: Request timed out. 連接失敗，證明 ACL 設(shè)置成功。 PCping Pinging with 32 bytes of data: Reply from : bytes=32 time=47ms TTL=128 15 成功聯(lián)通 系統(tǒng)測(cè)試 當(dāng)校園網(wǎng)環(huán)境建成后，應(yīng)對(duì)校園網(wǎng)的整體運(yùn)行情況做一下細(xì)致的測(cè)試和評(píng)估。 應(yīng)只允許來自服務(wù)器群的 IP地址 使用 Tel 訪問并配置路由器 ，內(nèi)部其他部分的主機(jī)都不能用 Tel 訪問和配置路由器。保護(hù)路由器安全 作為內(nèi)網(wǎng)、外網(wǎng)間屏障的路由器，保護(hù)自身安全的重要性也是不言而喻的。防止 DoS 攻擊 DoS 攻擊（ Denial of Service Attack，拒絕服務(wù)攻擊）是一種非常常見而且極具破壞力的攻擊手段，它可以導(dǎo)致服務(wù)器、網(wǎng)絡(luò)設(shè)備的正常服務(wù)進(jìn)程停止，嚴(yán)重時(shí)會(huì)導(dǎo)致服務(wù)器操作系統(tǒng)崩潰。對(duì)外屏蔽其他不安全的協(xié)議和服務(wù) 這樣的協(xié)議主要有 SUN OS 的文件共享協(xié)議端口 2049，遠(yuǎn)程執(zhí)行（ rsh）、遠(yuǎn)程登錄（ rlogin）和遠(yuǎn)程命令（ rcmd）端口 51 51 514，遠(yuǎn)程過程調(diào)用（ SUNRPC）端口111。 R1(config)ip accesslist extended R1(configextnacl)deny udp any any eq 161 ?? 屏蔽簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議（ SNMP） 利用這個(gè)協(xié)議，遠(yuǎn)程主機(jī)可以監(jiān)視、控制網(wǎng)絡(luò)上的其他網(wǎng)絡(luò)設(shè)備。接下來是對(duì)連接外網(wǎng)的路由器添加 ACL。財(cái)務(wù)處 ACL 設(shè)置 Multilayer Switch1(config)ip accesslist extended CWC Multilayer Switch1(configextnacl)permit tcp any 所有 VLAN 都可以訪問服務(wù)器群 VLAN。 校園網(wǎng) ACL 實(shí)際用例 首先是設(shè)置校園網(wǎng)內(nèi)部三層交換機(jī)上的 ACL。 通過模擬環(huán)境的實(shí)驗(yàn)，還可以模擬各種網(wǎng)絡(luò)攻擊，模擬特定目的端口數(shù)據(jù)包的發(fā)送，檢驗(yàn) 配置的 ACL 命令的可行性。包過濾技術(shù)以訪問控制列表的形式出現(xiàn)， 一個(gè)設(shè)計(jì)良好的校園網(wǎng)絡(luò)訪問控制列表不僅可以起到控制網(wǎng)絡(luò)流量、流量的作用，還可以在不增加網(wǎng)絡(luò)系統(tǒng)軟、硬件投資的情況下完成一般軟、硬件防火墻產(chǎn)品的功能。包過濾技術(shù)和代理服務(wù)技術(shù)是當(dāng)今最廣泛采用的網(wǎng) 絡(luò)安全技術(shù)，也就是我們通常稱的防火墻技術(shù)。 訪問控制列表的顯示和調(diào)試 在特權(quán)模式下， 使用“ show accesslists ”可以顯示路由器上設(shè)置的所有 ACL 條目 ； 使用“ show accesslist acl number”則可以顯示特定 ACL 號(hào)的 ACL 條目 ； 使用“ show timerange”命令可以用來查看定義的時(shí)間范圍； 使用“ clear accesslist counters”命令可以將訪問控制列表的計(jì)數(shù)器清零。 基于時(shí)間的 ACL 配置 常用命令 R1(config)timerange time //定義時(shí)間范圍 11 R1(configtimerange)periodic weekdays 8:00 to 18:00 R1(config)accesslist 111 permit tcp host host eq tel timerange time 常用實(shí)驗(yàn)調(diào)試命令 ① 用“ clock set”命令將系統(tǒng)時(shí)間調(diào)整到周一至周五的 8： 0018： 00 范圍內(nèi)，然后在 Tel 路由器 R1，此時(shí)可以成功，然后查看訪問控制列表 111： R1show accesslists Extended IP access list 111 10 permit tcp host host eq tel timerange time (active) ② 用“ clock set”命令將系統(tǒng)時(shí)間調(diào)整到 8： 0018： 00 范圍之外，然后 Tel路由器 R1，此時(shí)不可以成功，然后查看訪問控制列表 111： R1show accesslists Extended IP access list 111 10 permit tcp host host eq tel timerange time (inactive) ③ show timerange：該命令用來查看定義的時(shí)間范圍。還可以定義工作日和周末，具體要使用 periodic 命令。 基于時(shí)間的訪問控制列表由兩部分組成，第一部分是定義時(shí)間段，第二部分是用擴(kuò)展訪問控制列表定義規(guī)則。 基于時(shí)間的訪問控制列表的用途： 可能一些單位或者公司會(huì)遇到這樣的情況，要求上班時(shí)間不能使用 或者瀏覽某些網(wǎng)站，或者不能在上班時(shí)間使用某些應(yīng)用，只有在下班或者周末才可以。基于時(shí)間的訪問控制類別就屬于高級(jí)技巧之一。 例如 : no permit tcp host eq 1521 在“ permit tcp host eq 1521”前加“ no” 即可刪除這條 ACL 語(yǔ)句條目，之后可以 重新寫入新的條目 基于時(shí)間段的訪問控制列表配置 使用標(biāo)準(zhǔn)訪問控制列表和擴(kuò)展訪問控制列表就可以應(yīng)付大部分過濾網(wǎng)絡(luò)數(shù)據(jù)包的要求了。 標(biāo)準(zhǔn)和擴(kuò)展的 ACL只能刪除整個(gè) ACL條目，不能刪除個(gè)別條目。 最后是命名 ACL 常用配置命令 。可以用“ NO”命令去除特定的陳述 Router(configif) ip accessgroup name { in | out } 9 名字字符串要唯一 Router(config {std | ext}nacl) { permit | deny } { ip access list test conditions } { permit | deny } { ip access list test conditions } no { permit | deny } { ip access list test conditions } 命名 ACL 的主要不足之處在于無法實(shí)現(xiàn)在任意位置加入新的 ACL 條目。命名 ACL 允許在標(biāo)準(zhǔn) ACL 和擴(kuò)展 ACL 中使用字符串代替前面所使用的數(shù)字來表示 ACL，命名 ACL 還可以被用來從某一特定的 ACL中刪除個(gè)別的控制條目，這樣可以讓網(wǎng)絡(luò)管理員方便地修改 ACL。 8 圖 5 用擴(kuò)展 ACL檢查數(shù)據(jù)包 擴(kuò)展訪問 控制列表的常見配置命令 。 ?? Outgoing access list is not set Inbound access list is 1 ?? 以上輸出表明在接口 S2/0 的入方向應(yīng)用了訪問控制列表 1。 擴(kuò)展 ACL 要盡量靠近源端 3 訪問控制列表的配置 訪問控制列表配置 配置 標(biāo)準(zhǔn) 訪問控制列表 以下是 標(biāo)準(zhǔn) 訪問列表的 常用