访问控制列表(Access Control List,ACL)
——根据设定的条件来控制数据包是允许还是拒绝在端口上进出。
GS700TR具有标准与扩展的ACL:
标准ACL(0-99):只检查数据包的源地址。
扩展ACL(100-199):既检查数据包的源地址,也检查数据包的目的地址,同时还可以检查数据包的协议(Protocol ID,协议ID请参考
)、端口号、服务等。
标准ACL与扩展ACL在实际应用上的区别:
标准ACL网络管理员可以使用标准ACL阻止来自某一主机或子网的所有通信流量,或者允许来自某一主机或子网的所有通信流量。
扩展ACL比标准ACL提供了更完整的控制范围。比如:“允许Web通信流量通过,拒绝FTP和Telnet等通信流量;允许或拒绝数据到达某一主机或子网”,那么,可以使用扩展ACL来达到目的,标准ACL不能控制这么精确。
设置ACL 的一些规则:
- 无论是标准还是扩展的ACL,均使用反掩码
- 按ID顺序进行比较,先比较ID1,再比较ID2,直到最后1个;
- 从ID1起,直到找到1 个符合条件的ID,符合以后,后面的ID就不需要再继续比较;
- 在每个ACL 中最后默认有一条隐含的ID,是全部拒绝的,如果之前没找到1条允许的ID,那么数据包将被丢弃,所以每个ACL 必须有1 行permit 语句,除非您想所有数据包被丢弃。
一、网络拓扑图
配置概要:
1、使用标准ACL,只阻止源IP地址为192.168.0.10的PC1访问,其它PC则不阻止。
2、使用扩展ACL,在端口0/2上,阻止PC3访问PC2,但可访问其它PC;阻止PC4访问FTP服务,其它PC与服务均开放。
实验目的:
使用标准的ACL与扩展ACL,测试L3、L4层ACL。
二、标准 ACL
1、添加一条标准ACL,ID为1
进入Security>ACL>Advanced>IP ACL,
a、IP ACL ID输入1(此为标准IP ACL的ID号)
b、按”ADD”增加一条ACL
2、在ID 1的ACL里设定具体条件
进入Security>ACL>Advanced>IP Rules,
a、ACL ID选择1
b、按“ADD”增加控制条件。以下共新增2条
2.1 拒绝源地址为192.168.0.10的主机与其它主机通信
a、Rule ID(1 to 10)输入1
b、Action选择Deny
c、Match Every选择False
d、Src IP Address输入192.168.0.10
e、Src IP Mask输入0.0.0.0(单个IP的反掩码)
f、按”APPLY”保存
2.2 允许源地址为192.168.0.0/24这个子网的所有主机通信
a、Rule ID(1 to 10)输入2
b、Action选择Permit
c、Match Every选择False
d、Src IP Address输入192.168.0.0
e、Src IP Mask输入0.0.0.255(此为24位的反掩码)
f、按”APPLY”保存
3、将ID 1的标准ACL应用在端口1上
进入Security>ACL>Advanced>IP Binding Configuration,
a、ACL ID选择1
b、单击Unit 1展开端口,并勾上端口1
c、按”APPLY”保存
三、扩展ACL
1、添加一条扩展ACL,ID为100
进入Security>ACL>Advanced>IP ACL,
a、IP ACL ID输入100(此为扩展IP ACL的ID号)
b、按”ADD”增加一条ACL
2、在ID 100的ACL里设定具体条件
进入Security>ACL>Advanced>IP Extended Rules,
a、ACL ID选择100
b、按“ADD”增加控制条件。以下共新增3条
2.1 拒绝源地址为192.168.0.30的主机与目标地址为192.168.0.20的主机的所有通信
a、Rule ID(1 to 10)输入1
b、Action选择Deny
c、Match Every选择False
d、Src IP Address输入192.168.0.30
e、Src IP Mask输入0.0.0.0(单个IP的反掩码)
f、Dst IP Address输入192.168.0.20
g、Dst IP Mask输入0.0.0.0(单个IP的反掩码)
h、按”APPLY”保存
2.2 拒绝源地址为192.168.0.40的主机访问任意地址的FTP服务
a、Rule ID(1 to 10)输入2
b、Action选择Deny
c、Match Every选择False
d、Src IP Address输入192.168.0.40
e、Src IP Mask输入0.0.0.0(单个IP的反掩码)
f、Dst IP Address输入0.0.0.0(不指定IP,0.0.0.0为任意地址)
g、Dst IP Mask输入255.255.255.255(反掩码为255.255.255.255代表any,即任意地址)
h、Dst L4 Port选择ftp
i、按”APPLY”保存
2.3 允许所有主机互访
a、Rule ID(1 to 10)输入3
b、Action选择Permit
c、Match Every选择False
d、Src IP Address输入0.0.0.0(不指定IP,0.0.0.0为任意地址)
e、Src IP Mask输入255.255.255.255(反掩码为255.255.255.255代表any,即任意地址)
f、Dst IP Address输入0.0.0.0(不指定IP,0.0.0.0为任意地址)
g、Dst IP Mask输入255.255.255.255(反掩码为255.255.255.255代表any,即任意地址)
h、按”APPLY”保存
3、在ID 100的扩展ACL应用在端口2上
进入Security>ACL>Advanced>IP Binding Configuration,
a、ACL ID选择100
b、单击Unit 1展开端口配置,并勾上端口2
c、按”APPLY”保存
|
序号no. |
日期date |
作者author |
摘要summary |
|
1 |
2010-11-03 |
Netgear |
文档创建 |
