扩展访问列表
先决条件 - 访问列表 (ACL)、标准访问列表
访问列表 (ACL) 是为控制网络流量和减少网络攻击而定义的一组规则。 ACL 用于根据为网络的传入或传出定义的规则集过滤流量。
扩展访问列表 –
它是最常用的访问列表类型之一,因为它可以区分 IP 流量,因此不会像标准访问列表中那样允许或拒绝整个流量。这些是使用源和目标 IP 地址以及端口号来区分 IP 流量的 ACL。在这种类型的 ACL 中,我们还可以提及应该允许或拒绝哪些 IP 流量。这些使用范围为 100-199 和 2000-2699。
特征 -
- 扩展访问列表通常应用在靠近源的位置,但并非总是如此。
- 在扩展访问列表中,根据源 IP 地址、目标 IP 地址、端口号进行数据包过滤。
- 在扩展访问列表中,将允许或拒绝特定服务。
- 扩展 ACL 从 100 – 199 和扩展范围 2000 – 2699 创建。
- 如果使用扩展访问列表编号,则无法删除记住规则。如果其中一条规则被删除,则整个访问列表将被删除。
- 如果使用扩展访问列表命名,那么我们可以灵活地从访问列表中删除规则。
配置 -
这是一个小型拓扑,其中有 3 个部门,即销售、财务和营销。销售部网络172.16.10.40/24,财务部网络172.16.50.0/24,市场部网络172.16.60.0/24。现在,我们要拒绝销售部门到财务部门的 FTP 连接,并拒绝销售和市场部门到财务部门的 telnet。
现在,首先配置编号扩展访问 - 拒绝从销售到财务部门的 FTP 连接的列表。
R1# config terminal
R1(config)# access-list 110
deny tcp 172.16.40.0 0.0.0.255 172.16.50.0 0.0.0.255 eq 21
在这里,我们首先创建一个编号的访问列表,其中我们使用 110(用于扩展访问列表范围)并拒绝销售网络 (172.16.40.0) 与金融网络 (172.16.50.0) 建立 FTP 连接。
注意 –这里由于 FTP 使用 TCP 和端口号 21。因此,我们必须根据需要指定允许或拒绝条件。此外,在 eq 之后,我们必须使用指定应用层协议的端口号。
现在,我们必须拒绝销售和市场部门与财务部门的远程登录连接,这意味着任何人都不应远程登录到财务部门。配置相同。
R1(config)# access-list 110
deny tcp any 172.16.50.0 0.0.0.255 eq 23
在这里,我们使用了关键字any,意思是0.0.0.0 0.0.0.0,即来自任何子网掩码的任何IP 地址。由于 telnet 使用端口号 23,因此我们必须在 eq 之后指定端口号 23。
R1(config)# access-list 110 permit ip any any
现在,这是最重要的部分。正如我们已经知道的那样,每个访问列表的末尾都有一个隐式拒绝,这意味着如果流量与 Access-list 的任何规则都不匹配,那么流量将被丢弃。
通过指定任何方式,源具有任何 IP 地址的流量将到达财务部门,但符合我们制定的上述规则的流量除外。现在,我们必须在路由器的接口上应用访问列表:
R1(config)# int fa0/1
R1(config-if)# ip access-group 110 out
我们记得,我们必须将扩展访问列表应用到尽可能靠近源的位置,但在这里我们将其应用到靠近目的地,因为我们必须阻止来自销售和营销部门的流量,因此,我们必须应用它靠近目的地,否则我们必须为 fa0/0 和 fa1/0 入站创建单独的访问列表。
命名访问列表示例 –
现在,考虑到相同的拓扑结构,我们将制作一个命名的扩展访问列表。
R1(config)# ip access-list extended blockacl
通过使用此命令,我们创建了一个名为 blockacl 的访问列表。
R1(config-ext-nacl)# deny tcp 172.16.40.0 0.0.0.255 172.16.50.0 0.0.0.255 eq 21
R1(config-ext-nacl)# deny tcp any 172.16.50.0 0.0.0.255 eq 23
R1(config-ext-nacl)# permit ip any any
然后我们在编号的访问列表中进行了相同的配置。
R1(config)# int fa0/1
R1(config-if)# ip access-group blockacl out