学习目标
·了解扩展访问控制列表的概念
·了解标准和扩展ACL的区别
·掌握扩展ACL的实现方法
任务引言
标准控制列表往往不能针对子网进行限制,这很难达到公司的实际要求。扩展访问控制列表则具有更多的匹配项,包括协议类型、源地址、目的地址、源端口、目的端口。扩展ACL是细颗粒限制,使公司能对网络进行更深入的限制。
知识引入
ACL使用包过滤技术,在设备中读取数据包中的源地址、目的地址、源端口、目的端口等,根据预先定义好的规则,对数据包进行过滤。
在实施ACL的过程中,应当遵循如下三个基本原则:
①最小特权原则:只给受控对象完成任务的最小权限。
②最靠近受控对象原则:所有的网络层访问权限控制尽可能离受控对象最近。
③默认丢弃原则:在Cisco设备中,每个访问控制列表的最后一个隐藏规则为deny any any。
工作任务——配置扩展访问控制列表
【工作任务背景】
图3-7-1 扩展访问控制列表
企业A技术研究部的数据很重要,保密级别非常高。但是,该部门中的服务器仍需给公司的所有人提供门户网站的访问。即在不影响其他部门通信的情况下,该部门的计算机不能被其他部门访问,仅允许访问Server1的HTTP(TCP:80)和HTTPS(TCP:443)服务。拓扑图如图3-7-1所示。
【工作任务分析】
在部门交换机CenterSw1上配置扩展访问控制列表,并将其应用在接口的In方向,仅允许所有部门客户端能够访问SERVER1服务器的HTTP(TCP:80)和HTTPS(TCP:443)服务。详细的实验参数要求见表3-7-1。
表3-7-1 设备连接(www.xing528.com)
【任务实现】
1.根据标准访问控制列表实训,进行基础环境的设置,并移除VLAN30 SVI接口应用的Access-list 10规则。
2.PC2无论接入哪个交换机端口,均能登录访问Web服务器,同时也能够进行ping连通性测试,如图3-7-2和图3-7-3所示。
图3-7-2 初步W eb测试
图3-7-3 初步ping测试
3.在CenterSw1上创建扩展ACL,并应用到指定的接口。
4.把PC2连接到VLAN10的接口Fa0/1下,设置网络地址为“192.168.10.101”。使用ping访问Server1,无法通信;使用IE浏览器访问Server1上的Web站点,访问成功,如图3-7-4所示。
图3-7-4 客户端测试
问题探究
1.扩展ACL具体应用。
2.标准ACL与扩展ACL的区别。
知识拓展
基于时间的ACL功能类似于扩展ACL,但它允许根据时间执行访问控制。要使用基于时间的ACL,需要创建一个时间范围,指定一周和一天内的时段。可以为时间范围命名,然后对相应功能应用此范围。时间限制会应用到该功能本身。
项目拓展
企业A总公司要求只有在上班时间内才允许访问公司的门户网站,其他时间一律不允许访问。利用时间ACL和扩展ACL实现。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。
