35路由器部署acl限制网络流量.pptVIP

项 目 刘道刚 主 编 12 部署 ACL 限制网络流量 目录 CONTENTS 12.1 用户需求 12.2 知识梳理 12.3 方案设计 12.4 项目实施 12.1 用户需求 3 网络拓扑图如图 12-1 所示，怎 样实现 /24 网络中的 设备无法 telnet 路由器 R2 ？ 目录 CONTENTS 12.1 用户需求 12.2 知识梳理 12.3 方案设计 12.4 项目实施 12.2.1 扩展访问控制列表 5 扩展访问控制列表（扩展 ACL ）根据多种属性过滤 IP 数据包，过滤控制范围更 广，可以更加精确地控制流量，提升安全性。扩展 ACL 可以根据数据包源地址、目的 地址、协议类型、源及目的 TCP 和 UDP 端口号对数据进行访问控制。扩展 ACL 的编 号在 100 到 199 以及 2000 到 2699 之间。 12.2.2 端口号 6 表 12-1 常用的公认端口 TCP/UDP 端口 TCP 端口 TCP 端口 TCP 端口 TCP 端口 TCP 端口 端口号 21 23 25 80 143 服务和应用程序 FTP Telnet SMTP HTTP IMAP TCP 端口 TCP 端口 194 443 Internet 中继聊天（ IRC ） HTTPs UDP 端口 UDP 端口 TCP/UDP 端口 TCP/UDP 端口 TCP/UDP 端口 69 520 TFTP RIP 53 161 531 DNS SNMP AOL Instant Messenger ， IRC 12.2.2 端口号 已注册端口 已注册端口（端口号： 1024 到 49151 ）将分 配给用户进程或应用 程序。 7 动态或私有端口（端口号： 49152 到 65535 ）也称为临时 端口，动态端口往往在开始 连接时被动态分配给客户端 应用程序。 动态或私有端口 12.2.3 扩展 ACL 的放置位置 8 扩展 ACL 应尽可能靠近控制流量的源，这样才能在不需要的流量流经网络之前 将其过滤掉。 12.2.4 基于时间的 ACL 9 基于时间的 ACL 允许根据时间执行访问控制。要使用基于时间的 ACL ，需要创建 一时间范围，指定一周和一天内的时段。可以为时间范围命名，然后对相应功能应用此 范围。时间限制会应用到该功能本身。 12.2.5 配置命令 10 Router(config)#access-list access-list-number {deny|permit|remark} protocol source [source-wildcard ] [operator operand ] [port port-number or name] destination [destination-wildcard ] [operator operand ] [port port-number or name] [established] Router(config)#ip access-list extended name Router(config-std-nacl)#{deny|permit|remark} protocol source [source- wildcard ] [operator operand ] [port port-number or name] destination [destination-wildcard ] [operator operand ] [port port-number or name] [time- range time-range-name] [established] 12.2.5 配置命令 11 Router(config)#interface type number Router (config-if)# ip access-group {access-list-number |name} {in|out} Router#show access-lists Router#show ip interface Router#clear access-list counters [access-list-number |name] 目录 CONTENTS 12.1 用户需求 12.2 知识梳理 12.3 方案设计 12.4 项目实施 12.3 方案设计 13 在如图 12-1 所示的网络拓扑图中，因为 telnet 用的是 TCP 端口号 23 ，要实现 /24 网 络中的设备无法 telnet 路由器 R2 ，可以采用扩展 ACL ，根据源地址、目的地址、协议和端口号进 行数据包的访问控制。因为扩展 ACL 的放置位置 要