一分钟掌握网络安全控制ACL禁止ping数据包

admin2023-11-10【电脑应用】浏览：125

一、拓扑

二、要求

1. 路由器名为:cisco1、cisco2，并配置相关的IP地址，以保证3层连通性

2. 做扩展的访问控制列表，禁止cisco1 PING到cisco2

三、步骤

1.配置路由器的基本参数

cisco1(config)#interface serial 0

cisco1(config-if)#ip address 192.168.12.1 255.255.255.0

cisco1(config-if)#no shutdown

cisco2(config)#interface serial 0

cisco2(config-if)#clock rate 64000

cisco2(config-if)#ip address 192.168.12.2 255.255.255.0

cisco2(config-if)#no shutdown

2．验证3层连通性

cisco1#ping 192.168.12.2

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 192.168.12.2, timeout is 2 seconds:

！！！！！

Success rate is 0 percent (0/5)

3.创建ACL

cisco1(config)#access-list 100 deny icmp 192.168.12.1 0.0.0.0 192.168.12.2 0.0.0.0

cisco1(config)#access-list 100 permit ip any any

扩展ACL的编号范围为100到199。我们需要拒绝的是PING命令，它是属于ICMP协议，所以我们需要拒绝ICMP。用反掩码绝对匹配一个源地址。用反掩码绝对匹配一个目的地址。ACL有隐含拒绝的条目，它会拒绝所有的数据流量，为了防止数据流被误拒绝，我们可以加一条放行所有数据流量的条目。

4.检查ACl

cisco1#show ip access-lists

Extended IP access list 100

10 deny icmp host 192.168.12.1 host 192.168.12.2

20 permit ip any any

注：ACL以编号10开始，然后以10为递增。

5.应用ACL到接口

cisco1(config)#int s0

cisco1(config-if)#ip access-group 100 out

注：对出去的数据流量进行检测

6 验证效果

cisco1#ping 192.168.12.2

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 192.168.12.2, timeout is 2 seconds:

!!!!!----------实验失败！现在依然可以PING通！

Success rate is 100 percent (5/5), round-trip min/avg/max = 24/37/52 ms

问题分析：对于ACL的放置位置，我们有以下的原则：扩展ACL放置在靠近源的位置，标准ACL放置在靠近目的位置。那按照上述的原则，我们创建一个扩展的ACL，并放置在源端，并没有错误。

7．排错

cisco1#show ip access-lists

Extended IP access list 100

10 deny icmp host 192.168.12.1 host 192.168.12.2

20 permit ip any any (15 matches) ------Permit语句匹配到15个数据包

问题分析：对于ACL，有个非常重要的特性，他不能过滤本地数据流！也就是说，对于cisco1上发送的数据，设置在cisco1接口上的ACL并不能对它进行过滤。为了能对数据流进行过滤，我们需要把ACL设置在对端的cisco2上

8．在cisco2上设置并应用ACL

cisco2(config)#access-l 100 deny icmp host 192.168.12.1 host 192.168.12.2

cisco2(config)#access-l 100 permit icmp any any

cisco2(config)#interface serial 0

cisco2(config-if)#ip access-group 100 in

注:对于cisco2来说，数据是进到s0接口中，所以我们需要对进来的数据进行检测，那么我们就用in

9．检测效果

cisco1#ping 192.168.12.2

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 192.168.12.2, timeout is 2 seconds:

U.U.U-----------实验成功，ICMP包被拒绝

Success rate is 0 percent (0/5)

cisco2#show ip access-lists

Extended IP access list 100

10 deny icmp host 192.168.12.1 host 192.168.12.2 (11 matches) ----

注：有相关的数据流被拒绝

20 permit icmp any any