几点关于ACL的应用问题

ACL(访问控制列表)的应用早已普及，关于介绍ACL的文章随处可见，这里我就不多言了。现本人根据自己的工作经验，说一下关于ACL是如何保护路由器等网络设备的。

情景描述：ACL公司网络环境中有一台Websrv和三台路由器，公司为了加强网络的安全性，要求网络管理员对服务器（尤其是Web服务器）以及路由器建立安全策略，以防止未经授权的人员利用计算机等终端设备进入网络进行破坏和窃取行为。为此，公司管理员必须对未经授权的终端设备采取以下措施：
1、 进行Web服务的屏蔽；
2、 不允许远程登录路由器R1 ；
3、 不允许ping网段2.0、3.0和4.0。

环境模拟：如下图所示，主机192.168.4.2/24为未经授权的终端设备。（声明：此并非实际工作场景，只是借此场景来说明ACL的一些实际应用）



一、配置路由器，实现全网互通。
1、在路由器上配置Websrv



注意关闭路由功能，使其变为一台“模拟”的主机。



因为Cisco 3640路由器默认是打开Web服务功能的，所以我们以上的配置就已把其变为了Web服务器。在192.168.4.2主机的浏览器输入网址访问http://192.168.1.2.。



2、配置好后R1上的路由表信息（这里我采用了RIPv2路由协议，你可以据你所好进行选择）。



3、配置好后R2上的路由表信息。



4、配置好后R3上的路由表信息。



由以上可知，各路由器已经学习到了其它的网段，我们只需配置好未经授权的主机192.168.4.2的网关为192.168.4.1即可验证全网是否互通了。这里我就偷懒了（如果没有互通，下面的操作也不会出现的）。
二、设置ACL策略
默认情况下，Cisco 3640路由器不仅打开了Web服务功能，而且也不限制ping流量和远程登录。亦即只要主机能物理联通它们，就可以对它们进行控制，这很不安全。
示例1：主机192.168.4.2可ping192.168.1.2，也可ping所有的路由器接口IP。



示例2：主机192.168.4.2可telnet192.168.1.2进入Websrv，也可通过路由器上的任何接口地址telnet上所有路由器（前提是给路由器设置了登录密码）。
没有设置登录密码，设备不允许远程连接。






设置了登录密码，设备可允许远程连接。









基于这些情况，我们可以关闭Web服务功能（全局模式下，

），可以不给路由器等网络设备设置vty登录密码，这样不就轻易解决了吗？是的，这确实容易，但却不实际。实际应用当中，我们可能会使用到这些功能，我们不可能全都把它屏蔽了吧？下面，就让我们来共同解决这样的问题吧。
1、 设置主机192.168.4.2不能远程登录路由器R1上。
注意是使用标准ACL(1-99)，这里我拒绝了4.0段，你可以精确地拒绝主机：host 192.168.4.2，并把这一ACL应用到远程访问控制vty上。



设置远程访问vty密码



验证：不管是在路由器上的任何一个接口，主机192.168.4.2都登录不了



2、 设置主机192.168.4.2不能访问192.168.1.2上的Web服务以及拒绝其去往2.0、3.0和4.0网段的echo流量。
注意是使用扩展ACL（100-199），Web服务使用80端口和传输层TCP协议，echo使用网络层协议ICMP，特别要注意在列表中最后加上一条允许所有流量通过，最后应用在接口e0/1的入方向上（e 0/0的出方向上也可以，但路由器处理的流量较多，性能会下降）。还要注意一点，主机192.168.4.2不能访问4.0网段，这包括了自己本身，实践的结果是：
1） 不能对自己起作用；
2） 不能ping通自己的网关（实际当中，相信您也见过吧）。



验证：
主机192.168.4.2不能访问192.168.1.2上的Web服务



除了1.0段的能ping通以外，其它各段（不管ping哪个IP，只要在指定的IP段上）都显示不可到达（实际上物理线路还联通，只不过是被ACL策略拒绝了）。