第十五讲访问控制列表配置.doc

第十章 访问控制列表配置教学目的：1.了解访问控制列表的作用2.了解标准访问控制列表与扩展访问列表的异同3.掌握访问控制列表的原理4.掌握访问列表的配置方法知识点：1.访问列表2.包过滤3.流量控制4.通配掩码10.1 访问控制列表(access-list)一、访问列表的作用访问控制列表是在使用路由技术的网络中，识别和过滤进入到网络或发出去的符合规定条件的数据流量，以决定是否允许发送或丢弃数据流量。访问控制是控制流量的一种方法，是实现防火墙的重要手段。二、访问列表的应用1. 在物理接口上应用访问控制列表实现流量控制。2. 在虚拟终端线路接口(vty)应用访问控制列表，实现对登录用户的控制。3. 还可以应用到队列技术、按需拨号、VPN、NAT等。三、访问列表的工作流程1. 进方向上的工作流程：2. 出方向上的工作流程：四、访问列表的控制条件根据IP数据包中包含的信息，可以对数据包的源IP地址、目的IP地址、被路由的协议类型、数据要访问的端口等作为判断条件。五、访问列表执行流程访问控制列表实际上是一些列判断语句，被过滤的数据包会一个个和这些条件语句进行比较，当符合条件则执行操作(permit或deny )；否则进行下一条件判断。六、注意事项1. 访问控制列表的列表号指出是哪种协议的访问控制列表。即每种协议(IP、IPX等)定义一个访问控制列表。2. 一个访问控制列表的配置是每协议、每接口、每方向的。每种协议可以定义进出两个控制访问控制列表。3. 访问控制列表的顺序决定了对数据包控制顺序。4. 在访问控制列表最后，有一条隐含的“全部拒绝”命令，因此在控制列表里至少有一条“允许”语句。5. 访问控制列表只能过滤穿过路由器的数据流量，不能过滤路由器本身发出的数据包。10.2 访问控制列表分类访问控制列表有两种类型：标准访问控制列表、扩展访问控制列表。 标准访问控制列表判断条件是数据包的源IP地址，只能过滤来自某个网络或主机的数据包。 扩展访问控制列表判断条件是数据包的源IP地址、目的IP地址、协议和数据要访问的端口。10.3 访问控制列表配置方法一、在相应的接口上应用访问控制列表配置完标准或扩展访问列表后，再把列表绑定在路由器的某个端口上，就完成了访问控制的配置。进入到相应接口模式，然后采用以下命令：ip access-group access-list-number in|out默认时是out，即出方向。Out表示在数据包出去的端口上进行检查，in表示在数据包进去的端口上进行检查。二、 标准访问控制列表配置命令在全局模式下配置。 命令格式Access-list access-list-number permit|deny source source-wildcard说明：access-list-number 访问控制列表号，标准为199，扩展为100199source 源IP地址source-wildcard 通配符掩码，该掩码与子网掩码刚好相反，如掩码为： 则通配符掩码写成：55。特别的： 55 写成any，把 写成host （针对某一个主机）。注：当有多条访问控制条件时，采用同一列表号进行多次定义即可。 举例过滤ip地址为、网段发来的数据包，可以采用如下配置access-list 2 deny 55access-list 2 deny 55access-list 2 permit anyint f0/1ip access-group 2 in三、扩展访问控制列表配置命令在全局模式下配置。 命令格式Access-list access-list-number permit|deny protocol source source-wildcard operator port destination destination-wildcard operator port established说明：protocol 协议source source-wildcard 源IP地址及通配符掩码destination destination-wildcard 目标IP地址及通配符掩码operator port 端口号 eq 80(http) eq 23(telnet) eq 25(smtp) eq 110(pop3) eq 20(ftp数据端口) eq21(ftp控制端口) 或eq http 80established 可以在拒绝数据包通过的方向上，让已经建立会话连接的TCP数据流通过，因此常用于企业网内防止外部攻击，同时又可以正常地与internet连接。 举例通过对路由器A的E1配置，使主机B()不能访问主机A()的FTP功能，但其他可以访问。Access-list 101 deny ip host host eq 20Access-list 101 deny ip host host eq 21Access-list 101 permit ip any anyint E1ip access-group 101 in实现访问控制列表练