7 访问控制列表.ppt

1 CisxoEducationSolution 管理网络中逐步增长的IP数据 为什么要使用访问列表 2 CisxoEducationSolution 172 16 0 0 172 17 0 0 Internet 管理网络中逐步增长的IP数据当数据通过路由器时进行过滤 为什么要使用访问列表 3 CisxoEducationSolution 访问列表的应用 允许 拒绝数据包通过路由器允许 拒绝Telnet会话的建立没有设置访问列表时 所有的数据包都会在网络上传输 虚拟会话 IP 端口上的数据传输 4 CisxoEducationSolution 什么是访问列表 定义 实际上是网络边缘设备上定义的应用在网络接口上的一组有序的关于数据包过滤的规则 5 CisxoEducationSolution 标准检查源地址通常允许 拒绝的是完整的协议 OutgoingPacket E0 S0 IncomingPacket AccessListProcesses Permit 什么是访问列表 6 CisxoEducationSolution 标准检查源地址通常允许 拒绝的是完整的协议扩展检查源地址和目的地址通常允许 拒绝的是某个特定的协议 OutgoingPacket E0 S0 IncomingPacket AccessListProcesses Permit Protocol 什么是访问列表 7 CisxoEducationSolution 标准检查源地址通常允许 拒绝的是完整的协议扩展检查源地址和目的地址通常允许 拒绝的是某个特定的协议进方向和出方向 OutgoingPacket E0 S0 IncomingPacket AccessListProcesses Permit Protocol 什么是访问列表 8 CisxoEducationSolution 访问控制列表是依据网络协议提供的各种参数进行工作的 访问控制列表工作在tcp ip协议的网络层和传输层 在网络层 访问控制列表通过对数据包中的源地址和目的地址 根据在访问控制列表中定义的动作实现对数据包的过滤 在传输层 访问控制列通过进一步诸如地址 协议 端口 时间以及连接状态的匹配 根据访问控制列表中的动作 实现对数据包的过滤 访问控制列表的工作原理 9 CisxoEducationSolution 访问控制列表的工作过程 当数据包通过网络接口时 网络边缘设备首先将数据包放入缓存 然后读取数据包头 分析数据包头中的控制参数 在对数据进行转发前 将这些参数与先前定义好的一系列 if 条件 then动作 关系规则按顺序进行匹配 如果匹配成功 则执行then后面的动作 如果then后面的动作为抛弃 则数据包将被网络边缘设备从缓存中删除 不再进行转发 因此数据包不能经过网络数据接口 也不能进入下一个网络 如果then允许通过 则网络边缘设备根据包头中的目的地址信息在路由表中 或者在高速缓存中找到转发的路径 然后从缓存中读取数据 重新进行打包 再按前面确定的路径转发出去 数据包通过网络接口 传递到下一个网络 10 CisxoEducationSolution 进方向上访问控制列表 路由表 出方向上访问控制列表 11 CisxoEducationSolution 1 定义访问控制列表2 应用到接口上 注意方向 访问列表的使用步骤 12 CisxoEducationSolution 访问列表设置命令 Step1 设置访问列表测试语句的参数 access listaccess list number permit deny testconditions Router config 13 CiscoEducationSolution Step1 设置访问列表语句的参数 Router config Step2 在端口上应用访问列表 protocol access groupaccess list number in out Router config if 访问列表设置命令 IP访问列表的标号为1 99和100 199 access listaccess list number permit deny testconditions 14 CisxoEducationSolution 如何识别访问列表 编号范围 访问列表类型 IP 1 99 Standard 标准访问列表 1to99 检查IP数据包的源地址 15 CisxoEducationSolution 编号范围 访问列表类型 如何识别访问列表 IP 1 99100 199 StandardExtended 标准访问列表 1to99 检查IP数据包的源地址 扩展访问列表 100to199 检查源地址和目的地址 具体的TCP IP协议和目的端口 16 CisxoEducationSolution 编号范围 IP 1 99100 199Name CiscoIOS11 2andlater 800 899900 9991000 1099Name CiscoIOS11 2 Fandlater StandardExtendedSAPfiltersNamed StandardExtendedNamed 访问列表类型 IPX 如何识别访问列表 标准访问列表 1to99 检查IP数据包的源地址其它访问列表编号范围表示不同协议的访问列表 扩展访问列表 100to199 检查源地址和目的地址 具体的TCP IP协议和目的端口 17 CisxoEducationSolution donotcheckaddress ignorebitsinoctet 0 0 0 0 0 0 0 0 Octetbitpositionandaddressvalueforbit ignorelast6addressbits checkalladdressbits matchall ignorelast4addressbits checklast2addressbits Examples 18 CisxoEducationSolution 例如172 30 16 290 0 0 0检查所有的地址位可以简写为host host172 30 16 29 Testconditions Checkalltheaddressbits matchall 172 30 16 29 0 0 0 0 checksallbits AnIPhostaddress forexample Wildcardmask 通配符掩码指明特定的主机 19 CisxoEducationSolution 所有主机 0 0 0 0255 255 255 255可以用any简写 Testconditions Ignorealltheaddressbits matchany 0 0 0 0 255 255 255 255 ignoreall AnyIPaddress Wildcardmask 通配符掩码指明所有主机 20 CisxoEducationSolution CheckforIPsubnets172 30 16 0 24to172 30 31 0 24 Network host172 30 16 0 ildcardmask 00001111 00010000 1600010001 1700010010 18 00011111 31 Addressandwildcardmask 172 30 16 00 0 15 255 通配符掩码和IP子网的对应 21 CisxoEducationSolution 1999 CiscoSystems Inc 10 21 配置标准的IP访问列表 22 CisxoEducationSolution 标准IP访问列表的配置 access listaccess list number permit deny source mask Router config 为访问列表设置参数IP标准访问列表编号1到99缺省的通配符掩码 0 0 0 0 noaccess listaccess list number 命令删除访问列表 23 CisxoEducationSolution access listaccess list number permit deny source mask Router config 在端口上应用访问列表指明是进方向还是出方向缺省 出方向 noipaccess groupaccess list number 命令在端口上删除访问列表 Router config if ipaccess groupaccess list number in out 为访问列表设置参数IP标准访问列表编号1到99缺省的通配符掩码 0 0 0 0 noaccess listaccess list number 命令删除访问列表 标准IP访问列表的配置 24 CisxoEducationSolution 172 16 3 0 172 16 4 0 172 16 4 13 E0 S0 E1 Non 172 16 0 0 标准访问列表举例1 access list1permit172 16 0 00 0 255 255 access list1deny0 0 0 0255 255 255 255 只允许两个子网互相访问 25 CisxoEducationSolution access list1permit172 16 0 00 0 255 255interfaceethernet0ipaccess group1outinterfaceethernet1ipaccess group1out 172 16 3 0 172 16 4 0 172 16 4 13 E0 S0 E1 Non 172 16 0 0 标准访问列表举例1 只允许两个子网互相访问 26 CisxoEducationSolution 拒绝一个特定的主机172 16 4 13访问172 16 3 0网段 标准访问列表举例2 172 16 3 0 172 16 4 0 172 16 4 13 E0 S0 E1 Non 172 16 0 0 access list1deny172 16 4 130 0 0 0或者 Access list1denyhost172 16 4 13 27 CisxoEducationSolution 标准访问列表举例2 172 16 3 0 172 16 4 0 172 16 4 13 E0 S0 E1 Non 172 16 0 0 access list1deny172 16 4 130 0 0 0access list1permit0 0 0 0255 255 255 255或者 access list1permitany 只允许一个特定的主机172 16 4 13访问172 16 3 0网段 28 CisxoEducationSolution access list1deny172 16 4 130 0 0 0access list1permit0 0 0 0255 255 255 255interfaceethernet0Ipaccess group1out 标准访问列表举例2 172 16 3 0 172 16 4 0 172 16 4 13 E0 S0 E1 Non 172 16 0 0 拒绝一个特定的主机172 16 4 13访问172 16 3 0网段 29 CisxoEducationSolution 拒绝一个指定的网段 标准访问列表举例3 172 16 3 0 172 16 4 0 172 16 4 13 E0 S0 E1 Non 172 16 0 0 access list1deny172 16 4 00 0 0 255access list1permitany 30 CisxoEducationSolution access list1deny172 16 4 00 0 0 255access list1permitanyinterfaceethernet0ipaccess group1out 标准访问列表举例3 172 16 3 0 172 16 4 0 172 16 4 13 E0 S0 E1 Non 172 16 0 0 拒绝一个指定的网段 31 CisxoEducationSolution 1999 CiscoSystems Inc 10 31 扩展IP访问列表的配置 32 CisxoEducationSolution 标准访问列表和扩展访问列表比较 标准 扩展 基于源地址 基于源地址和目标地址 允许和拒绝完整的TCP IP协议 指定TCP IP的特定协议和端口号 编号范围100到199 编号范围1到99 33 CisxoEducationSolution 扩展IP访问列表的配置 Router config 设置访问列表的参数在端口上应用访问列表 access listaccess list number permit deny protocolsourcesource wildcard operatorport destinationdestination wildcard operatorport established log 34 CisxoEducationSolution access list101denytcp172 16 4 00 0 0 255172 16 3 00 0 0 255eq21access list101denytcp172 16 4 00 0 0 255172 16 3 00 0 0 255eq20access list101permitipanyany implicitdenyall access list101denyip0 0 0 0255 255 255 2550 0 0 0255 255 255 255 interfaceethernet0ipaccess group101out 拒绝子网172 16 4 0的数据使用路由器e0口ftp到子网172 16 3 0允许其它数据 扩展访问列表应用举例1 172 16 3 0 172 16 4 0 172 16 4 13 E0 S0 E1 Non 172 16 0 0 35 CisxoEducationSolution 拒绝子网172 16 4 0内的主机使用路由器的E0端口建立Telnet会话允许其它数据 扩展访问列表应用举例2 172 16 3 0 172 16 4 0 172 16 4 13 E0 S0 E1 Non 172 16 0 0 access list101denytcp172 16 4 00 0 0 255anyeq23EQ23表示阻止TELnet到主机的访问 这时 FTP是允许的 36 CisxoEducationSolution 拒绝子网172 16 4 0内的主机使用路由器的E0端口建立Telnet会话允许其它数据 扩展访问列表应用举例2 172 16 3 0 172 16 4 0 172 16 4 13 E0 S0 E1 Non 172 16 0 0 access list101denytcp172 16 4 00 0 0 255anyeq23access list101permitipanyany implicitdenyall 37 CisxoEducationSolution access list101denytcp172 16 4 00 0 0 255anyeq23access list101permitipanyany implicitdenyall interfaceethernet0ipaccess group101out 拒绝子网172 16 4 0内的主机使用路由器的E0端口建立Telnet会话允许其它数据 扩展访问列表应用举例2 172 16 3 0 172 16 4 0 172 16 4 13 E0 S0 E1 Non 172 16 0 0 38 CisxoEducationSolution 访问列表配置指南 访问列表的编号指明了使用何种协议的访问列表每个端口 每个方向 每条协议只能对应于一条访问列表访问列表的内容决定了数据的控制顺序具有严格限制条件的语句应放在访问列表所有语句的最上面在访问列表的最后有一条隐含声明 denyany 每一条正确的访问列表都至少应该有一条允许语句先创建访问列表 然后应用到端口上访问列表不能过滤由路由器自己产生的数据 39 CisxoEducationSolution 访问列表配置准则 访问列表中限制语句的位置是至关重要的将限制条件严格的语句放在访问列表的最上面使用noaccess listnumber命令删除完整的访问列表隐含声明denyall在设置的访问列表中要有一句permitany 40 CisxoEducationSolution 将标准访问列表置于离目的设备较近的位置将扩展访问列表置于离源设备较近的位置 E0 E0 E1 S0 To0 S1 S0 S1 E0 E0 B A C 访问列表的放置原则 推荐 D 41 CisxoEducationSolution wg ro a showipinte0Ethernet0isup lineprotocolisupInternetaddressis10 1 1 11 24Broadcastaddressis255 255 255 255AddressdeterminedbysetupcommandMTUis1500bytesHelperaddressisnotsetDirectedbroadcastforwardingisdisabledOutgoingaccesslis