配置访问控制列表

第6讲配置访问控制列表 概述 ACL概述ACL的工作过程ACL分类ACL配置翻转掩码 wildcardbits 标准ACL的配置扩展ACL的配置标识ACL的配置使用ACL控制VTY的访问ACL配置要点 6 1ACL概述1 为什么要使用ACL随着网络的增长 要求对IP流量进行管理通过在路由器中设置包过滤来管理IP流量 6 1ACL概述2 什么是ACLACL是一个授权和拒绝条件的序列表基于协议不能过滤本地路由器的流量 6 1ACL概述3 ACL的用途用于各个LAN间的接口 过滤LAN流量用于VTY 过滤Telnet用于Dial on demand DDR 优先级 priority 和队列管理 6 1ACL概述4 ACL的分类入栈ACL 在网络入口处对数据包进行检查 如果被deny 则不需要路由 如果包被permits然后进行路由 6 1ACL概述4 ACL的分类出栈ACL 进入路由器的包被路由后进入outbound接口 然后进行Outbound访问列表匹配 6 1ACL概述5 ACL的逻辑测试过程 6 1ACL概述5 ACL的逻辑测试过程如果数据包与ACL中某条语句匹配 则列表中其它语句会被忽略如果数据包与某个命令不匹配 则继续检查ACL下一个命令语句如果到达ACL的最后一条命令仍不匹配 数据包会被丢弃 6 1ACL概述5 ACL的逻辑测试过程使用ACL要小心 至少ACL中要有一条允许语句ACL命令的放置顺序是很重要的当检测到某个命令条件满足的时候 就不会再检测后面的指令条件应该先创建ACL 再将其绑定到入口或者是出口ACL只能过滤通过路由器的数据流量 不能过滤路由器本身产生的数据流量 6 1ACL概述6 ACL举例要求只允许主机192 168 1 1和网络172 16 0 0的数据包通过第一条命令 条件 IP地址192 168 1 1 操作 允许 第二条命令 条件 网络地址172 16 0 0 操作 允许 6 2ACL的分类1 ACL的分类标准ACL standard 1 检查数据包的源地址扩展ACL extended 1 检查数据包的源地址 目的地址 特定的协议 端口号码以及其它参数 2 使用更灵活 6 2ACL的分类2 标准ACL 6 2ACL的分类2 标准ACL举例 6 2ACL的分类3 扩展ACL 6 2ACL的分类3 扩展ACL举例 6 3ACL的配置1 配置ACL要点访问列表要指明过滤什么协议 按顺序匹配访问列表 一般限制性的访问列表应该放在前面 在访问列表的最后隐性定义了denyany 所以每个访问列表应该至少包含一条permit声明 否则将过滤掉所有包 先创建访问列表 后使用 访问列表过滤通过路由器的流量 但不会应用于源自路由的流量 6 3ACL的配置2 ACL的编号 6 3ACL的配置3 配置ACL的步骤 1 创建ACLaccess listaccess list number permit deny testconditions 6 3ACL的配置3 配置ACL的步骤 2 将ACL绑定到接口 protocol access groupaccess list number in out 6 4翻转掩码1 翻转掩码的作用使用IP地址与翻转掩码地址对来定义测试条件简化测试过程 避免额外的输入 6 4翻转掩码2 翻转掩码的格式与子网掩码类似 翻转掩码是由0 1二进制组成的32位数字 分成4段 6 4翻转掩码3 翻转换码的配置规则1意味着忽略0意味着检查 6 4翻转掩码4 翻转掩码练习检查某个地址是不是10 1 1 1 地址对是多少 检查某个地址是不是来自网络202 19 10 0 地址对是多少 检查某个地址是不是10 1 0 0 地址对是多少 忽略所有的地址 地址对是多少 6 4翻转掩码5 Any和hostHost172 30 16 290 0 0 0 host172 30 16 29 6 4翻转掩码5 Any和hostAny0 0 0 0255 255 255 255 any 6 4翻转掩码6 复杂一点的例子 6 4翻转掩码6 练习检查某个地址是不是在10 12 8 0 24 10 12 15 0 24范围内 地址对是多少 检查某个地址是不是在5 64 0 0 16 5 127 0 0 16 地址对是多少 检查某个地址是不是在168 100 32 0 24 168 100 63 0 24 地址对是多少 6 5标准ACL的创建1 创建标准ACLaccess listaccess list number permit deny source mask 为访问列表条目设置参数 1 IP标准访问列表使用 1 99 2 缺省wildcardmask 0 0 0 0 3 noaccess listaccess list number 命令删除访问列表条目 6 5标准ACL的创建2 绑定ACL到指定的接口ipaccess groupaccess list number in out 在接口配置模式激活访问列表 1 设置inbound或outbound匹配 2 缺省是Outbound 3 noipaccess groupaccess list number 命令从接口取消激活访问列表 6 5标准ACL的创建3 标准ACL举例如何使Ethernet0和Ethernet1端口只允许源地址为172 16 0 0网络的数据包Outbound 6 5标准ACL的创建3 标准ACL举例如何在端口Ethernet0阻塞主机 阻塞源地址为172 16 4 13的数据包 6 5标准ACL的创建3 标准ACL举例如何在接口Ethernet0阻塞子网 阻塞源地址为172 16 4 0的数据包 6 5标准ACL的创建4 LAB 标准ACLaccess list access list号码permit deny源地址源反转码 根据源地址进行筛选 6 5标准ACL的创建4 LAB 标准ACLinte0ipaccess group号码out inshowaccess listshowrunnoipaccess group号码out innoaccess list号码 6 6扩展ACL的配置1 扩展ACL和标准ACL的比较 6 6扩展ACL的配置2 扩展ACL的配置 创建 access listaccess list number permit deny protocolsourcesource wildcard operatorport destinationdestination wildcardoperatorport established log 6 6扩展ACL的配置2 扩展ACL的配置Access list number 100 199permit deny 指明允许还是阻塞protocol 允许指定协议 IP TCP UDP ICMP IGRP source和destination 指明源和目的地址 6 6扩展ACL的配置2 扩展ACL的配置source wildcard和destination wildcardoperatorport lt gt eq neq 小于 大于 等于 不等于 端口号Established 既定的 只用于inboundTCP 允许TCP建立连接 例如 ACK被置位 log 发送logging信息到console 6 6扩展ACL的配置3 扩展ACL的配置 6 6扩展ACL的配置4 扩展ACL的配置 绑定 Router config if ipaccess groupaccess list number in out 6 6扩展ACL的配置4 扩展ACL的配置举例如何在接口Ethernet0阻塞从subnet172 16 4 0到subnet172 16 3 0的FTP数据包 同时Permit所有其它流量 阻塞从接口E1到接口E0的数据包 6 6扩展ACL的配置4 扩展ACL的配置举例Deny从subnet172 16 4 0到subnet172 16 3 0的数据包 outofE0 Permit所有其它流量 6 6扩展ACL的配置4 扩展ACL的配置举例如何在Ethernet0只阻塞所有来自subnet172 16 4 0的telnet流量 6 6扩展ACL的配置4 扩展ACL的配置举例如何在Ethernet0只阻塞所有来自subnet172 16 4 0的telnet流量 6 6扩展ACL的配置4 LAB 扩展ACL的配置access list号码permit deny协议源源反转码源端口目的目的反转码端口 6 7标识ACL的配置1 标识ACL使用字符串代替数字 来标识ACL优点 1 用有含义的字符串直观标识一个ACL 2 需要的配置超出了99个标准ACL或者100个扩展ACL时 可以采用命名ACL 3 当修改ACL中的某一条语句时 可以在不删除整个ACL的情况下修改它 6 7标识ACL的配置1 标识ACL注意 1 命名ACL与CiscoIOS11 2之前的版本不兼容 2 命名ACL也包含标准和扩展ACL 3 不能为多个ACL使用相同的名字 不同类型的ACL也不能使用相同的名字 6 7标识ACL的配置2 标识ACL的配置 创建 ipaccess list standard extended name permit deny ipaccesslisttestconditions 6 7标识ACL的配置2 标识ACL的配置 绑定 Router config if ipaccess groupname in out 6 7标识ACL的配置3 查看ACL的配置showaccess lists access listnumber showipinte0 6 7使用ACL控制VTY的访问1 概述5个终端lines 0 4 过滤可以访问路由器vty端口的包过滤从路由器通过vty访问其他设备的包 6 7使用ACL控制VTY的访问2 配置创建 与前面相同绑定 linevty vty vty range access classaccess list number in out 6 7使用ACL控制VTY的访问3 配置实例如何只允许在网络192 89 55 0中的主机通过vty访问路由器 6 8ACL配置要点1 配置要点访问列表条目的顺序是至关重要的推荐先配置号访问列表 然后粘贴到路由器访问列表从上至下逐条匹配把明确的列表 常用到的 尽量放置在前面 以减少处理负载 6 8ACL配置要点1 配置要点No命令使用noaccess listnumber命令删除访问