第9章 接入控制列表ACLPPT演示课件

ACL（访问控制列表）,1,ACL基础,网络管理员可以拒绝不希望的访问连接流量，同时也可以允许正常的访问ACL（accesscontrollists）是应用在路由器接口听指令列表，这些指令告诉路由器哪些分组可以接收以及哪些分组需要拒绝。它实际上是一个连续的允许和拒绝语句的集合,2,ACL基础,ACL可通过ACL列表号来识别，特定的ACL语句具有相同的编号，并且是相同的ACL的一部分ACL在网络中可实现的多样功能，一般包括：内部过滤分组保护内部网络受到来自Internet的非法入侵限制对虚拟终端端口的访问ACL适用于所有的路由协议，如IP、IPX等ACL通过在路由器接口处控制被路由的分组是被转发还是被阻塞来过滤网络流量路由器基于ACL中指定的条件来决定转发还是丢弃分组，其条件可以是源地址，目的地址等,3,建立ACL的原因,限制网络流量，提高网络性能提供流量控制提供网络访问的基本安全级别在路由器接口决定哪种流量被转发或被阻塞,4,5,ACL语句的顺序,创建一个ACL时其顺序是至关重要的当流量进入或流出应用了ACL的路由器接口时，会将分组同ACL中定义的规则相比较当比较分组时，一次一句按顺序比较，直到与某一条语句匹配，一旦与某一条语句匹配，就执行匹配的语句行中所指定的动作，不再检查其分条件语句一旦一个ACL被创建后，新的语句行都会被加到ACL的最后，无法删除列表中的单独一行，只能删除整个ACL列表对路由器的每个接口的每个方向，针对每个协议只能应用一个ACL列表,6,7,8,9,ACL如何工作,ACL是一组允许或拒绝的语句，它定义了分组的下列行为：进入入站路由器接口通过路由器转发流出出站路由器接口见FLASH,10,ACL如何工作,当分组进入到路由器的某个接口时，路由器首先检查该分组是否可路由或可桥接然后检查在入站接口上是否应用了ACL如有，将分组与列表中的条件语句相比较，如果分组被允许通过，则继续检查路由表以决定转了到的目的接口（ACL不过滤由路由器本身发出的分组，只过滤别的来源的分组）路由器检查目的接口是否应用了ACL，如果没有应用，分组被直接送到目的接口,11,ACL的创建,ACL要在全局配置模式中创建router(config)#access-listaccess-list-numberpermit|denytest-conditions将ACL应用到路由器的某个接口上:router(config-if)#protocolaccess-groupaccess-list-numberin|out,12,ACL示例,router(config)#access-list1permit55router(config-if)#ipaccess-group1out,13,删除ACL,从接口中将ACL应用删除掉router(config-if)#noprotocolaccess-groupaccess-list-numberin|out将ACL语句删除掉router(config)#noaccess-listaccess-list-numberpermit|denytest-conditions,14,ACL列表号,IP199,13001399EXTENDEDIP100199,20002699,15,通配符掩码（WILDCARD）,与IP地址成对出现，用来决定IP地址中哪些位需要检查哪些位不需要检查是32比特的数字字符串，用点分十进制表示比特值为0表示相应IP地址位需要检查比特值为1表示相应IP地址位不需要检查,16,17,wildcardmaskbits举例,Forexample:检查IP网络/24,So,addressandwildcardmaskis55,18,wildcardmaskbitsContinue,Forexample:checkforIPsubnets/21,So,addressandwildcardmaskis55,19,wildcardmaskbitsContinue,Forexample:checkforIPsubnetsto,So,addressandwildcardmaskis55,20,通配符“any”,如允许任何地址的主机访问router(config)#access-list1permit55可以用缩写字any，如下所示：router(config)#access-list1permitany,21,通配符“host”,想要与整个IP地址匹配时，即条件针对一个主机router(config)#access-list1permit也可以写成:router(config)#access-list1permithost9或者写成：router(config)#access-list1permit9,22,验证ACL,Showipinterface查看接口是否应用了ACLShowaccess-list列表号查看ACL的内容Showrunning-config,23,标准ACL,可以基于网络、子网或主机IP地址允许或拒绝整个协议组只能根据分组的源地址进行过滤router(config)#access-listaccess-list-numberdeny|permitsourcesource-wildcardlogLog表示生成有关分组匹配的日志消息使用下面命令将ACL应用到路由器的相应接口中router(config-if)#ipaccess-groupaccess-numberin|out,24,standardACLsexample1,access-list1permit55access-list1permit55access-list1permit55!(Note:allotheraccessimplicitlydenied)Canomitthewildcardifitisallzeros.thefollowingthreeconfigurationcommandshavethesameeffect:access-list2permitaccess-list2permitaccess-list2permithost,25,standardACLsexample2,26,standardACLsexample3,27,standardACLsexample4,28,扩展ACL,扩展ACL比标准ACL使用得更多，它提供了更大的弹性和控制范围，扩展ACL既可以检查分组的源地址也可以检查分给的协议类型和TCP或UDP的端口号扩展ACL可以基于分组的源地址、目的地址、协议类型、端口地址和应用来决定访问是被允许或者被拒绝,29,扩展ACL的配置,router(config)#access-listaccess-list-numberpermit|denyprotocolsourcesource-maskdestinationdestination-maskoperatoroperandestablishedaccess-list-number：列表号Operator操作符：可以是lt,gt,eq,neq,rangEstablished：只针对TCP协议，指一个已建立的连接router(config-if)#ipaccess-groupaccess-list-numberin|out,30,Example1:anACLfordenyingFTPonanEthernetinterface,31,Example2:deniestelnetoutofanE0portandpermitsallothertraffic,32,命名ACL,CISCOIOS11.2版本中引入了命名ACL，允许在标准ACL和扩展ACL中，使用名字代替数字来表示ACL编号使用命名ACL的好处：通过一个字母数字串组成的名字来直观的表示特定的ACL不受99条标准ACL和100条扩展ACL的限制使用得网络管理员可以方便地对ACL进行修改而无需删除ACL之后再对其进行重新配置,33,标准命名ACL的创建,在全局配置模式下创建命名ACL的名称的类型router(config)#ipaccess-liststandard|extendedname在标准ACL模式下指定一个或多个允许及拒绝条件router(configstd-|ext-nacl)#denysourcesource-wildcard|anyrouter(configstd-|ext-nacl)#permitsourcesource-wildcard|any,34,扩展命名ACL的创建,在全局配置模式下创建命名ACL的名称的类型router(config)#ipaccess-liststandard|extendedname在扩展ACL模式下指定一个或多个允许及拒绝条件router(configstd-|ext-nacl)#permit|denyprotocolsourcesource-maskdestinationdestination-maskoperatoroperandestablished,35,36,使用ACL,使用ACL需要考虑：11.2之前不支持命名ACL不能够以同一个名字命名多个ACL,37,放置ACL,放置ACL的一般原则是：尽可能把扩展ACL放罢在距离要被拒绝的通信流量近的地址标准ACL由于不能指定目的地址，因此尽可能放置在距离目的地最近的地方,38,防火墙,是存在于内部网络与外部网络之间，用于保护内部网络免受外部入侵者攻击的一种计算机或者网络设备ACL路由器又叫包过滤防火墙,39,限制虚拟终端访问,Router(config)#access-list1permit55Router(config)#access-list1permit55Router(config)#access-list1