25-访问控制列表ACL概述

CCNA(640-802),CCNA200-120,访问控制列表（ACL）应用于路由器接口的指令列表，用于指定哪些数据包可以接收转发，哪些数据包需要拒绝ACL的工作原理读取第三层及第四层包头中的信息根据预先定义好的规则对包进行过滤,什么是访问控制列表,提供网络访问的基本安全手段可用于QoS，控制数据流量控制通信量,访问控制列表的作用2-1,主机A,主机B,人力资源网络,研发网络,使用ACL阻止某指定网络访问另一指定网络,访问控制列表的作用2-2,实现访问控制列表的核心技术是包过滤,Internet,公司总部,内部网络,未授权用户,办事处,访问控制列表,访问控制列表工作原理2-1,通过分析IP数据包包头信息，进行判断（这里IP所承载的上层协议为TCP）,访问控制列表工作原理2-2,匹配下一步,拒绝,允许,允许,允许,到达访问控制组接口的数据包,匹配第一步,目的接口,隐含的拒绝,丢弃,Y,Y,Y,Y,Y,Y,N,N,N,匹配下一步,拒绝,拒绝,拒绝,路由器对访问控制列表的处理过程,访问控制列表入与出3-1,使用命令ipaccess-group将ACL应用到某一个接口上在接口的一个方向上，只能应用一个access-list,Router(config-if)#ipaccess-groupaccess-list-numberin|out,进入数据包,源地址匹配吗？,有更多条目吗？,应用条件,拒绝,允许,路由到接口,查找路由表,是,是,否,是,否,Icmp消息,转发数据包,接口上有访问控制列表吗？,列表中的下一个条目,否,访问控制列表入与出3-2,外出数据包,查找路由表,接口上有访问控制列表吗？,源地址匹配吗？,拒绝,允许,列表中的下一个条目,是,是,转发数据包,Icmp消息,否,否,否,有更多条目吗？,访问控制列表入与出3-3,应用条件,是,Deny和permit命令,Router(config)#access-listaccess-list-numberpermit|denytestconditions,允许数据包通过应用了访问控制列表的接口,拒绝数据包通过,第一步，创建访问控制列表第二步，应用到接口f0/0的出方向上,R(config)#access-list1permit55R(config)#access-list1denyR(config)#access-list1permit55,Router(config)#interfacefastethernet0/0Router（config-if）#ipaccess-group1out,访问控制列表实例,使用通配符any和host2-1,通配符any可代替55,Router(config)#access-list1permit55,Router(config)#access-list1permitany,使用通配符any和host2-2,host表示检查IP地址的所有位,Router(config)#access-list1permit,Router(config)#access-list1permithost9,访问控制列表的种类,基本类型的访问控制列表标准访问控制列表扩展访问控制列表其他种类的访问控制列表基于MAC地址的访问控制列表基于时间的访问控制列表,路由器B,路由器C,路由器D,路由器A,S0,S0,S1,S1,E0,E0,E1,E0,E0,E1,应用访问控制列表,源,目的,标准访问控制列表3-1,标准访问控制列表根据数据包的源IP地址来允许或拒绝数据包访问控制列表号从1到99,标准访问控制列表3-2,标准访问控制列表只使用源地址进行过滤，表明是允许还是拒绝,路由器,如果在访问控制列表中有的话,应用条件,拒绝,允许,更多条目？,列表中的下一个条目,否,有访问控制列表吗？,源地址,不匹配,是,匹配,是,否,Icmp消息,转发数据包,标准访问控制列表3-3,标准访问控制列表的配置,第一步，使用access-list命令创建访问控制列表,第二步，使用ipaccess-group命令把访问控制列表应用到某接口,Router(config)#access-listaccess-list-numberpermit|denysourcesource-wildcardlog,Router(config-if)#ipaccess-groupaccess-list-numberin|out,标准ACL应用1：允许特定源的流量2-1,标准ACL应用：允许特定源的流量2-2,第一步，创建允许来自的流量的ACL第二步，应用到接口E0和E1的出方向上,Router(config)#access-list1permit55,Router(config)#interfacefastethernet0/0Router(config-if)#ipaccess-group1outRouter(config)#interfacefastethernet0/1Router(config-if)#ipaccess-group1out,标准ACL应用：拒绝特定主机的通信流量,第一步，创建拒绝来自3的流量的ACL第二步，应用到接口E0的出方向,Router(config)#access-list1denyhost3Router(config)#access-list1permit55,Router(config)#interfacefastethernet0/0Router(config-if)#ipaccess-group1out,any,标准ACL应用：拒绝特定子网的流量,第一步，创建拒绝来自子网的流量的ACL第二步，应用到接口f0的出方向,Router(config)#access-list1deny55Router(config)#accesslist1permitany,Router(config)#interfacefastethernet0/0Router（config-if）#ipaccess-group1out,55,扩展访问控制列表4-1,扩展访问控制列表基于源和目的地址、传输层协议和应用端口号进行过滤每个条件都必须匹配，才会施加允许或拒绝条件使用扩展ACL可以实现更加精确的流量控制访问控制列表号从100到199,扩展访问控制列表4-2,扩展访问控制列表使用更多的信息描述数据包，表明是允许还是拒绝,路由器,有访问控制列表吗？,源地址,目的地址,协议,协议任选项,应用条件,拒绝,允许,更多条目？,列表中的下一个条目,不匹配,否,是,匹配,匹配,匹配,匹配,是,否,Icmp消息,转发数据包,如果在访问控制列表中有的话,扩展访问控制列表4-3,不匹配,不匹配,不匹配,扩展访问控制列表4-4,扩展访问控制列表的配置3-1,第一步，使用access-list命令创建扩展访问控制列表,Router(config)#access-listaccess-list-numberpermit|denyprotocolsourcesource-wildcarddestinationdestination-wildcardoperatorportestablishedlog,扩展访问控制列表操作符的含义,扩展访问控制列表的配置3-2,扩展访问控制列表的配置3-3,第二步，使用ipaccess-group命令将扩展访问控制列表应用到某接口,Router（config-if）#ipaccess-groupaccess-list-numberin|out,扩展ACL应用1：拒绝ftp流量通过E0,第一步，创建拒绝来自、去往、ftp流量的ACL第二步，应用到接口E0的出方向,Router(config)#access-list101denytcp5555eq21Router(config)#access-list101permitipanyany,Router(config)#interfacefastthernet0/0Router（config-if）#ipaccess-group101out,扩展ACL应用2：拒绝telnet流量通过E0,第一步，创建拒绝来自、去往、telnet流量的ACL第二步，应用到接口E0的出方向上,Router(config)#access-list101denytcp5555eq23Router(config)#access-list101permitipanyany,Router(config)#interfacefastethernet0/0Router（config-if）#ipaccess-group101out,命名的访问控制列表2-1,标准ACL和扩展ACL中可以使用一个字母数字组合的字符串（名字）代替来表示ACL的表号命名IP访问列表允许从指定的访问列表删除单个条目如果添加一个条目到列表中，默认情况下该条目被添加到列表末尾，也可以在中间插入。不能以同一个名字命名多个ACL在命名的访问控制列表下，permit和deny命令的语法格式与前述有所不同,命名的访问控制列表2-2,第一步，创建名为cisco的命名访问控制列表第二步，指定一个或多个permit及deny条件第三步，应用到接口E0的出方向,Router（config）#interfacefastethernet0/0Router（config-if）#ipaccess-groupciscoout,Router(config)#ipaccess-listextendedcisco,Router（config-ext-nacl）#denytcp5555eq23Router（config-ext-nacl）#permitipanyany,查看访问控制列表2-1,Router#showipinterfacefastethernet0/0FastEthernet0/0isup,lineprotocolisupInternetaddressis/24Broadcastaddressis55AddressdeterminedbysetupcommandMTUis1500bytesHelperaddressisnotsetDirectedbroadcastforwardingisdisabledOutgoingaccesslistisciscoInboundaccesslistisnotsetProxyARPisenabledLocalProxyARPisdisabledSecuritylevelisdefaultSplithorizonisenabledICMPredirectsarealwayssentI