ACL原理及配置实例ppt课件

,上次回顾：广域网接口配置配置PPP协议PPP协议的验证方式,2,本次内容（补充）,理解ACL的基本原理会配置标准ACL会配置扩展ACL会配置ACL对网络进行控制理解NAT会配置NAPT,需求,需求1,作为公司网络管理员，当公司领导提出下列要求时你该怎么办？为了提高工作效率，不允许员工上班时间进行QQ聊天、MSN聊天等，但需要保证正常的访问Internet，以便查找资料了解客户及市场信息等。公司有一台服务器对外提供有关本公司的信息服务，允许公网用户访问，但为了内部网络的安全，不允许公网用户访问除信息服务器之外的任何内网节点。,需求2,访问控制列表(ACL),ACL概述基本ACL配置扩展ACL配置,7,访问控制列表概述,访问控制列表（ACL）读取第三层、第四层包头信息根据预先定义好的规则对包进行过滤,IP报头,TCP报头,数据,源地址目的地址,源端口目的端口,访问控制列表利用这4个元素定义的规则,8,访问控制列表的工作原理,访问控制列表在接口应用的方向访问控制列表的处理过程,9,访问控制列表类型,标准访问控制列表扩展访问控制列表命名访问控制列表定时访问控制列表,10,标准访问控制列表配置3-1,创建ACLRouter(config)#access-listaccess-list-numberpermit|denysourcesource-wildcard删除ACLRouter(config)#noaccess-listaccess-list-number,允许数据包通过应用了访问控制列表的接口,拒绝数据包通过,11,标准访问控制列表配置3-2,应用实例Router(config)#access-list1permit55Router(config)#access-list1permit允许/24和主机的流量通过隐含的拒绝语句Router(config)#access-list1deny55关键字hostany,Hostany,Host=any=55R1(config)#access-list1denyR1config)#access-list1permit55与R1(config)#access-list1denyhostR1(config)#access-list1permitany相同,13,标准访问控制列表配置3-3,将ACL应用于接口Router(config-if)#ipaccess-groupaccess-list-numberin|out在接口上取消ACL的应用Router(config-if)#noipaccess-groupaccess-list-numberin|out,标准访问控制列表配置实例,实验编号的标准IP访问列表。,【实验目的】掌握路由器上编号的标准IP访问列表规则及配置。【背景描述】你是一个公司的网络管理员，公司的经理部、财务部门和销售部门分属不同的3个网段，三部门之间用路由器进行信息传递，为了安全起见，公司领导要求销售部门不能对财务部门进行访问，但经理部可以对财务部门进行访问。PC1代表经理部的主机，PC2代表销售部门的主机、PC3代表财务部门的主机。,【技术原理】IPACL（IP访问控制列表或IP访问列表）是实现对流经路由器或交换机的数据包根据一定的规则进行过滤，从而提高网络可管理性和安全性。标准IP访问列表可以根据数据包的源IP地址定义规则，进行数据包的过滤。,IPACL基于接口进行规则的应用，分为：入栈应用和出栈应用。入栈应用是指由外部经该接口进行路由器的数据包进行过滤。出栈应用是指路由器从该接口向外转发数据时进行数据包的过滤。IPACL的配置有两种方式：按照编号的访问列表，按照命名的访问列表。标准IP访问列表编号范围是199、13001999，扩展IP访问列表编号范围是100199、20002699。,【实现功能】实现网段间互相访问的安全控制。【实验设备】RSR10路由器（两台）、V.35线缆（1条）、交叉线（3条）,【实验拓扑】,【实验步骤】,步骤1：Router1、Router2基本配置IP地址等步骤2：路由表步骤3：访问控制列表访问控制列表应用在接口步骤4：测试,配置静态路由Router1(config)#iprouteserial1/2Router2(config)#iprouteserial1/2Router2(config)#iprouteserial1/2测试命令：showiproute。,步骤2配置标准IP访问控制列表。Router2(config)#access-list1permit55!允许来自网段的流量通过Router2(config)#access-list1deny55!拒绝来自网段的流量通过验证测试：Router2#showaccess-lists1StandardIPaccesslist1includes2items:deny,wildcardbits55permit,wildcardbits55,步骤3把访问控制列表在接口下应用。Router2(config)#interfacefastEthernet1/0Router2(config-if)#ipaccess-group1out!在接口下访问控制列表出栈流量调用,验证测试：,Router2#showipinterfacefastEthernet1/0,步骤4.验证测试。ping（网段的主机不能ping通网段的主机；网段的主机能ping通网段的主机）。【注意事项】1、注意在访问控制列表的网络掩码是反掩码。2、标准控制列表要应用在尽量靠近目的地址的接口。,【参考配置】,Router1#showrunning-config!查看路由器1的全部配置,27,扩展访问控制列表配置2-1,创建ACLRouter(config)#access-listaccess-list-numberpermit|denyprotocolsourcesource-wildcarddestinationdestination-wildcardoperatoroperan删除ACLRouter(config)#noaccess-listaccess-list-number将ACL应用于接口Router(config-if)#ipaccess-groupaccess-list-numberin|out在接口上取消ACL的应用Router(config-if)#noipaccess-groupaccess-list-numberin|out,28,扩展访问控制列表配置2-2,应用实例1Router(config)#access-list101permitip5555Router(config)#access-list101denyipanyany应用实例2Router(config)#access-list101denytcp55hosteq21Router(config)#access-list101permitipanyany应用实例3Router(config)#access-list101denyicmp55hostechoRouter(config)#access-list101permitipanyany,扩展ACL的编号为100199，扩展ACL增强了标准ACL的功能增强ACL可以基于下列参数进行网络传输的过滤目的地址IP协议可以使用协议的名字来设定检测的网络协议或路由协议，例如：ICMP、TCP和UDP等等TCP/IP协议族中的上层协议可以使用名称来表示上层协议，例如：“ftp”或“www”也可以使用操作符eq、gt、lt和neq(equalto,greaterthan,lessthan和notequalto)来处理部分协议例如：希望允许除了http之外的所有通讯，其语句是permittcpanyanyneq80,请复习TCP和UDP的端口号也可以使用名称来代替端口号，例如：使用telnet来代替端口号23,端口号,放置扩展ACL的正确位置,在下图中，需要设定网络中的所有节点不能访问地址为4服务器在哪个路由器的哪个接口上放置ACL?在RouterC的E0接口上放置这将防止中的所有机器访问4，但是他们可以继续访问Internet,由于扩展ACL可以控制目的地地址，所以应该放置在尽量接近数据发送源的路由器上。减少网络资源的浪费。,放置扩展ACL的正确位置,Router-C(config)#access-list100denyip55Router-C(config)#access-list100permitipanyanyRouter-C(config)#inte0Router-C(config-if)#ipaccess-group100in,使用ACL,配置练习,PC1不能对Server0进行WWW访问,扩展访问控制列表例,如上图，网络中部门经理使用的IP地址为,部门经理可以访问内网server及与内网结点通信，并访问Internet，员工不能访问server，但可以和内网其他节点通信，只允许员工访问Internet的WWW的服务和收发邮件。,答案Access-list100permitiphostanyAccess-listdenyip0.0.255host4Access-listpermitip5555Access-listpermittcp55anyeqwww(或80)Access-listpermittcp55anyeqpop3(或110)Access-listpermittcp55anyeqsmtp(或25),扩展访问控制列表例,扩展访问控制列表例,如上图，允许serverping网络内的节点，但是不允许该网络内节点pingserver。允许其他所有访问。答案：access-list100permiticmp55host4echo-replyaccess-list100denyicmp55host4echoAccess-list100permitipanyany,38,命名访问控制列表配置5-1,创建ACLRouter(config)#ipaccess-liststandard|extendedaccess-list-name配置标准命名ACLRouter(config-std-nacl)#Sequence-Numberpermit|denysourcesource-wildcard配置扩展命名ACLRouter(config-ext-nacl)#Sequence-Numberpermit|denyprotocolsourcesource-wildcarddestinationdestination-wildcardoperatoroperan,标准命名ACL,扩展命名ACL,Sequence-Number决定ACL语句在ACL列表中的位置,39,命名访问控制列表配置5-2,标准命名ACL应用实例,查看ACL配置信息Router#showaccess-listsStandardIPaccesslistcisco10permit20denyany,Router(config)#ipaccess-liststandardciscoRouter(config-std-nacl)#permithostRouter(config-std-nacl)#denyany允许来自主机/24的流量通过,更改ACL,又允许来自主机/24的流量通过Router(config)#ipaccess-liststandardciscoRouter(config-std-nacl)#15permithost,Router#showaccess-listsStandardIPaccesslistcisco10permit15permit20denyany,添加序列号为15的ACL语句,ACL语句添加到了指定的ACL列表位置,40,命名访问控制列表配置5-3,扩展命名ACL应用实例Router(config)#ipaccess-listextendedciscoRouter(config-ext-nacl)#denytcp55hosteq21Router(config-ext-nacl)#permitipanyany,41,命名访问控制列表配置5-4,删除整组ACLRouter(config)#noipaccess-liststandard|extendedaccess-list-name删除组中单一ACL语句noSequence-NumbernoACL语句,创建ACLRouter(config)#ipaccess-liststandardciscoRouter(config-std-nacl)#permithostRouter(config-std-nacl)#endRouter#showaccess-listsStandardIPaccesslistcisco10permit删除组中单一ACL语句Router(config-std-nacl)#no10或Router(config-std-nacl)#nopermithost,42,命名访问控制列表配置5-5,将ACL应用于接口Router(config-if)#ipaccess-groupaccess-list-namein|out在接口上取消ACL的应用Router(config-if)#noipaccess-groupaccess-list-namein|out,43,命名访问控制列表配置实例,公司添加服务器，要求如下可以访问服务器/24中除上述地址外都不能访问服务器其他公司网段都可以访问服务器公司人员调整，更改服务器访问权限不允许和主机访问服务器允许0主机访问服务器,44,定义时间范围,定义时间范围的名称Router(config)#time-rangetime-range-name指定该时间范围何时生效定义一个时间周期Router(config-time-range)#periodicdays-of-the-weekhh:mmtodays-of-the-weekhh:mm定义一个绝对时间Router(config-time-range)#absolutestarthh:mmdaymonthyearendhh:mmdaymonthyear,参数days-of-the-week的取值,45,定时访问控制列表配置2-1,扩展ACL中引入时间范围Router(config)#access-listaccess-list-numberpermit|denyprotocolsourcesource-wildcarddestinationdestination-wildcardoperatoroperantime-rangetime-range-name将ACL应用于接口Router(config-if)#ipaccess-groupaccess-list-numberin|out,46,定时访问控制列表配置2-2,应用实例1Router(config)#time-rangemytimeRouter(config-time-range)#periodicweekdays8:30to17:30Router(config-time-range)#exitRouter(config)#access-list101permitipanyanytime-rangemytimeRouter(config)#intf0/0Router(config-if)#ipaccess-group101in应用实例2Router(config)#time-rangemytimeRouter(config-time-range)#absolutestart8:0010may2009end18:0020may2009Router(config-time-range)#exitRouter(config)#access-list101permitipanyanytime-rangemytimeRouter(config)#intf0/0Router(config-if)#ipaccess-group101in,47,小结,请思考ACL的作用是什么？ACL通过哪几个参数过滤数据包？ACL分为几种？,48,案例：访问控制列表的应用,公司安全方面考虑要求限定不