原版CCNA教材-第14章_IP访问控制列表.ppt

第十四章IP访问控制列表,ACL概述,1、什么是ACL(AccessContronList)使用包过滤技术，读取第三层或第四层包头中的信息，如源地址、目的地址、源端口、目的端口及协议等，根据预先定义好的规则对包进行过滤，从而达到访问控制目的。2、ACL功能（1）检查和过滤数据包（2）提供对通讯流量的控制手段（3）限制或减少路由更新的内容（4）按照优先级或用户队列处理数据包（5）定义发起DDR呼叫的感兴趣流量,ACL概述（续）,3、设计ACL的原则（1）自上而下的处理方式（2）添加表项（3）访问控制列表放置（4）语句的位置（5）其他注意事项,,,Internet,管理网络中逐步增长的IP数据当数据通过路由器时进行过滤,为什么要使用访问列表,访问列表的应用,允许、拒绝数据包通过路由器允许、拒绝Telnet会话的建立没有设置访问列表时，所有的数据包都会在网络上传输,虚拟会话(IP),端口上的数据传输,QueueList,优先级判断,访问列表的其它应用,基于数据包检测的特殊数据通讯应用,QueueList,优先级判断,访问列表的其它应用,按需拨号,基于数据包检测的特殊数据通讯应用,访问列表的其它应用,路由表过滤,RoutingTable,QueueList,优先级判断,按需拨号,基于数据包检测的特殊数据通讯应用,标准检查源地址通常允许、拒绝的是完整的协议,OutgoingPacket,E0,S0,IncomingPacket,AccessListProcesses,Permit?,什么是访问列表-标准,标准检查源地址通常允许、拒绝的是完整的协议扩展检查源地址和目的地址,源目端口和协议等通常允许、拒绝的是某个特定的协议,OutgoingPacket,E0,S0,IncomingPacket,AccessListProcesses,Permit?,Protocol,什么是访问列表-扩展,标准检查源地址通常允许、拒绝的是完整的协议扩展检查源地址和目的地址通常允许、拒绝的是某个特定的协议进方向和出方向,OutgoingPacket,E0,S0,IncomingPacket,AccessListProcesses,Permit?,Protocol,什么是访问列表,InboundInterfacePackets,N,Y,PacketDiscardBucket,ChooseInterface,N,AccessList?,RoutingTableEntry?,Y,OutboundInterfaces,Packet,S0,出端口方向上的访问列表,OutboundInterfaces,Packet,N,Y,PacketDiscardBucket,ChooseInterface,RoutingTableEntry?,N,Packet,TestAccessListStatements,Permit?,Y,出端口方向上的访问列表,AccessList?,Y,S0,E0,InboundInterfacePackets,NotifySender,出端口方向上的访问列表,Ifnoaccessliststatementmatchesthendiscardthepacket,N,Y,PacketDiscardBucket,ChooseInterface,RoutingTableEntry?,N,Y,TestAccessListStatements,Permit?,Y,AccessList?,DiscardPacket,N,OutboundInterfaces,Packet,Packet,S0,E0,InboundInterfacePackets,访问列表的测试：允许和拒绝,Packetstointerfacesintheaccessgroup,PacketDiscardBucket,Y,Interface(s),Destination,Deny,Deny,Y,MatchFirstTest?,Permit,访问列表的测试：允许和拒绝,PacketstoInterface(s)intheAccessGroup,PacketDiscardBucket,Y,Interface(s),Destination,Deny,Deny,Y,MatchFirstTest?,Permit,N,Deny,Permit,MatchNextTest(s)?,Y,Y,访问列表的测试：允许和拒绝,PacketstoInterface(s)intheAccessGroup,PacketDiscardBucket,Y,Interface(s),Destination,Deny,Deny,Y,MatchFirstTest?,Permit,N,Deny,Permit,MatchNextTest(s)?,Deny,MatchLastTest?,Y,Y,N,Y,Y,Permit,访问列表的测试：允许和拒绝,PacketstoInterface(s)intheAccessGroup,PacketDiscardBucket,Y,Interface(s),Destination,Deny,Y,MatchFirstTest?,Permit,N,Deny,Permit,MatchNextTest(s)?,Deny,MatchLastTest?,Y,Y,N,Y,Y,Permit,ImplicitDeny,Ifnomatchdenyall,Deny,N,访问列表配置指南,访问列表的编号指明了使用何种协议的访问列表每个端口、每个方向、每条协议只能对应于一条访问列表访问列表的内容决定了数据的控制顺序具有严格限制条件的语句应放在访问列表所有语句的最上面在访问列表的最后有一条隐含声明：denyany每一条正确的访问列表都至少应该有一条允许语句先创建访问列表，然后应用到端口上访问列表不能过滤由路由器自己产生的数据,访问列表设置命令,Step1:设置访问列表测试语句的参数,access-listaccess-list-numberpermit|denytestconditions,Router(config)#,Router(config)#access-list1permit55Router(config)#access-list99deny55Router(config)#access-list2permitanyR1(config)#access-list22permithostany=55host=,Step1:设置访问列表测试语句的参数,Router(config)#,Step2:在端口上应用访问列表,protocolaccess-groupaccess-list-numberin|out,Router(config-if)#,访问列表设置命令,IP访问列表的标号为1-99和100-199如果in和out都没有指定，那么默认为out,access-listaccess-list-numberpermit|denytestconditions,Router(config-if)ipaccess-group1inRouter(config-if)ipaccess-group2out,如何识别访问列表号,编号范围,访问列表类型,IP,1-99,Standard,标准访问列表(1to99)检查IP数据包的源地址,编号范围,访问列表类型,如何识别访问列表号,IP,1-99100-199,StandardExtended,标准访问列表(1to99)检查IP数据包的源地址扩展访问列表(100to199)检查源地址和目的地址、具体的TCP/IP协议和目的端口,编号范围,1-991300-1999Name(CiscoIOS11.2andlater),100-1992000-2699Name(CiscoIOS11.2andlater),StandardNamed,访问列表类型,如何识别访问列表号,标准访问列表检查IP数据包的源地址扩展访问列表检查源地址和目的地址、具体的TCP/IP协议和目的端口其它访问列表编号范围表示不同协议的访问列表,ExtendNamed,1999,CiscoSystems,Inc.,10-25,配置标准的IP访问列表,标准IP访问列表的配置,access-listaccess-list-numberpermit|denysourcemask,Router(config)#,为访问列表设置参数IP标准访问列表编号1到99缺省的通配符掩码=“noaccess-listaccess-list-number”命令删除访问列表Showaccess-list,例如检查所有的地址位可以简写为host(host9),Testconditions:Checkalltheaddressbits(matchall),9,,(checksallbits),AnIPhostaddress,forexample:,Wildcardmask:,通配符掩码指明特定的主机,所有主机:55可以用any简写,Testconditions:Ignorealltheaddressbits(matchany),,55,(ignoreall),AnyIPaddress,Wildcardmask:,通配符掩码指明所有主机,CheckforIPsubnets/24to/24,Network.host,Wildcardmask:00001111|00010000=1600010001=1700010010=18:00011111=31,Addressandwildcardmask:55,通配符掩码和IP子网的对应,access-listaccess-list-numberpermit|denysourcemask,Router(config)#,在端口上应用访问列表指明是进方向还是出方向缺省=出方向“noipaccess-groupaccess-list-number”命令在端口上删除访问列表,Router(config-if)#,ipaccess-groupaccess-list-numberin|out,为访问列表设置参数IP标准访问列表编号1到99缺省的通配符掩码=“noaccess-listaccess-list-number”命令删除访问列表,标准IP访问列表的配置,,,3,E0,S0,E1,Non-,标准访问列表举例1,access-list1permit55(implicitdenyall-notvisibleinthelist)(access-list1deny55),Permitmynetworkonly,access-list1permit55(implicitdenyall-notvisibleinthelist)(access-list1deny55)interfaceethernet0ipaccess-group1outinterfaceethernet1ipaccess-group1out,,,3,E0,S0,E1,Non-,标准访问列表举例1,Ints0Ipaccess-group1in,Denyaspecifichost,标准访问列表举例2,,,3,E0,S0,E1,Non-,access-list1deny,标准访问列表举例2,,,3,E0,S0,E1,Non-,Denyaspecifichost,access-list1denyaccess-list1permit55(implicitdenyall)(access-list1deny55),access-list1denyaccess-list1permit55(implicitdenyall)(access-list1deny55)interfaceethernet0ipaccess-group1out,标准访问列表举例2,,,3,E0,S0,E1,Non-,Denyaspecifichost,Denyaspecificsubnet,标准访问列表举例3,,,3,E0,S0,E1,Non-,access-list1deny55access-list1permitany(implicitdenyall)(access-list1deny55),access-list1deny55access-list1permitany(implicitdenyall)(access-list1deny55)interfaceethernet0ipaccess-group1out,标准访问列表举例3,,,3,E0,S0,E1,Non-,Denyaspecificsubnet,1999,CiscoSystems,Inc.,10-38,用访问列表控制vty访问,在路由器上过滤vty,五个虚拟通道(0到4)路由器的vty端口可以过滤数据在路由器上执行vty访问的控制,0,1,2,3,4,Virtualports(vty0through4),Physicalporte0(Telnet),Consoleport(directconnect),console,e0,如何控制vty访问,0,1,2,3,4,Virtualports(vty0through4),Physicalport(e0)(Telnet),使用标准访问列表语句用access-class命令应用访问列表在所有vty通道上设置相同的限制条件,Router#,e0,虚拟通道的配置,指明vty通道的范围,在访问列表里指明方向,access-classaccess-list-numberin|out,linevty#vty#|vty-range,Router(config)#,Router(config-line)#,虚拟通道访问举例,只允许网络内的主机连接路由器的vty通道,access-list12permit55!linevty04access-class12in,ControllingInboundAccess,1999,CiscoSystems,Inc.,10-43,扩展IP访问列表的配置,标准访问列表和扩展访问列表比较,标准,扩展,基于源地址,基于源地址和目标地址,允许和拒绝完整的TCP/IP协议,指定TCP/IP的特定协议和端口号,编号范围100-199和2000-2699,编号范围1-99和1300-1999,扩展IP访问列表的配置,Router(config)#,设置访问列表的参数,access-listaccess-list-numberpermit|denyprotocolsourcesource-wildcardoperatorportdestinationdestination-wildcardoperatorportestablishedlog,Router(config-if)#ipaccess-groupaccess-list-numberin|out,扩展IP访问列表的配置,在端口上应用访问列表,Router(config)#,设置访问列表的参数,access-listaccess-list-numberpermit|denyprotocolsourcesource-wildcardoperatorportdestinationdestination-wildcardoperatorportestablishedlog,拒绝子网的数据使用路由器e0口ftp到子网允许其它数据,,,3,E0,S0,E1,Non-,扩展访问列表应用举例1,access-list101denytcp5555eq21access-list101denytcp5555eq20,拒绝子网的数据使用路由器e0口ftp到子网允许其它数据,扩展访问列表应用举例1,,,3,E0,S0,E1,Non-,access-list101denytcp5555eq21access-list101denytcp5555eq20access-list101permitipanyany(implicitdenyall)(access-list101denyip555),access-list101denytcp5555eq21access-list101denytcp5555eq20access-list101permitipanyany(implicitdenyall)(access-list101denyip555)interfaceethernet0ipaccess-group101out,拒绝子网的数据使用路由器e0口ftp到子网允许其它数据,扩展访问列表应用举例1,,,3,E0,S0,E1,Non-,拒绝子网内的主机使用路由器的E0端口建立Telnet会话允许其它数据,扩展访问列表应用举例2,,,3,E0,S0,E1,Non-,access-list101denytcp55anyeq23,拒绝子网内的主机使用路由器的E0端口建立Telnet会话允许其它数据,扩展访问列表应用举例2,,,3,E0,S0,E1,Non-,access-list101denytcp55anyeq23access-list101permitipanyany(implicitdenyall),access-list101denytcp55anyeq23access-list101permitipanyany(implicitdenyall)interfaceethernet0ipaccess-group101out,拒绝子网内的主机使用路由器的E0端口建立Telnet会话允许其它数据,扩展访问列表应用举例2,,,3,E0,S0,E1,Non-,wg_ro_a#showipinte0Ethernet0isup,lineprotocolisupInternetaddressis1/24Broadcastaddressis55AddressdeterminedbysetupcommandMTUis1500bytesHelperaddressisnotsetDirectedbroadcastforwardingisdisabledOutgoingaccesslistisnotsetInboundaccesslistis1ProxyARPisenabledSecuritylevelisdefaultSplithorizonisenabledICMPredirectsarealwayssentICMPunreachablesarealwayssentICMPmaskrepliesareneversentIPfastswitchingisenabledIPfastswitchingonthesameinterfaceisdisabledIPFeatureFastswitchingturbovectorIPmulticastfastswitchingisenabledIPmulticastdistributedfastswitchingisdisabled,查看访问列表,查看访问列表的语句,wg_ro_a#showaccess-listsStandardIPaccesslist1permitpermitpermitpermitExtendedIPaccesslist101permittcphostanyeqtelnetpermittcphostanyeqftppermittcphostanyeqftp-data,wg_ro_a#showaccess-listsaccess-listnumber,配置命名ACL,命