网络部分教案9--ACL

1、微软认证讲师：韩立刚微软认证讲师：韩立刚MSN:访问控制目标目标 完成本章的学习，你将能够完成一下任务: 识别IP访问控制列表的功能和运作过程 配置标准的Ip访问控制列表 使用访问控制列表控制终端的访问 配置扩展IP访问控制列表 验证和监视IP访问控制列表FDDITokenRingInternet 当网络增长时管理控制网络流量 当数据包穿过路由器时过滤数据包为什么使用访问控制列表为什么使用访问控制列表控制列表应用控制列表应用 允许或拒绝包通过路由器 允许或拒绝vty访问 如果没有访问控制列表，所有的数据流量允许通过网络Virtual terminal l

2、ine access (IP)在接口传送数据包在接口传送数据包 标准（Standard） 检查原地址 通常允许或拒绝整个协议栈 扩展（Extended） 检查源地址和目标地址 通常允许或拒绝特定的协议 进站或出站什么是访问控制列表（什么是访问控制列表（ACL）？）？OutgoingPacketE0S0IncomingPacketAccess List ProcessesPermit?Sourceand DestinationProtocol通知发送者通知发送者出站访问控制列表出站访问控制列表如果没有访问控制列表相匹配，数据包被扔掉如果没有访问控制列表相匹配，数据包被扔掉NY数据包回收桶数据包回

3、收桶ChooseInterfaceRoutingTable Entry?NYTestAccess ListStatementsPermit?YAccessList?Discard PacketNOutbound InterfacesPacketPacketS0E0InboundInterfacePackets 拒绝还是允许拒绝还是允许Packets to Interface(s)in the Access GroupPacket Discard BucketYInterface(s)DestinationDenyYMatchFirstTest?PermitNDenyPermitMatchNex

4、tTest(s)?DenyMatchLastTest?YYNYYPermitImplicit DenyIf no matchdeny allDenyNACL配置指南配置指南 访问控制列表编号表明哪个协议被过滤 每个接口，每个协议，每个方向只设置一个访问控制列表 访问控制列表中的顺序决定控制结果 最具限制的声明应该在列表的顶部 访问控制列表默认最后一项是拒绝所有，每一个访问控制列表最少有一个允许声明 先定义访问控制列表，再将它们应用到接口 访问控制列表过滤通过路由器的流量，但是对路由器发出的数据包并不起作用第一步第一步: 创建访问控制列表，可以包含多个语句创建访问控制列表，可以包含多个语句Rou

5、ter(config)#第二步第二步: 将访问控制列表指定到某个接口将访问控制列表指定到某个接口 protocol access-group access-list-number in | out Router(config-if)#访问控制列表概述访问控制列表概述访问控制列表编号可以是 1-99 or 100-199access-list access-list-number permit | deny test conditions Number Range/IdentifierIP 1-99100-199Name (Cisco IOS 11.2 and later)800-899900-

6、9991000-1099Name (Cisco IOS 11.2. F and later)StandardExtendedSAP filtersNamedStandardExtendedNamedAccess List TypeIPX如何标识访问控制列表如何标识访问控制列表 标准IP访问控制列表 (1 to 99) ，基于源地址进行控制 扩展IP访问控制列表(100 to 199) ,可以基于源地址，目标地址和协议端口号进行控制 其他访问控制列表，适用于其他的网络协议只检查源只检查源IP地址地址Segment(for example, TCP header)DataPacket(IP hea

7、der)Frame Header(for example, HDLC)DenyPermit Useaccess list statements1-99 标准访问控制列表标准访问控制列表目标地址目标地址源地址源地址协议协议端口号端口号Segment(for example, TCP header)DataPacket(IP header)Frame Header(for example, HDLC) Useaccess list statements1-99 or 100-199 to test thepacket DenyPermit An Example from a TCP/IP Pack

8、et扩展访问控制列表扩展访问控制列表配置标准访问控制列表配置标准访问控制列表access-list access-list-number permit|deny source maskRouter(config)#在接口上应用在接口上应用ACL设置出站或入站设置出站或入站默认默认 = 出站出站 “no ip access-group access-list-number”删除接口上的访问控制列表绑定删除接口上的访问控制列表绑定Router(config-if)#ip access-group access-list-number in | out 设置列表的项设置列表的项 IP标准访问控制列表

9、使用标准访问控制列表使用 1 to 99 默认反转掩码默认反转掩码= “no access-list access-list-number” 删除整个访问控制列表删除整个访问控制列表标准访问控制列表标准访问控制列表只允许我的网络通过access-list 1 permit 55(implicit deny all - not visible in the list)(access-list 1 deny 55)interface ethernet 0ip access-group 1 outint

10、erface ethernet 1ip access-group 1 out标准访问控制列表示例标准访问控制列表示例13E0S0E1Non-access-list 1 deny 3 access-list 1 permit 55(implicit deny all)(access-list 1 deny 55)interface ethernet 0ip access-group 1 out标准访

11、问控制列表示例标准访问控制列表示例23E0S0E1Non-拒绝特定主机access-list 1 deny 55access-list 1 permit any(implicit deny all)(access-list 1 deny 55)interface ethernet 0ip access-group 1 out标准访问控制列表示例标准访问控制列表示例33E0S0E1

12、Non-拒绝特定子网 1999, Cisco Systems, Inc. 10-18使用使用Access Class配置配置 vty访问访问控制对路由器的控制对路由器的vty访问访问 5个terminal(0-4) 控制能访问路由器vty端口01 234Virtual ports (vty 0 through 4)Physical port e0 (Telnet)Console port (direct connect)consolee0如何控制如何控制vty访问访问01 234Virtual ports (vty 0 through 4)Physical port (e0

13、) (Telnet) 设置标准的IP ACL 进入line配置模式，使用access-class 命令 对所有的vty端口生效Router#e0Vty控制控制 进入vty 限制从访问控制列表定义的地址访问vty连接 access-class access-list-number in|out line vty#vty# | vty-rangeRouter(config)#Router(config-line)#Virtual Terminal Access示例示例只允许在 网段中的主机能够连接路由器RouterA（config）#access-list 12 permi

14、t 55RouterA（config）#line vty 0 4RouterA（config-line）#access-class 12 in控制进站访问控制进站访问 1999, Cisco Systems, Inc. 10-23配置扩展配置扩展IP访问列表访问列表标准和扩展访问控制列表标准和扩展访问控制列表StandardExtended基于源过滤基于源过滤基于源和目标地址过滤基于源和目标地址过滤允许或拒绝整个允许或拒绝整个TCP/IP协议协议栈栈特定的特定的Ip协议和端口号协议和端口号Range is 100 through 199.Range is

15、1 through 99Router(config-if)# ip access-group access-list-number in | out 扩展访问控制列表配置扩展访问控制列表配置 将将ACL应用到一个接口应用到一个接口 创建访问控制列表Router(config)# access-list access-list-number permit | deny protocol source source-wildcard operator port destination destination-wildcard operator port established logaccess-

16、list 101 deny tcp 55 55 eq 21access-list 101 deny tcp 55 55 eq 20access-list 101 permit ip any any(implicit deny all)(access-list 101 deny ip 55 55)interface ethernet 0ip access-group 10

17、1 out 拒绝 FTP 从子网 访问 的流量从 E0 转发出去 允许所有的流量扩展扩展ACL示例示例13E0S0E1Non-access-list 101 deny tcp 55 any eq 23access-list 101 permit ip any any(implicit deny all)interface ethernet 0ip access-group 101 out 拒绝从子网 telnet流

18、量从 E0转发出去 允许所有其他流量扩展扩展ACL示例示例23E0S0E1Non-Router(config)# ip access-list standard | extended nameRouter(config std- | ext-nacl)# permit | deny ip access list test conditions permit | deny ip access list test conditions no permit | deny ip access list test condi

19、tions Router(config-if)# ip access-group name in | out 使用命名使用命名ACL Cisco IOS 11.2 以后的版本支持以后的版本支持 ACL名称必须唯一名称必须唯一 允许或拒绝语句不再需要访问控制列表编号允许或拒绝语句不再需要访问控制列表编号 可以通过使用可以通过使用“no”删除列表中的某一项删除列表中的某一项 在接口上应用命名在接口上应用命名ACLACL配置指南配置指南访问控制列表中条目的顺序非常重要 建议：使用文本编辑工具编辑ACL，然后粘帖到命令行自上而下的处理将更具限制的放到ACL上部不能够重新排序或删除其中ACL中的的某一条

20、使用no access-list number 命令删除整个访问控制列表列外:命名访问控制列表允许删除ACL中的某一条隐含拒绝所有除非在ACL最后显示允许所有 将扩展ACL放置在距离源近路由器上 将标准ACL放置在离目的近的路由器上E0E0E1S0To0S1S0S1E0E0TokenRingIP ACL放置位置放置位置建议建议:wg_ro_a#show ip int e0Ethernet0 is up, line protocol is up Internet address is 1/24 Broadcast address is 55 Addres

21、s determined by setup command MTU is 1500 bytes Helper address is not set Directed broadcast forwarding is disabled Outgoing access list is not set Inbound access list is 1 Proxy ARP is enabled Security level is default Split horizon is enabled ICMP redirects are always sent ICMP unreachables are always sent ICMP mask repl