第27讲扩展访问控制列表

1、第27讲扩展访问控制列表主讲：史宝会2教学目标Q扩展访问控制列表的作用Q扩展访问控制列表与标准访问列表的区别Q扩展访问控制列表的应用及配置Q应用扩展ACL控制和管理通信流量3标准访问列表的特点SourceAddressSegment(for example, TCP header)DataPacket(IP header)Frame Header(for example, HDLC)DenyPermit Useaccess list statements1-99 只能通过源进行通信量的控制4扩展访问控制列表的特点DestinationAddressSourceAddressProtocolPo

2、rtNumberSegment(for example, TCP header)DataPacket(IP header)Frame Header(for example, HDLC) Useaccess list statements1-99 or 100-199 to test thepacket DenyPermitQ扩展访问列表可以多种方式进行通信量的控制5在路由器上过滤vty五个虚拟通道 (0 到 4)路由器的vty端口可以过滤数据在路由器上执行vty访问的控制01 234Virtual ports (vty 0 through 4)Physical port e0 (Telnet)

3、Console port (direct connect)consolee06如何控制vty访问01 234Virtual ports (vty 0 through 4)Physical port (e0) (Telnet)使用标准访问列表语句用 access-class 命令应用访问列表在所有vty通道上设置相同的限制条件Router#e07虚拟通道的配置指明vty通道的范围在访问列表里指明方向Qaccess-class access-list-number in|outQline vty#vty# | vty-rangeRouter(config)#Router(config-line)#

4、8虚拟通道访问举例只允许网络 内的主机连接路由器的 vty 通道Qaccess-list 12 permit 55Q!Qline vty 0 4Q access-class 12 inControlling Inbound Access标准访问列表和扩展访问列表比较标准标准扩展扩展基于源地址基于源地址基于源地址和目标地址基于源地址和目标地址允许和拒绝完整的允许和拒绝完整的TCP/IP协议协议指定指定TCP/IP的特定协议的特定协议和端口号和端口号编号范围编号范围 100 到到 199.编号范围编号范围 1 到到 9910扩展访问列表的

5、工作流程扩展 IP 访问列表的配置Router(config)#设置访问列表的参数 access-list-number:取值为取值为100199 Protocol：表示某个具体协议（：表示某个具体协议（ip, tcp, udp, icmp, igrp, eigrp, ospf 等）等） Source/ destination ：源或目的：源或目的IP地址地址 operator：操作符（：操作符（ lt, gt, eq, neq） port：端口号或应用名（如：端口号或应用名（如23或或telnet） Established：只允许已创建的：只允许已创建的TCP会话进入会话进入access-l

6、ist access-list-number permit | deny protocol source source-wildcard operator port destination destination-wildcard operator port established logRouter(config-if)# ip access-group access-list-number in | out 扩展 IP 访问列表的配置 在端口上应用访问列表在端口上应用访问列表 绑定访问列表的命令绑定访问列表的命令 访问列表编号访问列表编号 1199之间之间 绑定端口的入绑定端口的入口或出口

7、口或出口13扩展ACL实例分析Q实例1：在E0端口，禁止转出来自子网的FTP数据流到子网，其它的数据流将被转发。Q实例2：在E0端口，禁止转出来自子网的 Telnet 数据流，其它的数据流将被转发。3E0S0E114实例1：分析第一个ACL命令用“deny”禁止来自子网的FTP-DATA（port=20）数据流到子网。第二个ACL命令用“deny”禁止来自子网的FTP（port=21）数据流到1

8、子网。第三个ACL命令表示允许任何的数据流。最后将此ACL 101关联到端口E0。access-list 101 deny tcp 55 55 eq 21access-list 101 deny tcp 55 55 eq 20access-list 101 permit ip any any(implicit deny all)(access-list 101 deny ip 55 0.0.0

9、.0 55)interface Fastethernet 0ip access-group 101 out15实例2：分析第一个ACL命令用“deny”禁止来自子网的Telnet(port=23)数据流。第二个ACL命令表示允许任何的数据流。最后将此ACL 101关联到端口E0。access-list 101 deny tcp 55 any eq 23access-list 101 permit ip any any(implicit deny all)interface Fastethernet 0ip acc

10、ess-group 101 out16验证ACLQ使用show interface可以显示在某个接口上绑定了那些ACLQ使用show running-config显示ACL详细信息和绑定位置Q使用show access-list显示所有的ACL列表内容17命名的访问列表Q可以使用字符串代替数字，来标识ACL，称为命名ACL。使用具名ACL，可以在不删除整个ACL的情况下修改它。Q具名ACL用于以下一些情况：想用字符串直观标识一个ACL。在路由器上，对于给定的协议，需要配置超出了99个标准ACL或者100个扩展ACL。Q在使用具名ACL的时候，需要考虑到以下的因素：有名ACL与Cisco IOS

11、 11.2之前的版本不兼容。不能为多个ACL使用相同的名字。不同类型的ACL不能使用相同的名字。例如，不能使用同一个名字来命名一个标准ACL和一个扩展ACL。18Q可以使用下面的命令为一个ACL命名：Q在ACL配置模式中，可以指定一个或者多个允许或者禁止条件。命令如下：Q将Named ACL关联到某个端口。Router(config)# ip access-list standard | extended nameRouter(config std- | ext-nacl)# permit | deny ip access list test conditions no permit | de

12、ny ip access list test conditions Router(config-if)# ip access-group name in | out 19命名标准访问表的创建方法Q为一个名为Internetfilter的标准ACL设定条件。（所有其他的条件隐含禁止。）创建标准命名访问列表ip access-list standard Internetfilterdeny 55permit 55permit 55将命名标准访问表应用到端口上Ip access-gro

13、up name in|out20实例分析Q创建一个扩展的命名访问控制表，拒绝子网络的telnet的数据通过F0端口转发到网络。Ip access-list extended ACL1Deny tcp 55 55 eq 23Permit ip any anyInterface Fastethernet 0/0Ip access-group ACL1 out21ACL放置的规则Q尽量将扩展ACL放置在靠近被拒绝的数据源。Q标准ACL不能指定目标地址，所以需要把标准ACL放置在尽量靠近目标

14、的地方22ACL的放置23Net12Net240E0S0E1E2Net3600访问控制列表举例1.Net1可以使用所有的协议访问所有的子网和可以使用所有的协议访问所有的子网和Internet，不接受任何非，不接受任何非本子网本子网TELNET的访问。不接收所有非的访问。不接收所有非设备的设备的HTTP和和FTP访问。访问。2.Net2和和Net3在在网内可以使用所有的协议，但不能使用网内可以使用所有的协议，但不能使用Internet。3.Net2中的服务器中的服务器0只接收来自只接收来自Net3和和Net2设备的访问。设备的访问。4.某日，某日，Net3中的主机中的主机00因为大量发送广播包，被网管人因为大量发送广播包，被网管人员取消了访问权限。员取消了访问权限。24配置命令25访问控制列表命令小结QAccess-list access-list-number (199)permit|deny source wildcard maskQAccess-list access-list-number(1001