访问控制列表复习过程

1、访问控制列表工作任务工作任务2S0/0BS0/0R1R2F0/0F0/0PC1Server///24要求要求:PC1、PC2都可以访问都可以访问Server1,但但PC2不能访问不能访问Server1的的WWW服务。服务。PC2学习目标1. 访问控制列表访问控制列表2. 配置标准访问控制列表配置标准访问控制列表3. 配置扩展访问控制列表配置扩展访问控制列表4. 验证和监视验证和监视ACL5.基于时间的访问控制列表基于时间的访问控制列表6.基于名称的访问控制列表基于名称的访问控制列表访问控制列表访问控制列表p ACL：Access Lis

2、tp 应用到路由器接口的指令序列，告诉路由器应用到路由器接口的指令序列，告诉路由器哪些数据包可以接收，哪些数据包需要拒绝。哪些数据包可以接收，哪些数据包需要拒绝。FDDITokenRingInternetp 当网络访问增长时，管理IP通信p 当数据包通过路由器时，起到过滤作用为什么使用ACL？ACL作用1限制网络流量、提高网络性能。限制网络流量、提高网络性能。 2提供对通信流量的控制手段。提供对通信流量的控制手段。3提供网络访问的基本安全手段。提供网络访问的基本安全手段。4在路由器接口处，决定哪种类型的通信流在路由器接口处，决定哪种类型的通信流量被转发、

3、哪种类型的通信流量被阻塞。量被转发、哪种类型的通信流量被阻塞。 ACL如何工作ACL条件顺序Cisco IOS按照各描述语句按照各描述语句在在ACL中的顺序，根据各中的顺序，根据各描述语句的判断条件，对描述语句的判断条件，对数据包进行检查。数据包进行检查。一旦找一旦找到了某一匹配条件，就结到了某一匹配条件，就结束比较过程，束比较过程，不再检查以不再检查以后的其他条件判断语句。后的其他条件判断语句。 ACL的类型p 标准 ACL检查源地址允许或拒绝整个协议族OutgoingPacketfa0/0S0/0IncomingPacketAccess List ProcessesPermit?Sourc

4、e p 扩展 ACL检查源和目的地址通常允许或拒绝特定的协议OutgoingPacketFa0/0s0/0IncomingPacketAccess List ProcessesPermit?Sourceand DestinationProtocolACL的类型用扩展用扩展ACL检查数据包检查数据包常见端口号端口号协议20文件传输协议（FTP）数据21文件传输协议（FTP）程序23远程登录（Telnet）25简单邮件传输协议（SMTP）69普通文件传送协议（TFTP）80超文本传输协议(HTTP)53域名服务系统（DNS）标准ACL配置access-list access-list-number

5、 permit | deny source wildcard Router(config)#例：例：Router(config)#access-list 1 permit 55Step 1:定义访问控制列表定义访问控制列表ACL表号（access-list-number）协议ACL表号的取值范围IP（Internet协议）1-99Extended IP(扩展Internet协议)100-199AppleTalk600-699IPX（互联网数据包交换）800-899Extended IPX(扩展互联网数据包交换)900-999IPX service Adv

6、ertising Protocol(IPX服务通告协议)1000-1099通配符掩码（wildcard mask ） p 是一个是一个32比特位的数字字符串比特位的数字字符串p 0表示表示“检查相应的位检查相应的位”,1表示表示“不检查（忽略）相应的不检查（忽略）相应的位位”特殊的通配符掩码1. Any 552. Host9 Host 9 protocol access-group access-list-number in | out 例：Router(config-if)#ip access-

7、group 1 out标准ACL配置Step 2:将访问控制列表应用到某一接口上将访问控制列表应用到某一接口上Router(config)#int s0/0Router(config-if)#标准ACL配置p ACL不在接口上应用，不在接口上应用，ACL将不起任何作用将不起任何作用p ACL最后隐含最后隐含deny any命令命令p ACL不能对本路由器产生的数据包进行控制不能对本路由器产生的数据包进行控制 p 标准标准ACL要尽量靠近目的地址的接口处要尽量靠近目的地址的接口处完成工作任务完成工作任务1S0/0BS0/0R1R2F0/0F0/0PC1Server/241.

8、1.1.0//24要求要求:PC1不能访问不能访问Server1，但，但PC2可以访问。可以访问。PC2标准ACL与扩展ACL比较标准（标准（Standard）扩展（扩展（Extended）过滤基于源过滤基于源过滤基于源和目的过滤基于源和目的允许或拒绝整个协议族允许或拒绝整个协议族允许或拒绝特定的允许或拒绝特定的IP协议或协议或端口端口范围（范围（100-199）范围（范围（1-99）扩展ACL配置参数参数描述access-list-number访问控制列表表号（访问控制列表表号（100-109）permit|deny如果满足条件，允许或拒绝后面指定特定地址的通信流量如果满足

9、条件，允许或拒绝后面指定特定地址的通信流量protocol用来指定协议类型，如用来指定协议类型，如IP、TCP、UDP、ICMP等等source and destination分别用来标识源地址和目的地址分别用来标识源地址和目的地址source-mask通配符掩码，跟源地址相对应通配符掩码，跟源地址相对应destination-mask通配符掩码，跟目的地址相对应通配符掩码，跟目的地址相对应operator lt,gt,eq,neq(小于，大于，等于，不等于小于，大于，等于，不等于) port一个端口号一个端口号established如果数据包使用一个已建立连接，便可允许如果数据包使用一个已建

10、立连接，便可允许TCP信息通过信息通过access-list access-list-number permit | deny protocol source source-wildcard operator port destination destination-wildcard operator port established log扩展ACL配置p ACL要在接口上应用要在接口上应用p ACL最后隐含最后隐含deny any命令命令p 扩展扩展ACL要尽量靠近源地址的接口处要尽量靠近源地址的接口处完成工作任务完成工作任务2S0/0BS0/0R1R2F0/0F0/0PC1Server1

11、///24要求要求:PC1、PC2都可以访问都可以访问Server1,但但PC2不能访问不能访问Server1的的WWW服务。服务。PC2验证ACLShow access-listShow ip access-listShow ip interfaceShow run基于时间的访问控制列表基于时间的访问控制列表 n基于时间的访问控制列表用途： 可能公司会遇到这样的情况，要求上班时间不能上QQ，下班可以上或者平时不能访问某网站只有到了周末可以。对于这种情况仅仅通过发布通知规定是不能彻底杜绝员工非法使用的问题的，这时基于时间的访问控制列表应运

12、而生。 基于时间的访问控制列表的格式： 基于时间的访问控制列表由两部分组成，第一部分是定义时间段，第二部分是用扩展访问控制列表定义规则。这里我们主要讲解下定义时间段，具体格式如下： time-range 时间段名称 absolute start 小时：分钟 日 月 年 end 小时：分钟 日 月 年例如：time-range softer absolute start 0:00 1 may 2005 end 12:00 1 june 2005 n路由器连接了二个网段，分别为/24 , /24。在/24网段中有一台服务器提供FTP服务，

13、IP地址为3。n只容许网段的用户在周末访问3上的FTP资源，工作时间不能下载该FTP资源。 n路由器配置命令：路由器配置命令：n time-range softertime-range softer 定义时间段名称为定义时间段名称为softersoftern periodic weekend 00:00 to 23:59 periodic weekend 00:00 to 23:59 定义具体时间定义具体时间范围，为每周周末（范围，为每周周末（6 6，日）的，日）的0 0点到点到2323点点5959分。当然可以分。当然可以使用使用pe

14、riodic weekdaysperiodic weekdays定义工作日或跟星期几定义具体定义工作日或跟星期几定义具体的周几。的周几。n access-list 101 deny tcp any 3 access-list 101 deny tcp any 3 eq ftp time-range softer eq ftp time-range softer 设置设置ACLACL，禁止在，禁止在时间段时间段softersofter范围内访问范围内访问33的的FTPFTP服务。服务。n

15、 access-list 101 permit ip any anyaccess-list 101 permit ip any any 设置设置ACLACL，容，容许其他时间段和其他条件下的正常访问。许其他时间段和其他条件下的正常访问。n int e 1int e 1 进入进入E1E1端口。端口。n ip access-group 101 outip access-group 101 out 宣告宣告ACL101ACL101。1. 基于时间的基于时间的ACLACL比较适合于时间段的管理，通过上面的比较适合于时间段的管理，通过上面的设置设置的用户就只能在周

16、末访问服务器提供的的用户就只能在周末访问服务器提供的FTPFTP资源了，平时无法访问。资源了，平时无法访问。基于名称的访问控制列表基于名称的访问控制列表 n不管是标准访问控制列表还是扩展访问控制列表都有一个弊端，那就是当设置好ACL的规则后发现其中的某条有问题，希望进行修改或删除的话只能将全部ACL信息都删除。也就是说修改一条或删除一条都会影响到整个ACL列表。n用基于名称的访问控制列表来解决上述问题。 n基于名称的访问控制列表的格式：基于名称的访问控制列表的格式：n ip access-list standard|extended ACL名称 例如：ip access-list standa

17、rd softer就建立了一个名为softer的标准访问控制列表。n基于名称的访问控制列表的使用方法：基于名称的访问控制列表的使用方法： 当我们建立了一个基于名称的访问列表后就可以进入到这个ACL中进行配置了。n 例如：我们添加三条ACL规则 permit permit permit n如果我们发现第二条命令应该是而不是，如果使用不是基于名称的访问控制列表的话，使用no permit 后整个ACL信息都会被删除掉。正是因为使用了基于名称的访问控制列表，我们使用no permit 后第一条和第三条指令依然存在。 作业作业(1)配置配置ospf路由协议，保证网络通信正常；路由协议，保证网络通信正常；(2)在在R1上配置上配置ACL,允许主机允许主机A