使用访问控制列表

1、第 7 章 使用访问控制列表实现IP信息管理,本章目标,了解访问控制列表的基本知识 计算通配符掩码 配置IP标准访问控制列表 配置IP扩展访问控制列表 控制VTY访问控制 用NAT和PAT扩展网络,7.1 访问控制列表,7.1.1 什么是访问列表,Outgoing Packet,E0,S0,Incoming Packet,Access List Processes,Permit?,Protocol,标准的 检验源地址 一般允许或者禁止整个协议栈 扩展的 检查源和目的地址 通常允许或者禁止某个具体的协议 访问控制列表要绑定到路由器的接口的输入或输出方向上,7.1.2 为什么使用访问列表,172.

2、16.0.0,,Internet,管理IP网络资源 过滤通过路由器的数据包,7.1.3 访问控制列表的类型,标准型访问控制列表 扩展型访问控制列表,7.2 如何操作访问控制列表,7.2.1 访问列表作用方向,入站访问列表 出站访问列表,7.2.2 访问控制列表的作用,允许或者阻止某些通过路由器的包 允许或禁止远程登录到路由器 没有访问控制列表所有的包将通过路由器,Virtual terminal line access (IP),Transmission of packets on an interface,7.2.2 访问控制列表的作用（续）,路由过滤,RoutingTa

3、ble,QueueList,优先极和定制队列的应用,按需拨号路由,访问控制列表的应用很广,7.2.3 出站访问列表,Notify Sender,如果没有匹配的访问控制列表，将丢弃这个包,N,Y,包丢弃桶,Choose Interface,Routing Table Entry?,N,Y,Test Access List Statements,Permit?,Y,Access List?,Discard Packet,N,Outbound Interfaces,Packet,Packet,S0,E0,InboundInterface Packets,7.2.4 测试清单：拒绝或允许,进入端口的包

4、,包丢弃桶,Y,接口,目的地,Deny,Y,Match First Test ?,Permit,N,Deny,Permit,Match Next Test(s) ?,Deny,Match Last Test?,Y,Y,N,Y,Y,Permit,Implicit Deny,如果不匹配所有的规则，则 丢弃,Deny,N,7.3 访问列表配置指南,访问控制列表的编号标明哪个协议是被过滤的 每个接口，每个协议，每个方向上可以有一个访问控制列表 访问控制列表的顺序决定被检验的顺序 最特殊的规则应该被放到访问控制列表的前面 在访问控制列表的最后有隐含的规则“禁止所有的” 访问控制列表应绑定到端口上 访问控

5、制列表过滤通过路由器的包；但是不能过滤由路由器自身产生的包,7.3.1 如何标识访问列表,号码范围/标志,IP,1-99 100-199 Name (Cisco IOS 11.2 and later),800-899 900-999 1000-1099 Name (Cisco IOS 11.2. F and later),标准的 扩展的 SAP 过滤的 名字的,标准的 扩展的 名字的,访问控制列表类型,IPX,标准的访问控制列表 (1 to 99)检验所有从源地址产生的IP包 扩展访问控制列表(100 to 199)检验源和目的地址，具体的TCP/IP协议和目的端口 其他的访问控制列表检验其他

6、的网络协议,7.3.2 配置IP访问控制列表, 访问列表命令概述,第一步：设置访问控制列表测试语句（一个列表可以 由一条或多条语句组成）,Router(config)#,第二步：在接口上启用特定的访问控制列表, protocol access-group access-list-number in | out,Router(config-if)#,access-list access-list-number permit | deny test conditions, 配置标准IP访问列表,access-list access-list-number permit|

7、deny source mask,Router(config)#,把列表应用到端口上 设置进入方向还是出去方向的检验 默认的是出去方向的检验 “no ip access-group access-list-number” 将从端口上删除这个访问控制列表,Router(config-if)#,ip access-group access-list-number in | out ,标准的访问控制列表用 1 to 99 默认的通配符 = “no access-list access-list-number” 删除整个访问控制列表, 标准IP访问列表示例 1,只允许访问

8、一个网段,access-list 1 permit 55 (implicit deny all - not visible in the list) (access-list 1 deny 55) interface ethernet 0 ip access-group 1 out interface ethernet 1 ip access-group 1 out,,,3,E0,S0,E1,Non- , 标准IP访问列

9、表示例 2,access-list 1 deny 3 access-list 1 permit 55 (implicit deny all) (access-list 1 deny 55) interface ethernet 0 ip access-group 1 out,,,3,E0,S0,E1,Non- ,只拒绝一个具体的主机, 标准IP访问列表示例 3,access-list

10、 1 deny 55 access-list 1 permit any (implicit deny all)(access-list 1 deny 55) interface ethernet 0 ip access-group 1 out,,,3,E0,S0,E1,Non- ,只拒绝一个具体的子网, 扩展IP访问列表配置,Router(config-if)# ip access-group access-list-num

11、ber in | out ,将访问控制列表应用到端口上,设置访问控制列表,Router(config)# access-list access-list-number permit | deny protocol source source-wildcard operator port destination destination-wildcard operator port established log, 扩展访问列表示例 1,access-list 101 deny tcp 55 55 eq 21 a

12、ccess-list 101 deny tcp 55 55 eq 20 access-list 101 permit ip any any (implicit deny all) (access-list 101 deny ip 55 55) interface ethernet 0 ip access-group 101 out,禁止从子网 到子网 从 E0出去的FTP服务 允许所有其他的包,17

13、,,3,E0,S0,E1,Non- , 扩展访问列表示例 2,access-list 101 deny tcp 55 any eq 23 access-list 101 permit ip any any (implicit deny all) interface ethernet 0 ip access-group 101 out,禁止网络 从 E0出去的telnet 允许其他所有的IP包,,,172.16.

14、4.13,E0,S0,E1,Non- , 标准和扩展访问列表对比,标准的,扩展的,只过滤源,过滤源或者目的地址,允许或者禁止 整个 TCP/IP 协议,允许或者禁止一个具体的 协议和端口号.,范围是从 100 到 199.,范围是从 1到99, 实际应用步骤,第1步: 创建一个访问控制列表 第2步: 指定接口 第3步: 定义方向,7.4 如何控制vty访问,0,1,2,3,4,虚拟端口 (vty 0到4),物理端口 (Telnet),设置 IP地址过滤，需用标准的访问控制列表 用线模式并且使用access-class 命令 在所有vty上设置统一

15、的过滤,Router#,e0,7.4.1 过滤到路由器的虚拟终端(vty)访问,五个虚拟通道 (0 到 4) 过滤哪些地址能登录到路由器上 过滤路由器能登录到哪些设备上,0,1,2,3,4,虚拟端口 (vty 0到 4),物理端口 e0 (远程登录),完全控制端口（直连的）),完全控制,e0,7.4.1 虚拟终端的line命令,进入远程访问的线模式,应用访问控制列表限制进入或者出去方向,access-class access-list-number in|out,line vty#vty# | vty-range,Router(config)#,Router(config-line)#,7.4

16、.2 虚拟终端访问示例,只允许网段的主机远程登录到路由器上,access-list 12 permit 55 ! line vty 0 4 access-class 12 in,7.5 使用名称IP访问列表,适用于 Cisco IOS 11.2版本或者以后的,允许或者禁止的声明没有预先约定说明的数字 “no”是从访问控制列表删除具体的某一项检验,将名字的访问控制列表应用到端口上,7.6 验证访问控制列表,wg_ro_a#show ip int e0 Ethernet0 is up, line protocol is up Intern

17、et address is 1/24 Broadcast address is 55 Address determined by setup command MTU is 1500 bytes Helper address is not set Directed broadcast forwarding is disabled Outgoing access list is not set Inbound access list is 1 Proxy ARP is enabled Security level is default Split hori

18、zon is enabled ICMP redirects are always sent ICMP unreachables are always sent ICMP mask replies are never sent ,7.6 验证访问控制列表（续）,wg_ro_a#show access-lists Standard IP access list 1 permit permit permit permit Extended IP access list 101 permit tcp host

19、 any eq telnet permit tcp host any eq ftp permit tcp host any eq ftp-data,wg_ro_a#show access-lists access-list number,wg_ro_a#show protocol access-list access-list number,7.7 用NAT来缩放网络,7.7.1 NAT技术的定义,NAT英文全称是Network Address Translation，称是网络地址转换，它是一个IETF标准，允许一个机构以一个地址出现在Internet上。NAT将每个局域网节点的地址转换成一个IP地址，反之亦然。,7.7.2 NAT技术的基本原理和类型,在内部网络中使用内部地址，通过NAT把内部地址翻译成合法的IP地址在Internet