版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
1、ACL原理与配置方法/PPP验证,目 录,什么是访问控制列表(ACL) ACL的执行规则 标准IP ACL的配置方法 扩展IP ACL的配置方法 ACL配置的核查与排错 PPP验证及配置方法,什么是访问控制列表,什么是访问控制列表ACL?,ACL(Access Control List)是一组预先定义好的规则,它被置于路由器的接口,根据进出接口的数据包头中的信息,以控制数据包能否穿越路由器的接口。,ACL可执行下列任务: 限制网络流量以增强网络的性能。 提供基本的安全访问控制,禁止某些特征的数据包访问而允许其它数据包通过。 可用于控制路由更新的内容。 区分特定的数据流类型(用于QoS、NAT等
2、配置中)。,Number Range/Identifier,IP,1-99 , 1300-1999 100-199 , 2000-2699 Name (Cisco IOS 11.2 and later),800-899 900-999 1000-1099 Name (Cisco IOS 11.2. F and later),Standard Extended SAP filters Named,Standard Extended Named,Access List Type,IPX,ACL的分类,标准IP ACL(编号范围1至99以及1300至1999)限制条件为IP数据包头中的源IP地址。
3、扩展IP ACL(编号范围100至199以及2000至2699)限制条件为IP数据包头 中的源、目的IP地址、协议类型和源、目的端口号。 其余编号范围的ACL是针对其它网络协议的。,源IP地址,Segment (for example, TCP header),Data,Packet (IP header),Frame Header (for example, HDLC),Deny,Permit,标准 ACL的 编号范围 1- 99 或 1300- 1999,标准ACL的检查内容,TCP/IP数据包的结构图,目的地址,源IP地址,协议类型,端口号,Segment (for example, T
4、CP header),Data,Packet (IP header),Frame Header (for example, HDLC),Deny,Permit,TCP/IP数据包的结构图,扩展 ACL的 编号范围 100- 199 或 2000- 2699,扩展ACL的检查内容,ACL的执行规则,E0,S0,E1,IN,OUT,OUT,OUT,IN,IN,Check two directions per interface,ACL的作用方向,设置规则: 对于每个协议,在每个路由器的接口的每个方向上只能设置一条ACL 。,如存在则送往缺省路由,Routed protocol packet,可路由
5、协议的数据包,入口(Inbound)是否设置了ACL?,搜索路由表,允许(permit),拒绝(deny),未找到,丢弃并返回 ICMP Message - 目的不可达,送出路由器 (Forward Packet),Yes,No,Router,按顺序检查ACL条目,找到,出口(Outbound)是否设置了ACL?,拒绝(deny),丢弃并返回 ICMP Message 目的不可达,Yes,No,按顺序检查ACL条目,允许 (permit),拒绝 (deny),丢弃并返回 ICMP Message - 目的不可达,ACL与路由的相互关系,Deny,ACL的检查顺序,Packet Discard
6、Bucket,Match,Match First Test,可路由协议的数据包,Match Next Test,Match Last Test,Permit or Deny,Forward Packet out interface,Match,Match,No,No,No,自顶向下逐条检查,匹配以后下面的条目不再检查: 将条件严格的放在前面 最后一句总是隐含的deny any语句,除了显式允许的以外都拒绝: 要求至少存在一条显式的 permit 语句,标准IP ACL的配置方法,配置ACL的两个步骤: 1. 定制ACL的规则 2. 将规则应用到接口,ACL的配置步骤,access-list 1
7、 deny ,access-list 1 permit 55,access-list 1 deny ,access-list 1 permit 55,access-list 1 deny amy,1. 定义标准ACL(编号范围 1- 99 和 1300 - 1999),2. 将ACL应用到特定接口,Log (可选参数) 将匹配该条目的数据包数量信息发送到控制台,间隔5分钟发送一次。,标准IP ACL的配置命令,exactly host 131.
8、104.7.11,通配符掩码位是0表示必须匹配前面地址对应的比特 通配符掩码位是1表示不必匹配前面地址对应的比特,ACL通配符掩码的规则, 55 any address 55 network 1 host 1 55 local broadcast 55 subnet /21,/24,ACL的工作过程,200.1
9、0.5.1,Source Address,Destination Address,,access-list 3 permit 55 interface Ethernet 0 ip access-group 3 in,/24,00001100 00000000 00000000 00000000 template 00000000 11111111 11111111 11111111 Wildcard 00001100 any any any must match 00001100 00001100 00001100
10、 00000001 need check match ignore,,E0,12 0 0 0,0 255 255 255,12 12 12 1,00001100 00000000 00000000 00000000 template 00000000 11111111 11111111 11111111 Wildcard 00001100 any any any must match 00010000 00001100 00001100 00000001 need check no match ignore,,/24,200.10.5
11、.1,Source Address,Destination Address,,access-list 3 permit 55 interface Ethernet 0 ip access-group 3 in,/24,E0,12 0 0 0,0 255 255 255,16 12 12 1,ACL的工作过程,标准IP ACL配置示例,E0,/16,,Internet,/16,A,B,C,D,RB,RA,RA(config)# access-list 1 deny
12、 RA(config)# access-list 1 permit 55 ! (Note: all other access implicitly denied) RA(config)# interface ethernet 0 RA(config-if)# ip access-group 1 in,,/24,,RA(config)# access-list 1 permit 55 RA(config)# access-list
13、1 deny RA(config)# interface ethernet 0 RA(config-if)# ip access-group 1 in,匹配所有的比特位 (match all).,9,,(检查所有比特),例如:,Wildcard Mask:,特殊的通配符掩码表示方法,标准语法: access-list 1 permit 9 ,如果不写通配符掩码隐含为 ,例如: access-list 1 permit 9,可使用关键字 host 表示
14、为: access-list 1 permit host 9,,55,Wildcard Mask:,特殊的通配符掩码表示方法,忽略所有的比特位 (Ignore all).,例如:,(忽略所有比特),标准语法: access-list 1 permit 55,可使用关键字 any 表示为: access-list 1 permit any,IP子网的变化范围 /24 至 /24 要求用一条语句表示,,0 0 0 1 0 0 0
15、0 16 0 0 0 1 0 0 0 1 17 0 0 0 1 0 0 1 0 18 . . . . . . 0 0 0 1 1 1 1 1 31,通配符掩码 0 0 0 0 1 1 1 1 15,较复杂的通配符掩码计算方法(例一),对应的十进制数,最终配置结果: access-list 1 permit 55,根据前面的分析结果,通配符以十进制形式表示为:55,如果IP子网的变化范围改为 /24 至 /24 该如何配置?,access-list 1 deny 0.0.0
16、.255 access-list 1 permit 55,较复杂的通配符掩码计算方法(例一),允许通过的地址范围 0 15,00001010 10 00001011 11 00001100 12 00001101 13 00001110 14 00001111 15,较复杂的通配符掩码计算方法(例二),分析最后一个字节的变化范围:,较复杂的通配符掩码计算方法(例二),分析最后一个字节的变化范围:,00001010 10 00001011 11 00001100 12 00001101 13 00001110 14 00001111 1
17、5,00001010 10 00001011 11,通配符掩码 00000001 1,写成命令格式: access-list 3 permit 0 ,计算通配符掩码(第一部分):,较复杂的通配符掩码计算方法(例二),00001100 12 00001101 13 00001110 14 00001111 15,最终配置结果: access-list 3 permit 0 access-list 3 permit 2 ,通配符掩码 00000011 3,较复杂的通配符掩码计算方法(例二),计算
18、通配符掩码(第二部分):,标准IP ACL配置案例,A,在R1的Fa0/0接口的入方向设置下列标准IP ACL : access-list 7 deny access-list 7 permit 55 access-list 7 deny 55 access-list 7 permit 55 interface Fa0/0 ip access-group 7 in,控制对vty的访问,5条虚拟终端线 (0-4) 对所有的虚拟终端线设置相同的限制规
19、则,控制虚拟终端的命令,进入线配置模式,指定终端线的范围。,通过访问控制列表限制对终端线的访问。,控制虚拟终端的配置实例,只允许子网/24中的主机远程访问这台路由器:,Virtual ports (vty 0 4),Router #,Router #,access-list 12 permit 55 ! line vty 0 4 access-class 12 in,扩展IP ACL的配置方法,标准IP ACL的局限性,标准IP ACL只能根据包头中源IP地址控制流量,Forward Packet,扩展IP ACL的优势,扩展IP A
20、CL可以根据数据源和目的以及上层应用程序控制流量, source source-wildcard | any ,Router (config) #,access-list access-list-number permit | deny , destination destination-wildcard | any , protocol-specific options , protocol | protocol-keyword ,扩展IP ACL的配置命令,1. 定义扩展IP ACL(编号范围 100- 199 和 2000 - 2699),2. 将ACL应用到特定接口,Protocol
21、字段关键字:ip, icmp, tcp, 和 udp 等。 Protocol-specific选项字段根据协议不同而变化。,Router (config) #,Protocol字段为TCP的语法,Operator (可选) 其内容为: lt, gt, eq, neq 或 range .,access-list access-list-number permit | deny tcp source source-wildcard | any operator source-port | source-port destination destination-wildcard | any oper
22、ator destination-port | destination-port established ,TCP端口号对应的协议名称,可通过键入 ? 查看端口号与名字的对应关系。 上面显示的为部分内容,其它端口号参见RFC 1700文档。,access-list 101 deny tcp 55 55 eq 21 access-list 101 deny tcp 55 55 eq 20 access-list 101 permit ip any any
23、 (implicit deny all) (access-list 101 deny ip 55 55) interface ethernet 0 ip access-group 101 out,禁止来自子网/24的流量访问目的子网/24中FTP服务,其它流量允许通过。,协议字段为TCP的扩展IP ACL示例,,,3,E0,S0,E1,Non- ,Router (config) #,acces
24、s-list access-list-number permit | deny udp source source-wildcard | any operator source-port | source-port destination destination-wildcard | any operator destination-port | destination-port ,Protocol字段为UDP的语法,Operator (可选) 其内容为: lt, gt, eq, neq 或 range .,可通过键入 ? 查看端口号与名字的对应关系。 上面显示的为部分内容,其它端口号参见RF
25、C 1700文档。,UDP端口号对应的协议名称,access-list 101 deny udp 55 any eq 69 access-list 101 permit ip any any (implicit deny all) interface ethernet 0 ip access-group 101 out,,E0,S0,E1,Non- ,协议字段为UDP的扩展IP ACL示例,禁止来自子网/24的流量访问/24子网中的TFTP服务,其它流量允许通过。,172.16.
26、4.0,3,access-list access-list-number permit | deny icmp source source-wildcard | any destination destination-wildcard | any icmp-type icmp-code | icmp-message ,Protocol字段为ICMP的语法,icmp-type 参见下一页内容,ICMP 消息类型名称,可通过键入 ? 可查看所有其它消息类型的内容。 完整的ICMP信息参见RFC 792文档。,S0/0,/30,Internet,A,RB,R
27、A,RB(config)# access-list 100 deny icmp any host RB(config)# access-list 100 deny icmp any host RB(config)# access-list 100 permit ip any any RB(config)# interface S0/0 RB(config-if)# ip access-group 100 in,/24,协议字段为ICMP的扩展IP ACL示例,S0/1,要求在RB上能PING通RA的S0/1接口地址,但不允许来自RA
28、及互联网上的流量PING RB的任何接口地址,其它流量允许通过,应该如何配置?,/30,命名式ACL,Cisco IOS 版本号11.2 及其后续版本支持命名式ACL 。,命名式ACL的名字必须唯一且区分大小写。,命名式ACL的名字可以是纯字母或字母与数字的组合,也可以是纯数字形式(即编号式ACL属于命名式ACL的子集) 编号式ACL不能单独删除一行语句,而命名式ACL能够单独删除一行。,Router(config)#,ip access-list standard | extended name,Step 1: 指定命名式ACL的名字和类型,Step 2: 设置规则,S
29、tep 3: 将命名式ACL应用到接口,命名式ACL的配置语法,Router(config)#,ip access-list standard Abc,deny permit 55 ,Router(config - std - nacl)#,命名式标准ACL的配置命令,Step 1: 指定命名式ACL的名字和类型,Step 2: 设置规则,Step 3: 将命名式ACL应用到接口,Router(config)#,ip access-list extended Xyz,deny tcp
30、55 host eq 23 permit ip any any ,Router(config - ext - nacl)#,命名式扩展ACL的配置命令,Step 1: 指定命名式ACL的名字和类型,Step 2: 设置规则,Step 3: 将命名式ACL应用到接口,ACL案例学习,只允许主机 Z Telnet路由器A ,其它类型流量不做限制,要求使用扩展IP ACL ,如何设置?,RA(config)# access-list 100 permit tcp host host eq 23 RA(config)# access-list
31、100 permit tcp host host eq 23 RA(config)# access-list 100 deny tcp any host eq 23 RA(config)# access-list 100 deny tcp any host eq 23 RA(config)# access-list 100 permit ip any any RA(config)# interface Ethernet1 RA(config-if)# ip access-group 100 in,ACL配置的核查与排错,Ro
32、uter# show ip interface e0 Ethernet0 is up, line protocol is up Internet address is 1/24 Broadcast address is 55 Address determined by setup command MTU is 1500 bytes Helper address is not set Directed broadcast forwarding is disabled Outgoing access list is not set Inbound acce
33、ss list is 1 Proxy ARP is enabled Security level is default Split horizon is enabled ICMP redirects are always sent ICMP unreachables are always sent ICMP mask replies are never sent IP fast switching is enabled IP fast switching on the same interface is disabled IP Feature Fast switching turbo vect
34、or IP multicast fast switching is enabled IP multicast distributed fast switching is disabled ,检查接口上是否设置了ACL,显示访问控制列表的命令,显示所以协议的访问控制列表。,显示IP协议的访问控制列表。,show ip access-list 命令的输出示例,ACL的配置规则,自顶向下逐条检查,匹配以后下面的其它条目不再检查: 将条件严格的放在前面。 最后一句是隐含的deny any语句,因此要求至少存在一条显式的permit语句。 新增加的语句总是置于最后一行 对于每个协议,在每个路由器的接口的
35、每个方向上只能设置一条ACL 。后写入的覆盖先前的ACL 。 未定义的ACL (空ACL)相当于permit any 。 访问控制列表不能限制起源于本路由器的流量。,PPP验证及配置方法,Cisco HDLC,PPP,PPP的帧格式,协议(Protocol)字段指示上层协议类型,支持多协议。,使用proprietary字段指示上层协议类型,支持多协议。,PPP 的分层结构,Physical Layer,(such as EIA/TIA-232, V.24, V.35, ISDN),Link Control Protocol (LCP),Network Control Protocol (NCP
36、),(协商网络层协议类型),Upper-layer protocols,OSI layer,2,1,(such as IP, IPX, AppleTalk),3,PPP工作的四个阶段,1. 建立连接 - (LCP) 2. 确定连接质量 / 验证 可选的 (LCP) 3. 协商网络层协议 (NCP) 4. 终止连接 (LCP),LCP 的功能选项,PPP 验证协议,PPP支持两种类型的验证协议:Password Authentication Protocol (PAP) 和 Challenge Handshake Authentication Protocol (CHAP). 通常情况下,建议采
37、用CHAP验证方法。,Password Authentication Protocol (PAP),验证路由器(Authenticating Router),被验证路由器 (Router to Be Authenticated),缺点:传递明文口令,Use CHAP,Response,Accept/Reject,Challenge string,Request for Challenge,Local User Database,Dialup or Circuit-Switched Network,RS,HQ,Name: RS Password: urbiz,username RSpasswor
38、d urbiz,Run PPP,Local User Database,Challenge Handshake Authentication Protocol (CHAP),766_1,5200_1,User dials in,CHAP in ActionCall,CHAP in ActionChallenge,01,random,5200_1,id,User dials in,766_1,5200_1,CHAP in ActionResponse,MD5,hash,01,random,5200_1,id,User dials in,userpass 5200_1pc1,766_1,5200_
39、1,CHAP in ActionResponse,MD5,hash,01,02,random,5200_1,id,id,hash,766_1,User dials in,userpass 5200_1pc1,766_1,5200_1,CHAP in ActionVerification,MD5,hash,MD5,hash,01,02,random,5200_1,id,id,hash,766_1,User dials in,userpass 766_1pc1,userpass 5200_1pc1,=?,766_1,5200_1,CHAP in ActionResult,MD5,hash,MD5,
40、hash,01,02,03,random,5200_1,id,id,hash,766_1,id,“Welcome in”,User dials in,userpass 766_1pc1,userpass 5200_1pc1,766_1,5200_1,配置CHAP验证,hostname left username right password 123 int serial 0 encapsulation ppp ppp authentication CHAP,hostname right username left password 123 int serial 0 encapsulation ppp ppp authentication CHAP,双向CHAP验证,Leftrouter,Right router,WAN,配置CHAP验证,hostname left username right password 123 int serial 0 encapsulation ppp ppp authentication CHAP,hostname right use
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 2025中建一局集团第二建筑有限公司职业经理人(副总经理)1人笔试历年参考题库附带答案详解
- 2025中国能建国际集团春季社招36人笔试历年参考题库附带答案详解
- 2026版《金版教程》高考一轮复习政治必修3 第三单元 第九课 全面推进依法治国的基本要求
- 演艺企业法律法规及经营规范岗前培训试题及答案
- 2026年信访档案登记管理试题及答案
- 2026中国科学院南海海洋研究所海洋环流动力学学科组科研助理招聘1人笔试参考试题及答案详解
- 2026年鞍山市立山区事业编单位人员招聘笔试备考题库及答案详解
- 细胞外囊泡在组织再生中的递送系统优化
- 2026年乌海市海勃湾区中小学编制教师招聘笔试模拟试题及答案详解
- 2026年湖州市市级医院公开引进博士研究生12人笔试参考题库及答案详解
- 画法几何及土木工程制图课件
- 江苏省苏州相城区苏州大学实验学校2023-2024学年小升初七年级上学期分班考英语试卷(含答案)
- 机械设备的润滑课件
- SL703-2015灌溉与排水工程施工质量评定表
- 二升三暑期奥数培优(学生教材)
- 门式启闭机主梁下主梁1工艺设计卡
- 人教版四年级下册数学期末测试卷(模拟题)
- 航理ppt课件 7-1概述及航空活塞动力装置-1
- 人教版数学必修一课后习题答案
- YS/T 1018-2015铼粒
- GB/T 18342-2009链条炉排锅炉用煤技术条件
评论
0/150
提交评论