05访问控制列表.ppt

1、访问控制列表,第五章,完成本章的学习后,您可以完成下面的任务： 配置基本及扩展的访问控制列表 监视访问控制列表的操作,目标,访问控制列表概述,为什么使用访问控制列表,,,Internet,以信息包作为检测流量的单位,为什么使用访问控制列表（续）,采用访问控制列表为DDR路由 定义“感性趣的包”,Packet Arrives,S0,Make DDR call for this traffic?,Public Switched Telephone Network,标准访问控制列表 只根据地址进行转发 往往拒绝或允许整个协议族的包 扩展访问控制列表 可根据复杂

2、的地址类型进行包的过滤 可根据具体的协议进行过滤,什么是访问控制?,Optional Dialer,访问控制列表是怎样工作的,Unwanted Packet,Inbound Interface,Outbound Interfaces,Packets,Packet Discard Bucket,Packet,Packet,Y,N,Choose Interface,N,Y,Y,N,Notify Sender,Routing Table Entry ?,Packets to Interface(s) in the Access Group,Packet Discard Bucket,Y,Interf

3、ace(s),Destination,Y,N,Y,Y,Y,N,Y,N,Implicit Deny,包被拒绝或允许的过程,第一步: 设定访问控制列表的参数,第二步: 指定访问控制列表的作用范围,访问控制列表命令一览,访问控制列表用编号进行区分,Number Range/Identifier,IP,1-99 100-199 Named (Cisco IOS 11.2 and later),怎样识别访问控制列表,列表号代表了所应用的协议及类型 其它的协议使用剩余的列表号,800-899 900-999 1000-1099 Named (Cisco IOS 11.2. F and later),Sta

4、ndard Extended SAP filters,Standard Extended,Access List Type,600-699,IPX,AppleTalk,TCP/IP 访问控制列表,用访问控制列表对信息包进行检测,Segment (for example, TCP header),Data,Packet (IP header),Frame Header (for example, HDLC),Destination Address,Source Address,Protocol,Port Number,Use access list statements 1-99 or 100-

5、199 to test the packet,一个TCP/IP包的构成,标准访问控制列表（1-99）只检测信息包的源IP地址 扩展访问控制列表可对下面的条件进行检测 源及目的IP地址 特定的TCP/IP协议族 目的端口号 反向地址掩码用于地址匹配 (0代表检测，1代表忽略),访问控制列表的主要概念,0代表检测相应位的 bit 值 1代表忽略相应位的 bit 值,do not check address (ignore bits in octet),=,0,0,0,0,0,0,0,0,Octet bit position and address value for bit,ignore last

6、 6 address bits,check all address bits (match all),ignore last 4 address bits,check last 2 address bits,Examples,怎样使用反向地址掩码,IP access list test conditions: Check for IP subnets to ,network.host 0,0000 1111,check ignore,Wildcard mask to match bits:,怎样使用反向地址掩码（续）,地址和反

7、向掩码分别为: 55, 55表示允许任何地址; 可简写为 any,如何与任何IP地址匹配,9 代表检查地址的所有bit位 简化的写法是 host,如何与一个主机的IP地址匹配,指定列表的作用范围,配置标准访问控制列表,设定相应的参数 列表号从1到99,标准访问控制列表举例 1,只允许内部的网段,,,3,E0,S0,E1,Non- ,access-list 1 permit 0.

8、0.255.255 (implicit deny all - not visible in the list) (access-list 1 deny 55) interface ethernet 0 ip access-group 1 out interface ethernet 1 ip access-group 1 out,标准访问控制列表举例 2,拒绝一个特定的主机,,,3,E0,S0,E1,Non- ,标准访问控制列表举例 3,拒绝一个特定的子网,172.16.3

9、.0,,3,E0,S0,E1,Non- ,提供更多的过滤条件 检查源及目的IP地址 可指定具体的IP协议及其端口号 列表号从100到199,扩展的访问控制列表,配置扩展的访问控制列表,设定相应的参数 列表号从100到199 指定列表的作用范围,扩展访问控制列表举例 1,从E0出端口时拒绝FTP的包,,,3,E0,S0,E1,Non- ,扩展访问控制列表举例2,只拒绝从E0端口telnet出去 允许其它的流量,,,17

10、3,E0,S0,E1,Non- ,使用以名字表示的控制列表,Cisco IOS 11.2 及以后的版本支持,不同的列表不能使用相同的名字,Permit或deny 的语句不需要带列表号 用“no” 可以简单的删除一条列表匹配项,指定列表的作用范围,IP访问控制列表应设置在哪里,标准的控制列表设置得离目的越近越好 扩展的控制列表设置得离源越近越好,E0,E0,E1,S0,To0,S1,S0,S1,E0,E0,B,A,C,C,如何检验访问控制列表,Router#show ip interfaceEthernet 0 is up, line protocol is

11、up Internet address is , subnet mask is Broadcast address is 55 Address determined by non-volatile memory MTU is 1500 bytes Helper address is Secondary address , subnet mask Outgoing access list 10 is set Inbound access lis

12、t is not set Proxy ARP is enabled Security level is default Split horizon is enabledICMP redirects are always sent ICMP unreachables are always sent ICMP mask replies are never sent IP fast switching is enabled Gateway Discovery is disabled IP accounting is disabled TCP/IP header compression is disa

13、bled Probe proxy name replies are disabled Router#,如何监视访问控制列表的状态,Router show access-lists Standard IP access list 19 permit deny , wildcard bits 55 Standard IP access list 49 permit , wildcard bits 55permit , wildcard bits 55 permit , wildcard bits 55permit , wildcard bits 55permit , wildcard bits 55 Extended IP access list 101permit tcp 255.255.