CCNA2010 IP访问控制列表ACL.ppt

1、用访问列表初步管理 IP流量,合理的矛盾:在网络设计中，如何为用户合理分配流量，又能提供安全有效的网络管理，是一个具有挑战性的难题！,,,Internet,管理网络中逐步增长的 IP 数据 当数据通过路由器时进行过滤,为什么要使用访问列表,访问列表的应用,允许、拒绝数据包通过路由器 允许、拒绝Telnet会话的建立,虚拟会话 (IP),端口上的数据传输,标准 检查源地址 通常允许、拒绝的是完整的协议 扩展 检查源地址和目的地址 通常允许、拒绝的是某个特定的协议 进方向和出方向,Outgoing Packet,E0,S0,Incoming Packet,A

2、ccess List Processes,Permit?,Protocol,什么是访问列表,Notify Sender,出端口方向上的访问列表,如果没有匹配的ACL就丢弃数据包,N,Y,垃圾桶,Choose Interface,Routing Table Entry?,没有ACL,有ACL,Test Access List Statements,Permit?,Y,Access List?,Discard Packet,N,Outbound Interfaces,Packet,Packet,S0,E0,InboundInterface Packets,访问列表的测试：允许和拒绝,Packets

3、 to Interface(s) in the Access Group,垃圾桶,Y,目的端口,Deny,Y,Match First Test ?,Permit,N,Deny,Permit,Match Next Test(s) ?,Deny,Match Last Test?,Y,Y,N,Y,Y,Permit,Implicit Deny,If no match deny all,Deny,N,Step 1:设置访问列表测试语句的参数,Router(config)#,Step 2: 在端口上应用访问列表, protocol access-group 标号 in | out,Router(confi

4、g-if)#,访问列表设置命令,IP 访问列表的标号为 1-99 和 100-199,access-list 标号 permit | deny test conditions ,编号范围,IP,1-99 100-199 Name (Cisco IOS 11.2 and later),800-899 900-999 1000-1099 Name (Cisco IOS 11.2. F and later),Standard Extended SAP filters Named,Standard Extended Named,访问列表类型,IPX,如何识别访问列表,标准访问列表 (1 to 99)

5、检查 IP 数据包的源地址 扩展访问列表 (100 to 199) 检查源地址和目的地址、具体的 TCP/IP 协议和目的端口 其它访问列表编号范围表示不同协议的访问列表,例如 9 检查所有的地址位 可以简写为 host (host 9),Test conditions: Check all the address bits (match all),9,,(checks all bits),An IP host address, for example:,Wildcard mask:,通配符掩码指明

6、特定的主机,0 表示检查与之对应的地址位的值 1表示忽略与之对应的地址位的值,do not check address (ignore bits in octet),=,0,0,0,0,0,0,0,0,Octet bit position and address value for bit,ignore last 6 address bits,check all address bits (match all),ignore last 4 address bits,check last 2 address bits,Examples,通配符：如何检查相应的地址位,所有主机: 2

7、55 可以用 any 简写,Test conditions: Ignore all the address bits (match any),,55,(ignore all),Any IP address,Wildcard mask:,通配符掩码指明所有主机,Check for IP subnets /24 to /24,Network .host ,Wildcard mask: 0 0 0 0 1 1 1 1 | 0 0 0 1 0 0 0 0 = 16 0 0

8、0 1 0 0 0 1 =17 0 0 0 1 0 0 1 0 =18 : : 0 0 0 1 1 1 1 1 =31,Address and wildcard mask: 55,通配符掩码和IP子网的对应,access-list access-list-number permit|deny source mask,Router(config)#,在端口上应用访问列表 指明是进方向还是出方向 “no ip access-group 编号” 命令在端口上删除访问列表,Router(config-if)#,ip access-group access-lis

9、t-number in | out ,为访问列表设置参数 IP 标准访问列表编号 1 到 99 缺省的通配符掩码 = “no access-list access-list-number” 命令删除访问列表,标准IP访问列表的配置,只允许我自己的（）网段!,access-list 1 permit 55 (隐藏拒绝其它所有的地址) (access-list 1 deny 55) interface ethernet 0 ip access-group 1 out interfa

10、ce ethernet 1 ip access-group 1 out,,,3,E0,S0,E1,Non- ,标准访问列表举例 1,access-list 1 deny 3 access-list 1 permit 55 Int E0 ip access-group 1 out,标准访问列表举例 2,,,3,E0,S0,E1,Non- ,拒绝一个指定的主机（1

11、3）!,access-list 1 deny host 3 access-list 1 permit any,access-list 1 deny 55 access-list 1 permit any access-list 1 deny any 隐含 interface ethernet 0 ip access-group 1 out,标准访问列表举例 3,,,3,E0,S0,E1,Non- ,拒绝一个指定的网段!,标准和扩展访问列表比较

12、,标准,扩展,基于源地址,基于源地址和目标地址,允许和拒绝完整的 TCP/IP协议,指定TCP/IP的特定协议 和端口号,编号范围 100-199和2000-2699,编号范围 1-99和1300-1999,Router(config-if)# ip access-group 标号 in | out ,扩展 IP 访问列表的配置,在端口上应用访问列表,Router(config)#,设置访问列表的参数,access-list 标号 permit | deny protocol source 通配符 port destination 通配符 port ,access-list 101 deny

13、tcp 55 55 eq 21 access-list 101 deny tcp 55 55 eq 20 access-list 101 permit ip any any (implicit deny all) (access-list 101 deny ip 55 55) interface ethernet 0 ip access-group 101 out,拒绝

14、子网 的数据使用路由器e0口ftp到子网 允许其它数据,扩展访问列表应用举例 1,,,3,E0,S0,E1,Non- ,access-list 101 deny tcp 55 any eq 23 access-list 101 permit ip any any (implicit deny all) interface ethernet 0 ip access-group 101 out,拒绝子网 内的主机使用路由器

15、的 E0 端口建立Telnet会话 允许其它数据,扩展访问列表应用举例 2,,,3,E0,S0,E1,Non- ,访问列表配置指南,访问列表的编号指明了使用何种协议的访问列表 每个端口、每个方向、每条协议只能对应于一条访问列表 访问列表的内容决定了数据的控制顺序 将限制条件严格的语句放在访问列表的最上面 在访问列表的最后有一条隐含声明：deny any每一条正确的访问列表都至少应该有一条允许语句 先创建访问列表，然后应用到端口上 访问列表不能过滤由路由器自己产生的数据 使用 no access-list numbe

16、r 命令删除完整的访问列表 标准acl和扩展acl删除时，不能删除单独一个条目 acl中把具体的条目放在前面 一张acl表至少有一条permit语句,将标准访问列表置于离目的设备较近的位置 (因为看电影的人太多，有票的才能进来.我有票，哈哈!) 将扩展访问列表置于离源设备较近的位置 (到学校上课，被通知今天不上课,郁闷啊！),E0,E0,E1,S0,To0,S1,S0,S1,E0,E0,B,A,C,访问列表的放置原则,推荐：,D,ACL摆放的位置,路由器,路由器,源,in,out,路由器,目的,扩展访问表尽量放在靠近过滤源的位置。 目的：不会影响其它接口上的上的数据 标准访问表尽量放在靠近目的

17、端口的位置。,wg_ro_a#show ip int e0 Ethernet0 is up, line protocol is up Internet address is 1/24 Broadcast address is 55 Address determined by setup command MTU is 1500 bytes Helper address is not set Directed broadcast forwarding is disabled Outgoing access list is not set Inbound a

18、ccess list is 1 Proxy ARP is enabled Security level is default Split horizon is enabled ICMP redirects are always sent ICMP unreachables are always sent ICMP mask replies are never sent IP fast switching is enabled IP fast switching on the same interface is disabled IP Feature Fast switching turbo vector IP multicast fast switching is enabled IP multic