CCNA新版PPT 第12章 IP访问控制列表.ppt

1、访问控制列表ACL,CCNA经典课件,网络技术交流QQ群：196267207,IP Access-list：访问列表或访问控制列表，简称IP ACL。,访问控制列表,访问控制列表ACL最直接的功能就是包过滤,通过ACL可以在路由器、三层交换机上进行网络安全属性配置,可以实现对进入到路由器、三层交换机的输入数据流进行过滤.,数据流的控制可以基于网络地址、TCP/UDP的应用等。 可以选择对于符合过滤标准的流是丢弃还是转发。,为什么要使用访问列表,公网,互联网用户,对外信息 服务器,员工上网,拒绝,信息 服务器,不能在上班时间进行QQ,MSN等聊天,访问权限控制,,172.17

2、.0.0,Internet,当网络访问增长时，管理IP通信 Manage IP traffic as network access grows 当数据包通过路由器时，起到过滤作用 Filter packets as they pass through the router,为什么使用ACL？（Why Use Access Control Lists?）,ISP,当网络访问流量较大时,需要对网络流量进行管理,为什么要使用访问列表,合理的矛盾:在网络设计中，如何为用户合理分配流量，又能提供安全有效的网络管理，是一个具有挑战性的难题！,ACL作用（ Function of ACL ）,1限制网络流量

3、、提高网络性能。 Limit network traffic and increase network performance. 2提供对通信流量的控制手段。 Provide traffic flow control. 3提供网络访问的基本安全手段。 Provide a basic level of security for network access. 4在路由器接口处，决定哪种类型的通信流量被转发、哪种类型的通信流量被阻塞。 Decide which types of traffic are forwarded or blocked at the router interfaces.,标

4、准 检查源地址 通常允许、拒绝的是完整的协议 扩展 检查源地址和目的地址 通常允许、拒绝的是某个特定的协议 进方向和出方向,Outgoing Packet,E0,S0,Incoming Packet,Access List Processes,Permit?,Protocol,什么是访问列表,Notify Sender,出端口方向上的访问列表,如果没有匹配的ACL就丢弃数据包,N,Y,垃圾桶,Choose Interface,Routing Table Entry?,没有ACL,有ACL,Test Access List Statements,Permit?,Y,Access List?,Di

5、scard Packet,N,Outbound Interfaces,Packet,Packet,S0,E0,InboundInterface Packets,访问列表的测试：允许和拒绝,Packets to Interface(s) in the Access Group,垃圾桶,Y,目的端口,Deny,Y,Match First Test ?,Permit,N,Deny,Permit,Match Next Test(s) ?,Deny,Match Last Test?,Y,Y,N,Y,Y,Permit,Implicit Deny,If no match deny all,Deny,N,AC

6、L条件顺序（The order in which ACL statements are placed ）,Cisco IOS按照各描述语句在ACL中的顺序，根据各描述语句的判断条件，对数据包进行检查。一旦找到了某一匹配条件，就结束比较过程，不再检查以后的其他条件判断语句。,ACL的类型,ACL的类型主要分为IP标准访问控制列表和IP扩展访问控制列表。 主要的动作为允许(permit) 和拒绝(Deny). 主要的应用方法是入栈(In)和出栈(Out)应用.,源地址,TCP/UDP,数据,IP,eg.HDLC,1-99 号列表,IP标准访问列表,目的地址,源地址,协议,端口号,100-199号列

7、表,TCP/UDP,数据,IP,eg.HDLC,IP扩展访问列表,常见端口号（Known Port Number）,ACL表号（ACL Number ）,编号范围,IP,1-99 100-199 Name (Cisco IOS 11.2 and later),800-899 900-999 1000-1099 Name (Cisco IOS 11.2. F and later),Standard Extended SAP filters Named,Standard Extended Named,访问列表类型,IPX,如何识别访问列表,标准访问列表 (1 to 99) 检查 IP 数据包的源地

8、址 扩展访问列表 (100 to 199) 检查源地址和目的地址、具体的 TCP/IP 协议和目的端口,标准 扩展,通配符掩码（Wildcard Mask ）,1.是一个32比特位的数字字符串(A wildcard mask is a 32-bit quantity) 2.0表示“检查相应的位”,1表示“不检查（忽略）相应的位” A zero means let the value through to be checked, the Xs (1s) mean block the value from being compared.,例如 9 检查所有的地

9、址位 可以简写为 host (host 9),Test conditions: Check all the address bits (match all),9,,(checks all bits),An IP host address, for example:,Wildcard mask:,通配符掩码指明特定的主机,0 表示检查与之对应的地址位的值 1 表示忽略与之对应的地址位的值,所有主机: 55 可以用 any 简写,Test conditions: Ignore all the add

10、ress bits (match any),,55,(ignore all),Any IP address,Wildcard mask:,通配符掩码指明所有主机,access-list 199 permit|deny 源地址 反掩码,Router(config)#,例如： RA(config-if)#ip access-group |name in | out ,Router(config-if)#,ip access-group access-list-number in | out ,缺省的通配符掩码 = ,标准IP访问列表的配置,例如

11、： （config）# access-list 1 permit 55 （config）# access-list 1 deny 55,“no access-list 编号” 命令删除访问列表 在端口上删除,指明是进方向还是出方向,在端口上应用访问列表,只允许我自己的（）网段的数据经过路由器,access-list 1 permit 55 (隐藏拒绝其它所有的地址) (access-list 1 deny 55)

12、 interface ethernet 0 ip access-group 1 out interface ethernet 1 ip access-group 1 out,,,3,E0,S0,E1,Non- ,标准访问列表举例 1, 55 等价于 any,access-list 1 deny 3 access-list 1 permit 55 Int E0 ip access-group 1 ou

13、t,标准访问列表举例 2,,,3,E0,S0,E1,Non- ,拒绝一个指定的主机（3）,access-list 1 deny host 3 access-list 1 permit any,可以把这个ACL应用在E1口上吗？,access-list 1 deny 55 access-list 1 permit any access-list 1 deny any 隐含 interface ethernet 0 ip access-grou

14、p 1 out,标准访问列表举例 3,,,3,E0,S0,E1,Non- ,拒绝网段,标准ACL与扩展ACL比较（Standard versus External ACL）,2.应用ACL到接口 Router(config-if)#ip access-group in | out ,编号的扩展ACL access-list 标号 permit | deny protocol source 通配符 port destination 通配符 port operator operand 标号：1001

15、99 protocal是指定的协议，如IP、TCP、UDP等。 operator 和 operand用于指定端口范围，默认为全部端口号：0-65535，只有TCP和UDP协议需要指定端口的范围。,IP扩展访问列表,access-list 101 deny tcp 55 55 eq 21 access-list 101 deny tcp 55 55 eq 20 access-list 101 permit ip any any (implicit den

16、y all) (access-list 101 deny ip 55 55) interface ethernet 1 ip access-group 101 out,拒绝子网 的数据使用路由器e0口ftp到子网 允许其它数据,扩展访问列表应用举例 1,,,3,E0,S0,E1,Non- ,FTP,access-list 101 deny tcp 55 an

17、y eq 23 access-list 101 permit ip any any (implicit deny all) interface ethernet 1 ip access-group 101 out,拒绝子网 内的主机使用路由器的 E0 端口建立Telnet会话 允许其它数据,扩展访问列表应用举例 2,,,3,E0,S0,E1,Non- ,操作符号有eq(等于),gt(大于),lt(小于)和neq(非等于),访问列表配置原则,访问列表的编号指明了使用何种协议的访问列表 每个端口的

18、每个方向，只能设置1个ACL 将限制条件严格的、具体的、流量最大的语句放在访问列表的最上面 在访问列表的最后有一条隐含声明：deny any 每个正确的访问列表都至少应该有一条permit语句 先创建访问列表，然后应用到端口上 访问列表不能过滤由路由器自己产生的数据 使用 no access-list number 命令删除完整的访问列表 删除ACL时，不能删除某一条，除去1行意味你将除去整个ACL 从头到尾，至顶向下的匹配方式，匹配成功马上停止,只过滤数据包源地址的ACL应该放在离目的地（正在过滤得）尽可能近的地方； 过滤数据包的源地址和目的地址以及其他信息的ACL，则应该放在离源地址尽可能

19、近的地方,一切未被允许的就是禁止的。 路由器或三层交换机缺省允许所有的信息流通过; 而防火墙缺省封锁所有的信息流，然后对希望提供的服务逐项开放。,将标准访问列表置于离目的设备较近的位置 (因为看电影的人太多，有票的才能进来.我有票，哈哈!) 将扩展访问列表置于离源设备较近的位置 (到学校上课，被通知今天不上课,郁闷啊！),访问列表的放置原则,推荐：,ACL摆放的位置,路由器,路由器,源,in,out,路由器,目的,扩展访问表尽量放在靠近过滤源的位置。 目的：不会影响其它接口上的数据 标准访问表尽量放在靠近目的端口的位置。,利用ACL来过滤，必须把ACL应用到需要过滤的那个router的接口上，

20、否则ACL是不会起到过滤作用的。而且你还要定义过滤的方向，方向分为下面2种:1、inbound ACL：先处理,再路由2、outbound ACL: 先路由,再处理,如何区分是IN 还是OUT,这里的in/out都是站在路由器或三层交换机端口（以后简称ROUTER）上看的，in表示从该端口进入Router的包，out表示从该端口出去的包。,显示全部的访问列表 Router#show access-lists显示指定的访问列表Router#show access-lists 显示接口的访问列表应用Router#show ip interface ,访问列表的验证,使用命名IP ACL（Using

21、 Named IP ACL）,R(config)# ip access-list standard | extended name,IOS11.2 以后支持的特征 Feature for Cisco IOS Release 11.2 or later,名字字符串要唯一 Name string must be unique, permit | deny ip access list test conditions permit | deny ip access list test conditions no permit | deny ip access list test conditions

22、 ,Router(config std- | ext-nacl)#,允许或拒绝陈述条件前没有表号 可以用“NO”命令移去特定的陈述,在接口上激活命名ACL,wg_ro_a#show ip int e0 Ethernet0 is up, line protocol is up Internet address is 1/24 Broadcast address is 55 Address determined by setup command MTU is 1500 bytes Helper address is not set Directed bro

23、adcast forwarding is disabled Outgoing access list is not set Inbound access list is 1 Proxy ARP is enabled Security level is default Split horizon is enabled ICMP redirects are always sent ICMP unreachables are always sent ICMP mask replies are never sent IP fast switching is enabled IP fast switch

24、ing on the same interface is disabled IP Feature Fast switching turbo vector IP multicast fast switching is enabled IP multicast distributed fast switching is disabled,查看访问列表,查看访问控制列表 ：R#show access-list,IP标准访问列表的一般配置,为什么我们禁止后，要加 access-list 1 permit any ？ 在标准或扩展IP或IPX的每个访问表的末尾，总有一个隐含的deny all。也就是说报

25、文与语句不匹配，则此隐含命令将禁止该报文。,过滤MSN连接,Router(config)# ip access-list extended MSN-messenger Router(config-ext-nacl)# deny tcp any any eq 1503 Router(config-ext-nacl)# deny tcp any any eq 1863 Router(config-ext-nacl)# deny tcp any any eq 6891 Router(config-ext-nacl)# deny udp any any eq 1863 Router(config-ex

26、t-nacl)# deny udp any any range 13324 13325 Router(config-ext-nacl)# deny tcp any any eq 569 Router(config-ext-nacl)# deny udp any any eq 569 Router(config-ext-nacl)# deny ip any 55 Router(config-ext-nacl)# deny ip any host 55 Router(config-ext-nacl)# exit Router(

27、config)#interface Ethernet 1 Router(config-if)# ip access-group MSN-messenger out,实 例,新建ACL，编号为102：为防止已知的病毒攻击，在R2，R3路由器上封锁FastEthernet接口上校内各PC或服务器由内对外及由外对内的TCP135、139、445port连线（这同时也阻绝了windows的网上邻居功能）。 Access-list 102 deng tcp any any eq 135 Access-list 102 deng tcp any any eq 139 Access-list 102 den

28、g tcp any any eq 445 Access-list 102 permit ip any any,实 例,ACL编号103：在R1以ACL封锁所有校外对校内的SSH连线（TCP22port），以防止来自校外的入侵攻击。 Access-list 103 deng tcp any any eq 22 Access-list 103 permit ip any any ACL编号104：在R1上请小心设定，限定TANet分配给学校合法使用的IP网段才允许对外连线，以防止IP Spoofing的攻击。 Access-list 104 permit ip 0.0.

29、0.255 any Access-list 104 permit ip 3 any Access-list 104 permit ip 4 3 any,实 例,1. 所有主机到的TCP流量都将拒绝 access-list 100 deny tcp any host 2. 阻此Telnet 到的主机 access-list 110 deny tcp any host eq 23,路由上限制/禁止 BT,限速 access-l

30、ist 130 remark bt access-list 130 permit tcp any any range 6881 6890 access-list 130 permit tcp any range 6881 6890 any rate-limit input access-group 130 712000 8000 8000 conform-action transmit exceed-action drop rate-limit output access-group 130 712000 8000 8000 conform-action transmit exceed-act

31、ion drop 禁止 access-list 130 deny tcp any any range 6881 6890 access-list 130 deny tcp any,用access-list 对抗“冲击波”病毒,access-list 120 deny 53 any any access-list 120 deny 55 any any access-list 120 deny 77 any any access-list 120 deny 103 any any 以上几条慎用！ access-list 120 deny tcp any any eq echo access-li

32、st 120 deny tcp any any eq chargen access-list 120 deny tcp any any eq 135 access-list 120 deny tcp any any eq 136 access-list 120 deny tcp any any eq 137 access-list 120 deny tcp any any eq 138 access-list 120 deny tcp any any eq 139 access-list 120 deny tcp any any eq 389 access-list 120 deny tcp any any eq 445 access-list 120 deny tcp any any eq 4444/新加 access-list 120 deny udp any any eq 69 /新加 access-list 120 deny udp any any eq 135 access-list 120 deny udp any any eq 136 ac