5-标准ACLPPT课件

1、1 1 访问控制列表（访问控制列表（ACL） (Access Control List) 2 2 一、一、ACL概述概述 v什么是什么是ACL? vACL的本质就是的本质就是一系列一系列对数据包对数据包过滤过滤的条件的条件 （规则）。（规则）。 v例如：例如： a./24内主机能访问内主机能访问/24 b./24内主机不能访问内主机不能访问/24 /24 /24 /24 3 3 FDDI Token

2、 Ring Internet 管理管理IP网络流量网络流量 当数据包经过当数据包经过Router时，对数据进行筛选时，对数据进行筛选 v允许、拒绝数据包通过路由器允许、拒绝数据包通过路由器 v允许、拒绝允许、拒绝Telnet会话的建立会话的建立 没有设置访问列表时，所有的数据包都会在网络上传输没有设置访问列表时，所有的数据包都会在网络上传输 为什么使用访问控制列表为什么使用访问控制列表? 4 4 编号范围编号范围 1-99 100-199 Name (Cisco IOS 11.2 and later) 标准标准ACL 扩展扩展ACL 命名命名ACL 访问列表类型访问列表类型 二、二、ACL的分

3、类的分类 标准标准ACLACL 检查检查IPIP数据包数据包源源IPIP地址地址 扩展扩展ACLACL 检查源检查源IPIP地址，目的地址，目的IPIP地址，源端口号和目的端口号地址，源端口号和目的端口号 通常允许、拒绝的是某个特定的协议通常允许、拒绝的是某个特定的协议 5 5 v按照顺序进行匹配，从第一行开始，然后第二行，第三行等；按照顺序进行匹配，从第一行开始，然后第二行，第三行等； v按照顺序查询匹配，符合条件后就不再继续匹配后面的条目；按照顺序查询匹配，符合条件后就不再继续匹配后面的条目； v每个每个ACL列表列表最后最后都都隐含一条拒绝的语句隐含一条拒绝的语句，所以每个，所以每个AC

4、L至少至少 包含一条包含一条 permit语句；语句； vACL用于过滤通过用于过滤通过Router的流量，但不会过滤的流量，但不会过滤Router自身产生自身产生 的流量；的流量； v除了命名除了命名ACL，不能删除，不能删除ACL中一条规则，否则将会删除整个中一条规则，否则将会删除整个 ACL； v每接口每方向只能分派一个每接口每方向只能分派一个ACL vACL的应用有进（出）站访问列表的应用有进（出）站访问列表 进站访问列表：数据包先经过进站访问列表：数据包先经过ACL处理再转发处理再转发 出站访问列表：数据包先被转发到出口再经过出站访问列表：数据包先被转发到出口再经过 ACL处理处理

5、vACL中使用通配符，即使用反子网掩码中使用通配符，即使用反子网掩码 三、三、ACL的特点的特点 6 6 访问列表的测试：允许和拒绝访问列表的测试：允许和拒绝 Packets to Interface(s) in the Access Group Packet Discard Bucket Y Interface(s) Destination Deny Y Match First Test ? Permit N DenyPermit Match Next Test(s) ? Deny Match Last Test ? YY N YY Permit Implicit Deny 如果没有匹配项，

6、如果没有匹配项， 则拒绝则拒绝 Deny N 7 7 Notify Sender 出端口方向上的访问列表出端口方向上的访问列表 If no access list statement matches then discard the packet N Y Packet Discard Bucket Choose Interface Routing Table Entry ? N Y Test Access List Statements Permit ? Y Access List ? Discard Packet N Outbound Interfaces Packet Packet S0

7、E0 Inbound Interface Packets 8 8 v将将标准标准访问控制列表靠近访问控制列表靠近目的目的地址地址 v将将扩展扩展访问控制列表靠近访问控制列表靠近源源地址地址 E0 E0 E1 S0 To0 S0 E0 E0Token Ring 在哪里放置访问控制列表在哪里放置访问控制列表 注意注意: 9 9 Step 1:设置访问列表语句的参数设置访问列表语句的参数 Router(config)# Step 2: 在端口上应用访问列表在端口上应用访问列表 protocol access-group access-list-number in | out Router(confi

8、g-if)# 四、标准四、标准ACL的配置与应用的配置与应用 IP 访问列表的标号为访问列表的标号为 1-99 和和 100-199 access-list access-list-number permit | deny test conditions 10 10 Permit 只允许本地网络的访问只允许本地网络的访问 Step 1： access-list 1 permit 55 (implicit deny all - not visible in the list) (access-list 1 deny 255.255.255.

9、255) Step2： interface ethernet 1 ip access-group 1 out interface ethernet 0 ip access-group 1 out 3 E0 S0 E1 Non- 配置标准访问控制列表配置标准访问控制列表Example 1 11 11 配置标准访问控制列表配置标准访问控制列表Example 2 3 E0 S0 E1 Non- Deny一个特定主机一个特定主机 S

10、tep 1： access-list 1 deny 3 access-list 1 permit 55/ access-list 1 permit any (implicit deny all) (access-list 1 deny 55) Step 2： interface ethernet 0 ip access-group 1 out 12 12 Deny 一个特定子网一个特定子网 配置标准访问控制列表配置标准访问控制列表Example 3 17

11、 3 E0 S0 E1 Non- Step 1： access-list 1 deny 55 access-list 1 permit any (implicit deny all) (access-list 1 deny 55) Step 2： interface ethernet 0 ip access-group 1 out 13 13 router# show ip interface f0/0 Ethernet0 is up, line protoc

12、ol is up Internet address is 1/24 Broadcast address is 55 Address determined by setup command MTU is 1500 bytes Helper address is not set Directed broadcast forwarding is disabled Outgoing access list is not set Inbound access list is 1 Proxy ARP is enabled Security level is def

13、ault Split horizon is enabled ICMP redirects are always sent ICMP unreachables are always sent ICMP mask replies are never sent IP fast switching is enabled IP fast switching on the same interface is disabled IP Feature Fast switching turbo vector IP multicast fast switching is enabled IP multicast

14、distributed fast switching is disabled 五、验证访问控制列表五、验证访问控制列表 14 14 五、验证访问控制列表五、验证访问控制列表 router#show access-lists Standard IP access list 1 permit permit permit permit Extended IP access list 101 permit tcp host any eq telnet permit tcp host an

15、y eq ftp permit tcp host any eq ftp-data router#show access-lists #show access-lists access-list numberaccess-list number 15 15 实验目的实验目的 v理解访问控制列表的作用及工作过程理解访问控制列表的作用及工作过程 v掌握标准访问控制列表的配置掌握标准访问控制列表的配置 v初步学会设计访问控制列表规则初步学会设计访问控制列表规则 16 16 实验拓扑实验拓扑 17 17 实验步骤实验步骤 v配置各主机配置各主机IPIP地址与默认网关（注意不同网地址

16、与默认网关（注意不同网 段主机段主机IPIP） v启用路由器各接口并配置局域网接口与广域启用路由器各接口并配置局域网接口与广域 网接口地址网接口地址( (注意区分注意区分DTEDTE与与DCE)DCE) v配置配置RIPRIP路由协议路由协议( (命令略命令略) )，使得，使得全网连通全网连通 18 18 v配置标准配置标准ACL 只允许主机只允许主机来的数据包到达网络来的数据包到达网络 vRouterB(config)#access-list 1 permit vRouterB(config)# int gi0/

17、0 vRouterB(config-if)# ip access-group 1 out 用主机用主机ping是否能通？是否能通？主机主机和和主机主机 是否能是否能ping 通通？（截图说明）？（截图说明） RouterB#show access-list（截图）（截图） RouterB#show ip int g0/0（截图）（截图） 拒绝从主机拒绝从主机来的数据包到达网络来的数据包到达网络 vRouterB(config)#access-list 2

18、 deny /或者或者access-list 1 deny host vRouterB(config)#access-list 2 permit any vRouterB(config)# int gi0/0 vRouterB(config-if)# ip access-group 2 out 用主机用主机ping是否能通？主机是否能通？主机和和主机主机是否能是否能ping通通 ？（截图粘贴到实验报告）？（截图粘贴到实验报告） RouterB#sh access-list（截图）（截图） RouterB#show ip int g0/0（截图）（截图） 19 19 v允许网络允许网络来的数据包到达网络来的数据包到达网络 RouterB(config)#access-list 3 permit 192.