访问控制列表

1、Version 2.0访问控制列表访问控制列表访问控制列表访问控制列表访问控制列表访问控制列表ACLACLACLPage 2/45本章目标本章目标v理解访问控制列表的工作原理（访问控制理解访问控制列表的工作原理（访问控制列表的作用，列表的作用，路由器对访问控制列表的处路由器对访问控制列表的处理过程理过程）v理解访问控制列表的反码理解访问控制列表的反码v掌握访问控制列表的种类掌握访问控制列表的种类v掌握标准和扩展访问控制列表的配置方法掌握标准和扩展访问控制列表的配置方法v能够利用访问控制列表对网络进行控制能够利用访问控制列表对网络进行控制Page 3/45本章结构本章结构访问控制列表访问控制列表

2、访问控制列表的种类访问控制列表的种类访问控制列表的工作原理访问控制列表的工作原理访问控制列表的反码访问控制列表的反码访问控制列表概访问控制列表概述述扩展访问控制列扩展访问控制列表表标准访问控制列标准访问控制列表表什么是扩展访问控制列表什么是扩展访问控制列表扩展访问控制列表的应用与配置扩展访问控制列表的应用与配置命名访问控制列表命名访问控制列表标准访问控制列表的标准访问控制列表的应用与配置应用与配置什么是标准访问控制什么是标准访问控制列表列表Page 4/45什么是访问控制列表什么是访问控制列表v访问控制列表（访问控制列表（ACL） 应用于路由器接口的指令列表应用于路由器接口的指令列表 ，用于指

3、定哪些数据，用于指定哪些数据包可以接收转发，哪些数据包需要拒绝包可以接收转发，哪些数据包需要拒绝vACL的工作原理的工作原理 读取第三层及第四层包头中的信息读取第三层及第四层包头中的信息 根据预先定义好的规则对包进行过滤根据预先定义好的规则对包进行过滤 Page 5/45访问控制列表的作用访问控制列表的作用2-1v提供网络访问的基本安全手段提供网络访问的基本安全手段v可用于可用于QoS，控制数据流量，控制数据流量v控制通信量控制通信量Page 6/45主机主机A主机主机B人力资源网络人力资源网络研发网络研发网络使用使用ACL阻止某指定网络访问另一指定网络阻止某指定网络访问另一指定网络 访问控制

4、列表的作用访问控制列表的作用2-2Page 7/45v实现访问控制列表的核心技术是包过滤实现访问控制列表的核心技术是包过滤Internet公司总部公司总部内部网络内部网络未授权用户未授权用户办事处办事处访问控制列表访问控制列表访问控制列表工作原理访问控制列表工作原理2-1Page 8/45v通过分析通过分析IP数据包包头信息，进行判断（这里数据包包头信息，进行判断（这里IP所承载的上层协议为所承载的上层协议为TCP）访问控制列表工作原理访问控制列表工作原理2-2Page 9/45路由器对访问控制列表的处理过程路由器对访问控制列表的处理过程Page 10/45访问控制列表入与出访问控制列表入与出

5、3-1v使用命令使用命令ip access-group将将ACL应用到某一个应用到某一个接口上接口上 在接口的一个方向上，只能应用一个在接口的一个方向上，只能应用一个access-listRouter(config-if)#ip access-group access-list-number in|outPage 11/45访问控制列表入与出访问控制列表入与出3-2Page 12/45 访问控制列表入与出访问控制列表入与出3-3Page 13/45Deny和和permit命令命令Router(config)#access-list access-list-number permit|deny

6、test conditions允许数据包通过应允许数据包通过应用了访问控制列表用了访问控制列表的接口的接口拒绝数据包通过拒绝数据包通过Page 14/45v第一步，创建访问控制列表第一步，创建访问控制列表v第二步，应用到接口第二步，应用到接口e0的出方向上的出方向上 访问控制列表实例访问控制列表实例Page 15/45使用通配符使用通配符any和和host 2-1v通配符通配符any可代替可代替 55 Page 16/45使用通配符使用通配符any和和host 2-2vhost表示检查表示检查IP地址的所有位地址的所有位 Page 17/45访问控制列表

7、的种类访问控制列表的种类v基本类型的访问控制列表基本类型的访问控制列表 标准访问控制列表标准访问控制列表 扩展访问控制列表扩展访问控制列表 v 其他种类的访问控制列表其他种类的访问控制列表 基于基于MAC地址的访问控制列表地址的访问控制列表 基于时间的访问控制列表基于时间的访问控制列表Page 18/45扩展扩展acl标准标准acl路由器路由器B路由器路由器C路由器路由器D路由器路由器AS0S0S1S1E0E0E1E0E0E1应用访问控制列表应用访问控制列表源源目的目的Page 19/45标准访问控制列表标准访问控制列表3-1v标准访问控制列表标准访问控制列表 根据数据包的源根据数据包的源IP

8、地址来允许或拒绝数据包地址来允许或拒绝数据包 访问控制列表号从访问控制列表号从1到到99Page 20/45标准访问控制列表标准访问控制列表3-2v标准访问控制列表只使用源地址进行过滤，表明标准访问控制列表只使用源地址进行过滤，表明是允许还是拒绝是允许还是拒绝Page 21/45 标准访问控制列表标准访问控制列表3-3Page 22/45标准访问控制列表的配置标准访问控制列表的配置v第一步，使用第一步，使用access-list命令创建访问控制列表命令创建访问控制列表v第二步，使用第二步，使用ip access-group命令把访问控制列表命令把访问控制列表应用到某接口应用到某接口Router

9、(config)#access-list access-list-number permit | deny source source- wildcard logRouter(config-if)#ip access-group access-list-number in | out Page 23/45标准标准ACL应用应用1：允许特定源的流量：允许特定源的流量2-1Non-E0E1S03Page 24/45标准标准ACL应用：允许特定源的流量应用：允许特定源的流量2-2v第一步，创建允许来自第一步，创建允许来自

10、的流量的的流量的ACLv第二步，应用到接口第二步，应用到接口E0和和E1的出方向上的出方向上 Router(config)#access-list 1 permit 55Router(config)#interface fastethernet 0/0Router(config-if)#ip access-group 1 outRouter(config)#interface fastethernet 0/1Router(config-if)#ip access-group 1 outPage 25/45标准标准ACL应用：拒绝特定主

11、机的通信流量应用：拒绝特定主机的通信流量v第一步，创建拒绝来自第一步，创建拒绝来自3的流量的的流量的ACLv第二步，应用到接口第二步，应用到接口E0的出方向的出方向Router(config)#access-list 1 deny host 3 Router(config)#access-list 1 permit 55Router(config)#interface fastethernet 0/0Router(config-if)#ip access-group 1 out Page 26/45标准标准ACL

12、应用：拒绝特定子网的流量应用：拒绝特定子网的流量v第一步，创建拒绝来自子网第一步，创建拒绝来自子网的流量的的流量的ACLv第二步，应用到接口第二步，应用到接口E0的出方向的出方向Router(config)#access-list 1 deny 55Router(config)#accesslist 1 permit anyRouter(config)#interface fastethernet 0/0Router（config-if）#ip access-group 1 outPage 27/45扩展访问控制列表扩展访问控制列表4-1

13、v扩展访问控制列表扩展访问控制列表 基于源和目的地址、传输层协议和应用端口号进行过基于源和目的地址、传输层协议和应用端口号进行过滤滤 每个条件都必须匹配，才会施加允许或拒绝条件每个条件都必须匹配，才会施加允许或拒绝条件 使用扩展使用扩展ACL可以实现更加精确的流量控制可以实现更加精确的流量控制 访问控制列表号从访问控制列表号从100到到199 Page 28/45扩展访问控制列表扩展访问控制列表4-2v扩展访问控制列表使用更多的信息描述数据扩展访问控制列表使用更多的信息描述数据包，表明是允许还是拒绝包，表明是允许还是拒绝从从/24来的来的,到到3的，的，

14、使用使用TCP协议，协议，利用利用HTTP访问的访问的数据包可以通过！数据包可以通过！路由器路由器Page 29/45扩展访问控制列表扩展访问控制列表4-3Page 30/4520FTP-DATA（文件传输协议）（文件传输协议）FTP（数据）（数据）TCP21FTP（文件传输协议）（文件传输协议）FTPTCP23TELNET终端连接终端连接TCP25SMTP简单邮件传输协议简单邮件传输协议TCP42NAMESERVER主机名字服务器主机名字服务器UDP53DOMAIN域名服务器（域名服务器（DNS)TCP/UDP69TFTP普通文件传输协议（普通文件传输协议（TFTP)UDP80WWW万维网万

15、维网TCP扩展访问控制列表扩展访问控制列表4-4Page 31/45扩展访问控制列表的配置扩展访问控制列表的配置3-1v第一步，使用第一步，使用access-list命令创建扩展访问控制命令创建扩展访问控制列表列表Router(config)#access-list access-list-number permit | deny protocol source source-wildcard destination destination-wildcard operator port established logPage 32/45eq portnumber等于端口号等于端口号 portn

16、umbergt portnumber大于端口号大于端口号portnumberlt portnumber小于端口号小于端口号portnumberneq portnumber不等于端口号不等于端口号portnumber扩展访问控制列表的配置扩展访问控制列表的配置3-2Page 33/45扩展访问控制列表的配置扩展访问控制列表的配置3-3v第二步，使用第二步，使用ip access-group命令将扩展访问命令将扩展访问控制列表应用到某接口控制列表应用到某接口Router（config-if）#ip access-group access-list-number in | out Page 34/4

17、5扩展扩展ACL应用应用1：拒绝：拒绝ftp流量通过流量通过E0v第一步，创建拒绝来自第一步，创建拒绝来自、去往、去往、ftp流量的流量的ACLv第二步，应用到接口第二步，应用到接口E0的出方向的出方向Router(config)#access-list 101 deny tcp 55 55 eq 21Router(config)#access-list 101 permit ip any anyRouter(config)#interface fastthernet 0/0Rout

18、er（config-if）#ip access-group 101 outPage 35/45扩展扩展ACL应用应用2： 拒绝拒绝telnet流量通过流量通过E0v第一步，创建拒绝来自第一步，创建拒绝来自、去往、去往、telnet流量的流量的ACLv第二步，应用到接口第二步，应用到接口E0的出方向上的出方向上Router(config)#access-list 101 deny tcp 55 55 eq 23Router(config)#access-list 101 permit

19、ip any anyRouter(config)#interface fastethernet 0/0Router（config-if）#ip access-group 101 outPage 36/45命名的访问控制列表命名的访问控制列表2-1v标准标准ACL和扩展和扩展ACL中可以使用一个字母数字组中可以使用一个字母数字组合的字符串（名字）代替来表示合的字符串（名字）代替来表示ACL的表号的表号 v命名命名IP访问列表允许从指定的访问列表删除单个访问列表允许从指定的访问列表删除单个条目条目v如果添加一个条目到列表中，那么该条目被添加如果添加一个条目到列表中，那么该条目被添加到列表末尾到列表

20、末尾 v不能以同一个名字命名多个不能以同一个名字命名多个ACLv在命名的访问控制列表下在命名的访问控制列表下 ，permit和和deny命令的命令的语法格式与前述有所不同语法格式与前述有所不同 Page 37/45命名的访问控制列表命名的访问控制列表2-2v第一步，创建名为第一步，创建名为cisco的命名访问控制列表的命名访问控制列表v第二步，指定一个或多个第二步，指定一个或多个permit及及deny条件条件 v第三步，应用到接口第三步，应用到接口E0的出方向的出方向Router（config）#interface fastethernet 0/0Router（config-if）#ip a

21、ccess-group cisco outRouter(config)#ip access-list extended ciscoRouter（config-ext-nacl）# deny tcp 55 55 eq 23Router（config-ext-nacl）# permit ip any anyPage 38/45查看访问控制列表查看访问控制列表2-1Router#show ip interface fastethernet 0/0 FastEthernet0/0 is up, line protocol is u

22、p Internet address is /24 Broadcast address is 55 Address determined by setup command MTU is 1500 bytes Helper address is not set Directed broadcast forwarding is disabled Outgoing access list is cisco Inbound access list is not set Proxy ARP is enabled Local Proxy ARP is disa

23、bled Security level is default Split horizon is enabled ICMP redirects are always sent ICMP unreachables are always sent ICMP mask replies are never sent IP fast switching is enabled IP fast switching on the same interface is disabled Page 39/45查看访问控制列表查看访问控制列表2-2Router#show access-list Extended IP

24、access list cisco 10 deny tcp 55 55 eq telnet 20 permit ip any anyPage 40/45本章总结本章总结访问控制列表访问控制列表访问控制列表的种类访问控制列表的种类访问控制列表的工作原理访问控制列表的工作原理访问控制列表的反码访问控制列表的反码访问控制列表概访问控制列表概述述扩展访问控制列扩展访问控制列表表标准访问控制列标准访问控制列表表什么是扩展访问控制列表什么是扩展访问控制列表扩展访问控制列表的应用与配置扩展访问控制列表的应用与配置命名访问控制列表命名访问

25、控制列表标准访问控制列表的标准访问控制列表的应用与配置应用与配置什么是标准访问控制什么是标准访问控制列表列表访问控制列表（访问控制列表（ACLACL）是应用在路由器接是应用在路由器接口的指令列表（规口的指令列表（规则）则）ACLACL的工作原理：根的工作原理：根据预先定义好的规据预先定义好的规则对包进行过滤，则对包进行过滤，从而达到访问控制从而达到访问控制的目的的目的ACLACL的处理过程：若的处理过程：若第一条不匹配，则第一条不匹配，则依次往下进行判断，依次往下进行判断，直到有任一条语句直到有任一条语句匹配匹配ACLACL使用反码来标志使用反码来标志一个或几个地址是一个或几个地址是被允许还是

26、被拒绝被允许还是被拒绝标准访问控制列表：检查被路由的标准访问控制列表：检查被路由的数据包的源地址。其结果基于源网数据包的源地址。其结果基于源网络络/ /子网子网/ /主机主机IPIP地址来决定是允许地址来决定是允许还是拒绝转发数据包。它使用还是拒绝转发数据包。它使用1 1到到9999之间的数字作为表号之间的数字作为表号对数据包的原地址与目标地址均对数据包的原地址与目标地址均进行检查。它也能检查特定的协进行检查。它也能检查特定的协议、端口号以及其它参数。它使议、端口号以及其它参数。它使用用100100到到199199之间的数字作为表号之间的数字作为表号应用访问控制列表首先使用应用访问控制列表首先使用access-listaccess-list命令创建访问控命令创建访问控制列表，再用制列表，再用ip access-ip access-groupgroup命令把该访问控制列表命令把该访问控制列表应用到某一接口应用到某一接口可以使用一个字母数字组合的可以使用一个字母数字组合的字符串（名字）代替前面所使字符串（名字）代替前面所使用的数字（用的数字（11991199）