ACL访问控制列表.课件

1、第八章用访问列表初步管理 IP流量第1页，共46页。管理网络中逐步增长的 IP 数据为什么要使用访问列表第2页，共46页。Internet管理网络中逐步增长的 IP 数据当数据通过路由器时进行过滤为什么要使用访问列表第3页，共46页。 标准检查源地址通常允许、拒绝的是完整的协议OutgoingPacketE0S0IncomingPacketAccess List ProcessesPermit?Source什么是访问列表第4页，共46页。 标准检查源地址通常允许、拒绝的是完整的协议扩展检查源地址和目的地址通常允许、拒绝的是某个特定的协议OutgoingPacketE0S0IncomingPac

2、ketAccess List ProcessesPermit?Sourceand DestinationProtocol什么是访问列表第5页，共46页。 标准检查源地址通常允许、拒绝的是完整的协议扩展检查源地址和目的地址通常允许、拒绝的是某个特定的协议进方向和出方向 OutgoingPacketE0S0IncomingPacketAccess List ProcessesPermit?Sourceand DestinationProtocol什么是访问列表第6页，共46页。关于 In 和OutInout数据流向第7页，共46页。访问列表的测试：允许和拒绝Packets to interface

3、sin the access groupPacket Discard BucketYInterface(s)DestinationDenyDenyYMatchFirstTest?Permit第8页，共46页。访问列表的测试：允许和拒绝Packets to Interface(s)in the Access GroupPacket Discard BucketYInterface(s)DestinationDenyDenyYMatchFirstTest?PermitNDenyPermitMatchNextTest(s)?YY第9页，共46页。访问列表的测试：允许和拒绝Packets to Int

4、erface(s)in the Access GroupPacket Discard BucketYInterface(s)DestinationDenyDenyYMatchFirstTest?PermitNDenyPermitMatchNextTest(s)?DenyMatchLastTest?YYNYYPermit第10页，共46页。访问列表的测试：允许和拒绝Packets to Interface(s)in the Access GroupPacket Discard BucketYInterface(s)DestinationDenyYMatchFirstTest?PermitNDen

5、yPermitMatchNextTest(s)?DenyMatchLastTest?YYNYYPermitImplicit DenyIf no matchdeny allDenyN第11页，共46页。访问列表配置指南Access list numbers访问列表的编号指明了使用何种协议的访问列表进行过滤每个端口、每个方向、每条协议只能对应于一条访问列表访问列表是由上至下一条一条执行的。 具有严格限制条件的语句应放在访问列表所有语句的最上面在访问列表的最后有一条隐含声明：implicit deny any 每一条正确的访问列表都至少应该有一条允许语句先创建访问列表，然后应用到端口上访问列表不能过

6、滤由路由器自己产生的数据第12页，共46页。访问列表设置命令Step 1: 设置访问列表测试语句的参数access-list access-list-number permit | deny test conditions Router(config)#第13页，共46页。Step 1:设置访问列表测试语句的参数Router(config)#Step 2: 在端口上应用访问列表 protocol access-group access-list-number in | out Router(config-if)#访问列表设置命令IP 访问列表的标号为 1-99 和 100-199access-

7、list access-list-number permit | deny test conditions 第14页，共46页。编号范围IP 1-99100-199Name (Cisco IOS 11.2 and later)800-899900-9991000-1099Name (Cisco IOS 11.2. F and later)StandardExtendedSAP filtersNamedStandardExtendedNamed访问列表类型IPX如何识别访问列表标准访问列表 (1 to 99) 检查 IP 数据包的源地址扩展访问列表 (100 to 199) 检查源地址和目的地址

8、、具体的 TCP/IP 协议和目的端口其它访问列表编号范围表示不同协议的访问列表第15页，共46页。SourceAddressSegment(for example, TCP header)DataPacket(IP header)Frame Header(for example, HDLC)DenyPermit Useaccess list statements1-99 用标准访问列表测试数据第16页，共46页。DestinationAddressSourceAddressProtocolPortNumberSegment(for example, TCP header)DataPacket

9、(IP header)Frame Header(for example, HDLC) Useaccess list statements1-99 or 100-199 to test thepacket DenyPermitAn Example from a TCP/IP Packet用扩展访问列表测试数据第17页，共46页。0 表示检查与之对应的地址位的值1表示忽略与之对应的地址位的值do not check address (ignore bits in octet)=001111111286432168421=00000000=00001111=11111100=11111111Octe

10、t bit position and address value for bitignore last 6 address bitscheck all address bits(match all)ignore last 4 address bitscheck last 2 address bitsExamples通配符：如何检查相应的地址位第18页，共46页。例如 9 检查所有的地址位 可以简写为 host (host 9)Test conditions: Check all the address bits (match all) 9(checks all bits)An IP host

11、address, for example:Wildcard mask:通配符掩码指明特定的主机第19页，共46页。所有主机: 55可以用 any 简写Test conditions: Ignore all the address bits (match any) 55(ignore all)Any IP addressWildcard mask:通配符掩码指明所有主机第20页，共46页。Check for IP subnets /24 to /24Network .host 00010000Wildcard mask: 0 0

12、0 0 1 1 1 1 | 0 0 0 1 0 0 0 0 = 16 0 0 0 1 0 0 0 1 =17 0 0 0 1 0 0 1 0 =18: : 0 0 0 1 1 1 1 1 =31Address and wildcard mask: 55通配符掩码和IP子网的对应第21页，共46页。 1999, Cisco Systems, Inc. 10-22Part.2 配置标准的 IP 访问列表第22页，共46页。标准IP访问列表的配置access-list access-list-number permit|deny source maskRouter(config)#为访问列表设置参数

13、IP 标准访问列表编号 1 到 99缺省的通配符掩码 = “no access-list access-list-number” 命令删除访问列表，不能只删除其中的一条语句第23页，共46页。access-list access-list-number permit|deny source maskRouter(config)#在端口上应用访问列表指明是进方向还是出方向“no ip access-group access-list-number” 命令在端口上删除访问列表Router(config-if)#ip access-group access-list-number in | out

14、为访问列表设置参数IP 标准访问列表编号 1 到 99缺省的通配符掩码 = “no access-list access-list-number” 命令删除访问列表标准IP访问列表的配置第24页，共46页。3E0S0E1标准访问列表举例 1access-list 1 permit 0.0. 0.255(implicit deny all - not visible in the list)(access-list 1 deny 55)第25页，共46页。Permit my network onlyaccess-list 1 permit 55(implicit deny all - not v

15、isible in the list)(access-list 1 deny 55)interface ethernet 0ip access-group 1 outinterface ethernet 1ip access-group 1 out3E0S0E1标准访问列表举例 1第26页，共46页。 1999, Cisco Systems, Inc. 10-27Part.3 用访问列表控制vty访问第27页，共46页。在路由器上过滤vty五个虚拟通道 (0 到 4)路由器的vty端口可以过滤数据在路由器上执行vty访问的控制01234Virtual ports (vty 0 through

16、4)Physical port e0 (Telnet)Console port (direct connect)consolee0Access-class always use standard access-list to match the source address of the incoming telnet session and the destination address of the outgoing telnet session.第28页，共46页。如何控制vty访问01234Virtual ports (vty 0 through 4)Physical port (e0

17、) (Telnet)使用标准访问列表语句用 access-class 命令应用访问列表在所有vty通道上设置相同的限制条件Router#e0第29页，共46页。虚拟通道的配置指明vty通道的范围在访问列表里指明方向access-class access-list-number in|outline vty#vty# | vty-rangeRouter(config)#Router(config-line)#第30页，共46页。虚拟通道访问举例只允许网络 内的主机连接路由器的 vty 通道access-list 12 permit 55!line vty 0 4 access-class 12

18、inControlling Inbound Access第31页，共46页。 1999, Cisco Systems, Inc. 10-32Part.4 扩展 IP 访问列表的配置第32页，共46页。标准访问列表和扩展访问列表比较标准扩展基于源地址基于源地址和目标地址允许和拒绝完整的TCP/IP协议指定TCP/IP的特定协议和端口号编号范围 100 到 199.编号范围 1 到 99第33页，共46页。扩展 IP 访问列表的配置Router(config)#设置访问列表的参数access-list access-list-number permit | deny protocol source

19、 source-wildcard operator port destination destination-wildcard operator port established loglista number between 100 and 199protocolip, tcp, udp, icmp, igrp, eigrp, ospf and etc.ip = any internet protocolsourceip address source-maskwildcard-mask destinationip addressdestination-maskwildcard-maskope

20、ratorlt, gt, eq, neqoperanda port number or application name (i.e. “23” or “telnet”)established-only allow established tcp session coming in (ack or rst bit must be set)log-generates a console message when a packet matches the access-list statement第34页，共46页。Router(config-if)# ip access-group access-

21、list-number in | out 扩展 IP 访问列表的配置在端口上应用访问列表设置访问列表的参数Router(config)# access-list access-list-number permit | deny protocol source source-wildcard operator port destination destination-wildcard operator port established log第35页，共46页。拒绝子网 的数据使用路由器e0口ftp到子网 允许其它数据3E0S0E1Non-扩展访问列表应用举例 1access-list 101

22、deny tcp 55 55 eq 21access-list 101 deny tcp 55 55 eq 20第36页，共46页。拒绝子网 的数据使用路由器e0口ftp到子网 允许其它数据扩展访问列表应用举例 13E0S0E1Non-access-list 101 deny tcp 55 55 eq 21access-list 101 deny tcp 55 55 eq 20access-list 101 permit ip any any(implicit deny all)(access-list 101 deny ip 55 55)第37页，共46页。access-list 101 d

23、eny tcp 55 55 eq 21access-list 101 deny tcp 55 55 eq 20access-list 101 permit ip any any(implicit deny all)(access-list 101 deny ip 55 55)interface ethernet 1ip access-group 101 in拒绝子网 的数据使用路由器e0口ftp到子网 允许其它数据扩展访问列表应用举例 13E0S0E1Non-第38页，共46页。使用名称访问列表Router(config)#ip access-list standard | extended

24、name适用于IOS版本号为11.2以后所使用的名称必须一致第39页，共46页。使用名称访问列表Router(config)#ip access-list standard | extended name permit | deny ip access list test conditions permit | deny ip access list test conditions no permit | deny ip access list test conditions Router(config std- | ext-nacl)#适用于IOS版本号为11.2以后所使用的名称必须一致允许

25、和拒绝语句不需要访问列表编号 “no” 命令删除访问列表第40页，共46页。Router(config)# ip access-list standard | extended nameRouter(config std- | ext-nacl)# permit | deny ip access list test conditions permit | deny ip access list test conditions no permit | deny ip access list test conditions Router(config-if)# ip access-group na

26、me in | out 使用名称访问列表适用于IOS版本号为11.2以后所使用的名称必须一致允许和拒绝语句不需要访问列表编号 “no” 命令删除访问列表在端口上应用访问列表第41页，共46页。访问列表配置准则访问列表中限制语句的位置是至关重要的将限制条件严格的语句放在访问列表的最上面使用 no access-list number 命令删除完整的访问列表例外: 名称访问列表可以删除单独的语句隐含声明 deny all在设置的访问列表中要有一句 permit any第42页，共46页。将扩展访问列表置于离源设备较近的位置将标准访问列表置于离目的设备较近的位置E0E0E1S0To0S1S0S1E0

27、E0BAC访问列表的放置原则推荐：D第43页，共46页。wg_ro_a#show ip int e0Ethernet0 is up, line protocol is up Internet address is 1/24 Broadcast address is 55 Address determined by setup command MTU is 1500 bytes Helper address is not set Directed broadcast forwarding is disabled Outgoing access list is not set Inbound access list is 1 Proxy ARP is enabled Security level is default Split horizon is enabled ICMP redirects are always sent ICMP unreachables are always sent ICMP mask replies ar