思科2013年下期教学10访问控制列表

1、访问控制列表Access Control List教学目标（ Objectives ）访问控制列表2.配置标准访问控制列表3. 配置扩展访问控制列表4.配置命名访问控制列表Internet当网络访问增长时，管理IP通信当数据包通过路由器时，起到过滤作用为什么使用ACL？ACL作用1限制网络流量、提高网络性能。 2提供对通信流量的控制手段。3提供网络访问的基本安全手段。4在路由器接口处，决定哪种类型的通信流量被转发、哪种类型的通信流量被阻塞。 ACL如何工作ACL条件顺序ACL条件顺序Cisco IOS按照各描述语句在ACL中的顺序，根据各描述语句的判断条件，对数据包进行检查。一旦找到了某一匹配

2、条件，就结束比较过程，不再检查以后的其他条件判断语句。 什么是ACL？标准 ACL 检查源地址允许或拒绝整个协议族OutgoingPacketfa0/0S0/0 ingPacketAccess List ProcessesPermit?Source 扩展 ACL 检查源和目的地址通常允许或拒绝特定的协议OutgoingPacketFa0/0s0/0 ingPacketAccess List ProcessesPermit?Sourceand DestinationProtocol什么是ACL？用扩展ACL检查数据包常见端口号端口号20文件传输协议（FTP）数据21文件传输协议（FTP）程序23

3、远程登录（Telnet）25简单邮件传输协议（SMTP）69普通文件传送协议（TFTP）80超文本传输协议(HTTP)53域名服务系统（DNS）ACL表号（ACL Number ） 协议（Protocol）ACL表号的取值范围（ACL Range）IP（Internet协议）1-99Extended IP(扩展Internet协议)100-199AppleTalk600-699IPX（互联网数据包交换）800-899Extended IPX(扩展互联网数据包交换)900-999IPX service Advertising Protocol(IPX服务通告协议)1000-1099通配符掩码1.

4、是一个32比特位的数字字符串2.0表示“检查相应的位”,1表示“不检查（忽略）相应的位”特殊的通配符掩码1. Any 552. Host9 Host 9Access List 命令Step 1:定义访问控制列表access-list access-list-number permit | deny test conditions Router(config)#Router(config)#access-list 1 permit 55Step 2:将访问控制列表应用到某一接口上 protocol access-group access-list-number in | out Router(c

5、onfig-if)#Access List 命令Router(config-if)#ip access-group 1 out仅允许我的网络access-list 1 permit 55(implicit deny all - not visible in the list)(access-list 1 deny 55)interface ethernet 0ip access-group 1 outinterface ethernet 1ip access-group 1 out标准IP ACL实例13E0S0E1Non-access-list 1 deny 3 access-list 1

6、permit 255(implicit deny all)(access-list 1 deny 55)interface ethernet 0ip access-group 1 out标准IP ACL实例23E0S0E1Non-拒绝特定的主机access-list 1 deny 55access-list 1 permit any(implicit deny all)(access-list 1 deny 55)interface ethernet 0ip access-group 1 out标准IP ACL实例33E0S0E1Non-拒绝特定的子网标准ACL与扩展ACL比较标准扩展过滤基于

7、源过滤基于源和目的允许或拒绝整个协议族允许或拒绝特定的IP协议或端口范围（100-199）范围（1-99）CASE STUDY首先使得PC1所在的网络不能通过路由器R1访问PC2所在的网络。扩展ACL配置Router(config)# access-list access-list-number permit | deny protocol source source-wildcard operator port destination destination-wildcard operator port established log参数参数描述access-list-number访问控制列

8、表表号permit|deny如果满足条件，允许或拒绝后面指定特定地址的通信流量protocol用来指定协议类型，如IP、TCP、UDP、ICMP等source and destination分别用来标识源地址和目的地址source-mask通配符掩码，跟源地址相对应destination-mask通配符掩码，跟目的地址相对应operator lt,gt,eq,neq(小于，大于，等于，不等于) operand一个端口号established如果数据包使用一个已建立连接，便可允许TCP信息通过access-list 101 deny tcp 55 55 eq 21access-list 101

9、deny tcp 55 55 eq 20access-list 101 permit ip any any(implicit deny all)(access-list 101 deny ip 55 55)interface ethernet 0ip access-group 101 out拒绝从到的经过E0出方向的FTP流量允许其他所有的流量扩展ACL实例13E0S0E1Non-access-list 101 deny tcp 55 any eq 23access-list 101 permit ip any any(implicit deny all)interface ethernet

10、0ip access-group 101 out仅拒绝子网 在E0出方向的流量允许其他流量扩展ACL实例 23E0S0E1Non-使用命名IP ACLRouter(config)#ip access-list standard | extended nameIOS11.2 以后支持的特征名字字符串要唯一 使用命名IP ACL permit | deny ip access list test conditions permit | deny ip access list test conditions no permit | deny ip access list test condition

11、s Router(config std- | ext-nacl)#允许或拒绝陈述条件前没有表号可以用“NO”命令移去特定的陈述Router(config-if)# ip access-group name in | out 使用命名IP ACL在接口上激活命名ACL扩展ACL靠近源标准ACL靠近目的E0E0E1S0To0S1S0S1E0E0BAC放置ACLDwg_ro_a#show ip int e0Ethernet0 is up, line protocol is up Internet address is 1/24 Broadcast address is 55 Address dete

12、rmined by setup command MTU is 1500 bytes Helper address is not set Directed broadcast forwarding is disabled Outgoing access list is not set Inbound access list is 1 Proxy ARP is enabled Security level is default Split horizon is enabled ICMP redirects are always sent ICMP unreachables are always s

13、ent ICMP mask replies are never sent IP fast switching is enabled IP fast switching on the same interface is disabled IP Feature Fast switching turbo vector IP multicast fast switching is enabled IP multicast distributed fast switching is disabled 验证ACL监视ACL陈述条件wg_ro_a#show access-lists Standard IP access list 1 permit permit permit permit Extended IP access list 101 permit tcp host any eq telnet permit tcp host any eq ftp permit tcp host any eq ftp-datawg_ro_a#show protocol access-list access-list