访问控制列表

访问控制列表第1页，课件共44页，创作于2023年2月本章目标理解访问控制列表的工作原理（访问控制列表的作用，路由器对访问控制列表的处理过程）理解访问控制列表的反码掌握访问控制列表的种类掌握标准和扩展访问控制列表的配置方法能够利用访问控制列表对网络进行控制第2页，课件共44页，创作于2023年2月本章结构访问控制列表访问控制列表的种类访问控制列表的工作原理访问控制列表的反码访问控制列表概述扩展访问控制列表标准访问控制列表什么是扩展访问控制列表扩展访问控制列表的应用与配置命名访问控制列表标准访问控制列表的应用与配置什么是标准访问控制列表第3页，课件共44页，创作于2023年2月什么是访问控制列表访问控制列表（ACL）应用于路由器接口的指令列表，用于指定哪些数据包可以接收转发，哪些数据包需要拒绝ACL的工作原理读取第三层及第四层包头中的信息根据预先定义好的规则对包进行过滤第4页，课件共44页，创作于2023年2月访问控制列表的作用2-1提供网络访问的基本安全手段可用于QoS，控制数据流量控制通信量第5页，课件共44页，创作于2023年2月主机A主机B人力资源网络研发网络使用ACL阻止某指定网络访问另一指定网络访问控制列表的作用2-2第6页，课件共44页，创作于2023年2月实现访问控制列表的核心技术是包过滤Internet公司总部内部网络未授权用户办事处访问控制列表访问控制列表工作原理2-1第7页，课件共44页，创作于2023年2月通过分析IP数据包包头信息，进行判断（这里IP所承载的上层协议为TCP）IP报头TCP报头数据源地址目的地址源端口目的端口访问控制列表利用这4个元素定义的规则访问控制列表工作原理2-2第8页，课件共44页，创作于2023年2月匹配下一步拒绝允许允许允许到达访问控制组接口的数据包匹配第一步目的接口隐含的拒绝丢弃YYYYYYNNN路由器对访问控制列表的处理过程匹配下一步拒绝拒绝拒绝第9页，课件共44页，创作于2023年2月访问控制列表入与出3-1使用命令ipaccess-group将ACL应用到某一个接口上在接口的一个方向上，只能应用一个access-listRouter(config-if)#ipaccess-groupaccess-list-number{in|out}第10页，课件共44页，创作于2023年2月进入数据包源地址匹配吗？有更多条目吗？应用条件拒绝允许路由到接口查找路由表是是否是否Icmp消息转发数据包接口上有访问控制列表吗？列表中的下一个条目否访问控制列表入与出3-2第11页，课件共44页，创作于2023年2月外出数据包查找路由表接口上有访问控制列表吗？源地址匹配吗？拒绝允许列表中的下一个条目是是转发数据包Icmp消息否否否

有更多条目吗？访问控制列表入与出3-3应用条件是第12页，课件共44页，创作于2023年2月Deny和permit命令Router(config)#access-listaccess-list-number{permit|deny}{testconditions}允许数据包通过应用了访问控制列表的接口拒绝数据包通过第13页，课件共44页，创作于2023年2月第一步，创建访问控制列表第二步，应用到接口e0的出方向上

Router(config)#access-list1deny3Router(config)#access-list1permit55Router(config)#access-list1permit55Router(config)#interfacefastethernet0/0Router（config-if）#ipaccess-group1out访问控制列表实例第14页，课件共44页，创作于2023年2月使用通配符any和host2-1通配符any可代替55

Router(config)#access-list1permit55Router(config)#access-list1permitany第15页，课件共44页，创作于2023年2月使用通配符any和host2-2host表示检查IP地址的所有位

Router(config)#access-list1permit9Router(config)#access-list1permithost9第16页，课件共44页，创作于2023年2月访问控制列表的种类基本类型的访问控制列表标准访问控制列表扩展访问控制列表

其他种类的访问控制列表基于MAC地址的访问控制列表基于时间的访问控制列表第17页，课件共44页，创作于2023年2月扩展acl标准acl路由器B路由器C路由器D路由器AS0S0S1S1E0E0E1E0E0E1应用访问控制列表源目的第18页，课件共44页，创作于2023年2月标准访问控制列表3-1标准访问控制列表根据数据包的源IP地址来允许或拒绝数据包访问控制列表号从1到99第19页，课件共44页，创作于2023年2月标准访问控制列表3-2标准访问控制列表只使用源地址进行过滤，表明是允许还是拒绝从/24来的数据包可以通过！从/24来的数据包不能通过！路由器第20页，课件共44页，创作于2023年2月如果在访问控制列表中有的话应用条件拒绝允许更多条目？列表中的下一个条目否

有访问控制列表吗？源地址不匹配是匹配是否Icmp消息转发数据包标准访问控制列表3-3第21页，课件共44页，创作于2023年2月标准访问控制列表的配置第一步，使用access-list命令创建访问控制列表第二步，使用ipaccess-group命令把访问控制列表应用到某接口Router(config)#access-listaccess-list-number{permit|deny}source[

source-wildcard][log]Router(config-if)#ipaccess-groupaccess-list-number

{in|out}第22页，课件共44页，创作于2023年2月标准ACL应用1：允许特定源的流量2-1Non-E0E1S03第23页，课件共44页，创作于2023年2月标准ACL应用：允许特定源的流量2-2第一步，创建允许来自的流量的ACL第二步，应用到接口E0和E1的出方向上Router(config)#access-list1permit55Router(config)#interfacefastethernet0/0Router(config-if)#ipaccess-group1outRouter(config)#interfacefastethernet0/1Router(config-if)#ipaccess-group1out第24页，课件共44页，创作于2023年2月标准ACL应用：拒绝特定主机的通信流量第一步，创建拒绝来自3的流量的ACL第二步，应用到接口E0的出方向Router(config)#access-list1denyhost3Router(config)#access-list1permit55Router(config)#interfacefastethernet0/0Router(config-if)#ipaccess-group1outany第25页，课件共44页，创作于2023年2月标准ACL应用：拒绝特定子网的流量第一步，创建拒绝来自子网的流量的ACL第二步，应用到接口E0的出方向Router(config)#access-list1deny55Router(config)#access—list1permitanyRouter(config)#interfacefastethernet0/0Router（config-if）#ipaccess-group1out55第26页，课件共44页，创作于2023年2月扩展访问控制列表4-1扩展访问控制列表基于源和目的地址、传输层协议和应用端口号进行过滤每个条件都必须匹配，才会施加允许或拒绝条件使用扩展ACL可以实现更加精确的流量控制访问控制列表号从100到199

第27页，课件共44页，创作于2023年2月扩展访问控制列表4-2扩展访问控制列表使用更多的信息描述数据包，表明是允许还是拒绝从/24来的,到3的，使用TCP协议，利用HTTP访问的数据包可以通过！路由器第28页，课件共44页，创作于2023年2月有访问控制列表吗？源地址目的地址协议协议任选项应用条件拒绝允许更多条目？列表中的下一个条目不匹配否是匹配匹配匹配匹配是否Icmp消息转发数据包如果在访问控制列表中有的话扩展访问控制列表4-3不匹配不匹配不匹配第29页，课件共44页，创作于2023年2月端口号关键字描述TCP/UDP20FTP-DATA（文件传输协议）FTP（数据）TCP21FTP（文件传输协议）FTPTCP23TELNET终端连接TCP25SMTP简单邮件传输协议TCP42NAMESERVER主机名字服务器UDP53DOMAIN域名服务器（DNS)TCP/UDP69TFTP普通文件传输协议（TFTP)UDP80WWW万维网TCP扩展访问控制列表4-4第30页，课件共44页，创作于2023年2月扩展访问控制列表的配置3-1第一步，使用access-list命令创建扩展访问控制列表Router(config)#access-listaccess-list-number{permit|deny}protocol

[sourcesource-wildcarddestinationdestination-wildcard][operatorport][established][log]第31页，课件共44页，创作于2023年2月扩展访问控制列表操作符的含义操作符及语法意义eqportnumber等于端口号portnumbergtportnumber大于端口号portnumberltportnumber小于端口号portnumberneqportnumber不等于端口号portnumber扩展访问控制列表的配置3-2第32页，课件共44页，创作于2023年2月扩展访问控制列表的配置3-3第二步，使用ipaccess-group命令将扩展访问控制列表应用到某接口Router（config-if）#ipaccess-groupaccess-list-number{in|out}第33页，课件共44页，创作于2023年2月扩展ACL应用1：拒绝ftp流量通过E0第一步，创建拒绝来自、去往、ftp流量的ACL第二步，应用到接口E0的出方向Router(config)#access-list101denytcp5555eq21Router(config)#access-list101permitipanyanyRouter(config)#interfacefastthernet0/0Router（config-if）#ipaccess-group101out第34页，课件共44页，创作于2023年2月扩展ACL应用2：拒绝telnet流量通过E0第一步，创建拒绝来自、去往、telnet流量的ACL第二步，应用到接口E0的出方向上Router(config)#access-list101denytcp5555eq23Router(config)#access-list101permitipanyanyRouter(config)#interfacefastethernet0/0Router（config-if）#ipaccess-group101out第35页，课件共44页，创作于2023年2月命名的访问控制列表2-1标准ACL和扩展ACL中可以使用一个字母数字组合的字符串（名字）代替来表示ACL的表号命名IP访问列表允许从指定的访问列表删除单个条目如果添加一个条目到列表中，那么该条目被添加到列表末尾不能以同一个名字命名多个ACL在命名的访问控制列表下，permit和deny命令的语法格式与前述有所不同第36页，课件共44页，创作于2023年2月命名的访问控制列表2-2第一步，创建名为cisco的命名访问控制列表第二步，指定一个或多个permit及deny条件第三步，应用到接口E0的出方向Router（config）#interfacefastethernet0/0Router（config-if）#ipaccess-groupciscooutRouter(config)#ipaccess-listextendedciscoRouter（config-ext-nacl）#denytcp5555eq23Router（config-ext-nacl）#permitipanyany第37页，课件共44页，创作于2023年2月查看访问控制列表2-1Router#showipinterfacefastethernet0/0FastEthernet0/0isup,lineprotocolisupInternetaddressis/24Broadcastaddressis55AddressdeterminedbysetupcommandMTUis1500bytesHelperaddressisnotsetDirectedbroadcastforwardingisdisabledOutgoingaccesslistisciscoInboundaccesslistisnotsetProxyARPisenabledLocalProxyARPisdisabledSecuritylevelisdefaultSplithorizonisenabledICMPredirectsarealwayssentICMPunreachablesarealwayssentICMPmaskrepliesareneversentIPfastswitchingisenabledIPfastswitchingonthesameinterfaceisdisabled……第38页，课件共44页，创作于2023年2月查看访问控制列表2-2Router#showaccess-listExtendedIPaccesslistcisco10denytcp5555eqtelnet20permitipanyany第39页，课件共44页，创作于2023年2月本章总结访问控制列表访问控制列表的种类访问控制列表的工作原理访问控制列表的反码访问控制列表概述扩展访问控制列表标准访问控制列表什么是扩展访问控制列表扩展访问控制列表的应用与配置命名访问控制列表标准访问控制列表的应用与配置什么是标准访问控制列表访问控制列表（ACL）是应用在路由器接口的指令列表（规则）ACL的工作原理：根据预先定义好的规则对包进行过滤，从而达到访问控制的目的ACL的处理过程：若第一条不匹配，则依次往下进行判断，直到有任一条语句匹配ACL使用反码来标志一个或几个地址是被允许还是被拒绝标准访问控制列表：检查被路由的数据包的源地址。其结果基于源网络/子网/主机IP地址来决定是允许还是拒绝转发数据包。它使用1到99之间的数字作为表号对数据包的原地址与目标地址均进行检查。它也能检查特定的协议、端口号以及其它参数。它使用100到199之间的数字作为表号应用访问控制列表首先使用access-list命令创建访问控制列表，再用ipaccess-group命令把该访问控制列表应用到某一接口可以使用一个字母数字组合的字符串