CCNA2010 IP访问控制列表ACL.ppt-道客多多

资源描述

1、用访问列表初步管理 IP流量,合理的矛盾:在网络设计中，如何为用户合理分配流量，又能提供安全有效的网络管理，是一个具有挑战性的难题！,172.16.0.0,172.17.0.0,Internet,管理网络中逐步增长的 IP 数据当数据通过路由器时进行过滤,为什么要使用访问列表,访问列表的应用,允许、拒绝数据包通过路由器允许、拒绝Telnet会话的建立,虚拟会话 (IP),端口上的数据传输,标准检查源地址通常允许、拒绝的是完整的协议扩展检查源地址和目的地址通常允许、拒绝的是某个特定的协议进方向和出方向,Outgoing Packet,E0,S0,Incoming Packet,A

2、ccess List Processes,Permit?,Protocol,什么是访问列表,Notify Sender,出端口方向上的访问列表,如果没有匹配的ACL就丢弃数据包,N,Y,垃圾桶,Choose Interface,Routing Table Entry ?,没有ACL,有ACL,Test Access List Statements,Permit ?,Y,Access List ?,Discard Packet,N,Outbound Interfaces,Packet,Packet,S0,E0,Inbound Interface Packets,访问列表的测试：允许和拒绝,Pac

3、kets to Interface(s) in the Access Group,垃圾桶,Y,目的端口,Deny,Y,Match First Test ?,Permit,N,Deny,Permit,Match Next Test(s) ?,Deny,Match Last Test ?,Y,Y,N,Y,Y,Permit,Implicit Deny,If no match deny all,Deny,N,Step 1:设置访问列表测试语句的参数,Router(config)#,Step 2: 在端口上应用访问列表, protocol access-group 标号 in | out,Router(

4、config-if)#,访问列表设置命令,IP 访问列表的标号为 1-99 和 100-199,access-list 标号 permit | deny test conditions ,编号范围,IP,1-99 100-199 Name (Cisco IOS 11.2 and later),800-899 900-999 1000-1099 Name (Cisco IOS 11.2. F and later),Standard Extended SAP filters Named,Standard Extended Named,访问列表类型,IPX,如何识别访问列表,标准访问列表 (1 to

5、 99) 检查 IP 数据包的源地址扩展访问列表 (100 to 199) 检查源地址和目的地址、具体的 TCP/IP 协议和目的端口其它访问列表编号范围表示不同协议的访问列表,例如 172.30.16.29 0.0.0.0 检查所有的地址位可以简写为 host (host 172.30.16.29),Test conditions: Check all the address bits (match all),172.30.16.29,0.0.0.0,(checks all bits),An IP host address, for example:,Wildcard mask:,通配

6、符掩码指明特定的主机,0 表示检查与之对应的地址位的值 1表示忽略与之对应的地址位的值,do not check address (ignore bits in octet),=,0,0,0,0,0,0,0,0,Octet bit position and address value for bit,ignore last 6 address bits,check all address bits (match all),ignore last 4 address bits,check last 2 address bits,Examples,通配符：如何检查相应的地址位,所有主机: 0.0.

7、0.0 255.255.255.255 可以用 any 简写,Test conditions: Ignore all the address bits (match any),0.0.0.0,255.255.255.255,(ignore all),Any IP address,Wildcard mask:,通配符掩码指明所有主机,Check for IP subnets 172.30.16.0/24 to 172.30.31.0/24,Network .host 172.30.16.0,Wildcard mask: 0 0 0 0 1 1 1 1|0 0 0 1 0 0 0 0 = 160

8、0 0 1 0 0 0 1 = 170 0 0 1 0 0 1 0 = 18: :0 0 0 1 1 1 1 1 = 31,Address and wildcard mask: 172.30.16.0 0.0.15.255,通配符掩码和IP子网的对应,access-list access-list-number permit|deny source mask,Router(config)#,在端口上应用访问列表指明是进方向还是出方向 “no ip access-group 编号” 命令在端口上删除访问列表,Router(config-if)#,ip access-group access-l

9、ist-number in | out ,为访问列表设置参数 IP 标准访问列表编号 1 到 99 缺省的通配符掩码 = 0.0.0.0 “no access-list access-list-number” 命令删除访问列表,标准IP访问列表的配置,只允许我自己的（172.16.0.0）网段!,access-list 1 permit 172.16.0.0 0.0.255.255 (隐藏拒绝其它所有的地址) (access-list 1 deny 0.0.0.0 255.255.255.255)interface ethernet 0 ip access-group 1 out interf

10、ace ethernet 1 ip access-group 1 out,172.16.3.0,172.16.4.0,172.16.4.13,E0,S0,E1,Non- 172.16.0.0,标准访问列表举例 1,access-list 1 deny 172.16.4.13 0.0.0.0 access-list 1 permit 0.0.0.0 255.255.255.255Int E0 ip access-group 1 out,标准访问列表举例 2,172.16.3.0,172.16.4.0,172.16.4.13,E0,S0,E1,Non- 172.16.0.0,拒绝一个指定的主机（1

11、72.16.4.13）!,access-list 1 deny host 172.16.4.13 access-list 1 permit any,access-list 1 deny 172.16.4.0 0.0.0.255 access-list 1 permit anyaccess-list 1 deny any 隐含interface ethernet 0 ip access-group 1 out,标准访问列表举例 3,172.16.3.0,172.16.4.0,172.16.4.13,E0,S0,E1,Non- 172.16.0.0,拒绝一个指定的网段!,标准和扩展访问列表比较,标

12、准,扩展,基于源地址,基于源地址和目标地址,允许和拒绝完整的 TCP/IP协议,指定TCP/IP的特定协议和端口号,编号范围 100-199和2000-2699,编号范围 1-99和1300-1999,Router(config-if)# ip access-group 标号 in | out ,扩展 IP 访问列表的配置,在端口上应用访问列表,Router(config)#,设置访问列表的参数,access-list 标号 permit | deny protocol source 通配符 port destination 通配符 port ,access-list 101 deny tc

13、p 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 21 access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 20 access-list 101 permit ip any any (implicit deny all) (access-list 101 deny ip 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255)interface ethernet 0 ip access-group 101 out,拒绝子网1

14、72.16.4.0 的数据使用路由器e0口ftp到子网172.16.3.0 允许其它数据,扩展访问列表应用举例 1,172.16.3.0,172.16.4.0,172.16.4.13,E0,S0,E1,Non- 172.16.0.0,access-list 101 deny tcp 172.16.4.0 0.0.0.255 any eq 23 access-list 101 permit ip any any (implicit deny all)interface ethernet 0 ip access-group 101 out,拒绝子网 172.16.4.0 内的主机使用路由器的 E0

15、端口建立Telnet会话允许其它数据,扩展访问列表应用举例 2,172.16.3.0,172.16.4.0,172.16.4.13,E0,S0,E1,Non- 172.16.0.0,访问列表配置指南,访问列表的编号指明了使用何种协议的访问列表每个端口、每个方向、每条协议只能对应于一条访问列表访问列表的内容决定了数据的控制顺序将限制条件严格的语句放在访问列表的最上面在访问列表的最后有一条隐含声明：deny any每一条正确的访问列表都至少应该有一条允许语句先创建访问列表，然后应用到端口上访问列表不能过滤由路由器自己产生的数据使用 no access-list number 命令

16、删除完整的访问列表标准acl和扩展acl删除时，不能删除单独一个条目 acl中把具体的条目放在前面一张acl表至少有一条permit语句,将标准访问列表置于离目的设备较近的位置 (因为看电影的人太多，有票的才能进来.我有票，哈哈!) 将扩展访问列表置于离源设备较近的位置 (到学校上课，被通知今天不上课,郁闷啊！),E0,E0,E1,S0,To0,S1,S0,S1,E0,E0,B,A,C,访问列表的放置原则,推荐：,D,ACL摆放的位置,路由器,路由器,源,in,out,路由器,目的,扩展访问表尽量放在靠近过滤源的位置。目的：不会影响其它接口上的上的数据标准访问表尽量放在靠近目的端口的位置。

17、,wg_ro_a#show ip int e0 Ethernet0 is up, line protocol is upInternet address is 10.1.1.11/24Broadcast address is 255.255.255.255Address determined by setup commandMTU is 1500 bytesHelper address is not setDirected broadcast forwarding is disabledOutgoing access list is not setInbound access list is

18、1Proxy ARP is enabledSecurity level is defaultSplit horizon is enabledICMP redirects are always sentICMP unreachables are always sentICMP mask replies are never sentIP fast switching is enabledIP fast switching on the same interface is disabledIP Feature Fast switching turbo vectorIP multicast fast

19、switching is enabledIP multicast distributed fast switching is disabled,查看访问列表,查看访问控制列表：R#show access-list,IP标准访问列表的一般配置,为什么我们禁止后，要加 access-list 1 permit any ？在标准或扩展IP或IPX的每个访问表的末尾，总有一个隐含的deny all。也就是说报文与语句不匹配，则此隐含命令将禁止该报文。,思考：我应该如何做呢？,哥学的不是网络是寂寞。,禁止主机一访问主机二；禁止主机一访问网络B；禁止网络A访问主机二；禁止网络A访问网络B；只允许主机一访问网络B；,本章结束,

展开阅读全文