当前位置:文档之家 › 第六讲 访问控制列表.0

第六讲 访问控制列表.0

  • 格式:ppt
  • 大小:1.48 MB
  • 文档页数:57

下载文档原格式

  / 57

合集下载

访问控制列表

访问控制列表

access-list 101 permit tcp 172.16.2.0 0.0.0.255 host 172.16.4.44 eq www interface f1/0 ip access-group 101 in
例2
access-list 102 deny tcp 172.16.1.0 0.0.0.255 host 172.16.4.44 eq www 要求:对如下网络进行数据流量控制,要求销售部仅能访 access-list 102 permit ip any any 问财务部的web服务器的www服务,但经理部不能访问财 interface f0/0 务部web服务器的www服务,其他服务能够访问。 ip access-group 102 in
选择离开接口
路由器取出外向ACL的第一条语句 取出外向ACL 下一条语句 匹配项与数据包中的各项进行比较
是否匹配?
最后一条?
允许还是拒绝?
拒绝
允许
数据包从离开接口送出
丢弃
结束
通配符掩码
通配符掩码 0.0.0.0 0.0.0.255 0.0.255.255 0.255.255.255 255.255.255.255 0.0.15.255 0.0.3.255 掩码的二进制形式 00000000.00000000.00000000.00000000 00000000.00000000.00000000.11111111 00000000.00000000.11111111.11111111 00000000.11111111.11111111.11111111 11111111.11111111.11111111.11111111 00000000.00000000.00001111.11111111 00000000.00000000.00000011.11111111 描 述 整个lP地址必须匹配 只有前24位需要匹配 只有前16位需要匹配 只有前8位需要匹配 全部不需要匹配 只有前20位需要匹配 只有前22位需要匹配

如何设置局域网的访问控制列表

如何设置局域网的访问控制列表

如何设置局域网的访问控制列表局域网(Local Area Network,LAN)是一个相对独立的网络环境,通常是在企业、学校或家庭中使用的。

为了保护局域网的安全性,访问控制列表(Access Control List,ACL)是一项非常重要的设置。

通过ACL,我们可以限制局域网中设备的访问权限,确保只有授权的设备可以进入网络。

本文将详细介绍如何设置局域网的访问控制列表,以帮助您增强网络的安全性。

一、了解访问控制列表的概念与作用访问控制列表是一种网络安全技术,用于控制网络资源访问的权限。

它可以根据特定的规则来限制或允许设备、用户或者应用程序对网络资源的访问。

访问控制列表的作用主要体现在以下两个方面:1.1 设备过滤:ACL可以根据设备的MAC地址、IP地址或其他特征信息,对设备的访问进行过滤,只允许特定的设备进入局域网。

1.2 服务控制:ACL可以根据设备或用户对特定服务(如Web访问、邮件服务等)的访问策略进行控制,确保只有授权的设备或用户能够使用。

二、设置局域网的访问控制列表要设置局域网的访问控制列表,我们可以采取以下步骤:2.1 确定访问控制策略:在设置ACL之前,需要明确访问控制的策略,即要允许哪些设备或用户进入网络,要限制哪些设备或用户的访问。

根据实际需求,可以制定具体的策略,例如只允许特定的MAC地址进入局域网。

2.2 配置ACL规则:根据策略进行ACL规则的配置。

ACL规则通常包括源地址、目标地址和许可或拒绝的动作。

2.3 应用ACL规则:将配置好的ACL规则应用到局域网的相关设备上,以生效。

2.4 监测和更新ACL:定期监测ACL的效果,对ACL规则进行必要的更新和优化,以保持网络的安全性。

三、常见的访问控制列表配置场景以下是几种常见的访问控制列表配置场景:3.1 基于MAC地址的ACL:通过指定允许或拒绝特定MAC地址的方式进行访问控制,适用于对设备进行细粒度控制的场景。

3.2 基于IP地址的ACL:通过指定允许或拒绝特定IP地址的方式进行访问控制,适用于对特定IP地址进行控制的场景。

访问控制列表

访问控制列表

访问控制列表访问控制列表是应用在路由器接口的指令列表,这些指令列表用来告诉路由器哪些数据包可以接收、哪些数据包需要拒绝。

定义访问控制是网络安全防范和保护的主要策略,它的主要任务是保证网络资源不被非法使用和访问。

它是保证网络安全最重要的核心策略之一。

访问控制涉及的技术也比较广,包括入网访问控制、网络权限控制、目录级控制以及属性控制等多种手段。

访问控制列表(ACL)是应用在路由器接口的指令列表。

这些指令列表用来告诉路由器哪能些数据包可以收、哪能数据包需要拒绝。

至于数据包是被接收还是拒绝,可以由类似于源地址、目的地址、端口号等的特定指示条件来决定。

访问控制列表不但可以起到控制网络流量、流向的作用,而且在很大程度上起到保护网络设备、服务器的关键作用。

作为外网进入企业内网的第一道关卡,路由器上的访问控制列表成为保护内网安全的有效手段。

此外,在路由器的许多其他配置任务中都需要使用访问控制列表,如网络地址转换(Network Address Translation,NAT)、按需拨号路由(Dial on Demand Routing,DDR)、路由重分布(Routing Redistribution)、策略路由(Policy-Based Routing,PBR)等很多场合都需要访问控制列表。

访问控制列表从概念上来讲并不复杂,复杂的是对它的配置和使用,许多初学者往往在使用访问控制列表时出现错误。

几种访问控制列表的简要总结1.标准IP访问控制列表一个标准IP访问控制列表匹配IP包中的源地址或源地址中的一部分,可对匹配的包采取拒绝或允许两个操作。

编号范围是从1到99的访问控制列表是标准IP访问控制列表。

2.扩展IP访问控制列表扩展IP访问控制列表比标准IP访问控制列表具有更多的匹配项,包括协议类型、源地址、目的地址、源端口、目的端口、建立连接的和IP优先级等。

编号范围是从100到199的访问控制列表是扩展IP访问控制列表。

访问控制列表

访问控制列表

第十章访问控制列表配置教学目的:1.了解访问控制列表的作用2.了解标准访问控制列表与扩展访问列表的异同3.掌握访问控制列表的原理4.掌握访问列表的配置方法知识点:1.访问列表2.包过滤3.流量控制4.通配掩码10.1 访问控制列表(access-list)一、访问列表的作用访问控制列表是在使用路由技术的网络中,识别和过滤进入到网络或发出去的符合规定条件的数据流量,以决定是否允许发送或丢弃数据流量。

访问控制是控制流量的一种方法,是实现防火墙的重要手段。

二、访问列表的应用1.在物理接口上应用访问控制列表实现流量控制。

2.在虚拟终端线路接口(vty)应用访问控制列表,实现对登录用户的控制。

3.还可以应用到队列技术、按需拨号、VPN、NA T等。

三、访问列表的工作流程1.进方向上的工作流程:2.出方向上的工作流程:四、访问列表的控制条件根据IP数据包中包含的信息,可以对数据包的源IP地址、目的IP地址、被路由的协议类型、数据要访问的端口等作为判断条件。

五、访问列表执行流程访问控制列表实际上是一些列判断语句,被过滤的数据包会一个个和这些条件语句进行比较,当符合条件则执行操作(permit或deny );否则进行下一条件判断。

六、注意事项1.访问控制列表的列表号指出是哪种协议的访问控制列表。

即每种协议(IP、IPX等)定义一个访问控制列表。

2.一个访问控制列表的配置是每协议、每接口、每方向的。

每种协议可以定义进出两个控制访问控制列表。

3.访问控制列表的顺序决定了对数据包控制顺序。

4.在访问控制列表最后,有一条隐含的“全部拒绝”命令,因此在控制列表里至少有一条“允许”语句。

5.访问控制列表只能过滤穿过路由器的数据流量,不能过滤路由器本身发出的数据包。

10.2 访问控制列表分类访问控制列表有两种类型:标准访问控制列表、扩展访问控制列表。

✓标准访问控制列表判断条件是数据包的源IP地址,只能过滤来自某个网络或主机的数据包。

访问控制列表AccessList

访问控制列表AccessList

访问控制列表AccessList路由器使用访问控制列表(ACL)来识别数据流,然后对其进行过滤、加密、分类或转换,以更好地管理和控制网络的功能。

标准访问列表:编号1-99或1300-1999,只检查分组的源地址,允许或禁止整个协议簇的分组通过。

扩展访问列表:编号100-199或2000-2699,检查分组的源地址、目标地址、协议、端口号和其他参数。

重点:1、入站访问列表的效率比出站访问列表高;2、路由器按顺序自上而下地处理访问列表中的语句;3、将具体条件放在一般性条件前,将常发生的条件放在不常发生的条件前;4、访问列表的最后有一条隐式的deny语句(access-list 1 deny any),分组将被禁止通过;5、新添的语句总被放在访问列表末尾,隐式的前面;6、使用编号访问列表时不能有选择性的删除其中一条语句,但使用名称访问列表可以(IOS11.2以上);7、在每个接口的每个方向上针对每种协议的访问列表只能有一个,同一个接口上可以有多个访问列表,但必须是针对不同协议的。

等价写法:access-list 1 deny 172.16.4.3 0.0.0.0 = access-list 1 deny host 172.16.4.3 access-list 1 permit 0.0.0.0 255.255.255.255 = access-list permit any拒绝172.16.1.1访问192.168.1.1上的telnet服务,其余主机可以:rt(config)#access-list 101 deny tcp host 172.16.1.1 host 192.168.1.1 eq telnet rt(config)#access-list 101 permit ip any any172.16.x.y,当x为偶数,y为奇数时允许,其他拒绝:rt(config)#access-list 1 permit 172.16.0.1 0.0.254.254rt(config)#access-list 1 deny 172.16.0.0 0.0.255.255命名列表:rt(config)#ip access-list standard list_namert(config-std-nacl)#permit 1.1.0.1 0.0.254.254rt(config-std-nacl)#deny 1.1.0.0 0.0.255.255access-list 有关收藏Chapter9 Managing Traffic with Access ListsIntroduction to Access Lists访问列表(access list,ACL)的主要作用是过滤你不想要的数据包.设置ACL的一些规则:1.按顺序的比较,先比较第一行,再比较第二行..直到最后1行2.从第一行起,直到找到1个符合条件的行;符合以后,其余的行就不再继续比较下去3.默认在每个ACL中最后1行为隐含的拒绝(deny),如果之前没找到1条许可(permit)语句,意味着包将被丢弃.所以每个ACL必须至少要有1行permit语句,除非你想想所有数据包丢弃2种主要的访问列表:1.标准访问列表(standard access lists):只使用源IP地址来做过滤决定2.扩展访问列表(extended access lists):它比较源IP地址和目标IP地址,层3的协议字段,层4端口号来做过滤决定利用ACL来过滤,必须把ACL应用到需要过滤的那个router的接口上,否则ACL是不会起到过滤作用的.而且你还要定义过滤的方向,比如是是想过滤从Internet到你企业网的数据包呢还是想过滤从企业网传出到Internet的数据包呢?方向分为下面2种:1.inbound ACL:先处理,再路由2.outbound ACL:先路由,再处理一些设置ACL的要点:1.每个接口,每个方向,每种协议,你只能设置1个ACL2.组织好你的ACL的顺序,比如测试性的最好放在ACL的最顶部3.你不可能从ACL从除去1行,除去1行意味你将除去整个ACL,命名访问列表(named access lists)例外(稍后介绍命名访问列表)4.默认ACL结尾语句是deny any,所以你要记住的是在ACL里至少要有1条permit语句5.记得创建了ACL后要把它应用在需要过滤的接口上6.ACL是用于过滤经过router的数据包,它并不会过滤router本身所产生的数据包7.尽可能的把IP标准ACL放置在离目标地址近的地方;尽可能的把IP扩展ACL放置在离源地址近的地方Standard Access Lists介绍ACL设置之前先介绍下通配符掩码(wildcard masking).它是由0和255的4个8位位组组成的.0代表必须精确匹配,255代表随意,比如:172.16.30.0 0.0.0.255,这个告诉router前3位的8位位组必须精确匹配,后1位8位位组的值可以为任意值.如果你想指定172.16.8.0到172.16.15.0,则通配符掩码为0.0.7.255(15-8=7)配置IP标准ACL,在特权模式下使用access-lists [范围数字] [permit/deny] [any/host]命令.范围数字为1到99和1300到1999;permit/deny分别为允许和拒绝;any为任何主机,host为具体某个主机(需要跟上IP地址)或某1段我们来看1个设置IP标准ACL的实例:router有3个LAN的连接1个Internet的连接.现在,销售部的用户不允许访问金融部的用户,但是允许他们访问市场部和Internet连接.配置如下:Router(config)#access-list 10 deny 172.16.40.0 0.0.0.255Router(config)#access-list 10 permit any注意隐含的deny any,所以末尾这里我们要加上permit any,any等同于0.0.0.0 255.255.255.255.接下来把ACL应用在接口上,之前说过了尽可能的把IP标准ACL放置在离目标地址近的地方,所以使用ip access-group命令把ACL 10放在E1接口,方向为出,即out.如下:Router(config)#int e1Router(config-if)#ip access-group 10 outControlling VTY(Telnet) Access使用IP标准ACL来控制VTY线路的访问.配置步骤如下:1.创建个IP标准ACL来允许某些主机可以telnet2.使用access-class命令来应用ACL到VTY线路上实例如下:Router(config)#access-list 50 permit 172.16.10.3Router(config)#line vty 0 4Router(config-line)#access-class 50 in如上,进入VTY线路模式,应用ACL,方向为进来,即in.因为默认隐含的deny any,所以上面的例子,只允许IP地址为172.16.10.3的主机telnet到router上Extended Access Lists扩展ACL:命令是access-list [ACL号] [permit/deny] [协议] [源地址] [目标地址] [操作符] [端口] [log].ACL号的范围是100到199和2000到2699;协议为TCP,UDP等,操作符号有eq(表等于),gt(大于),lt(小于)和neq(非等于)等等;log为可选,表示符合这个ACL,就记录下这些日志来看1个配置扩展ACL的实例:假如要拒telnet和FTP到绝位于金融部的主机172.16.30.5,配置如下:Router(config)#access-list 110 deny tcp any host 172.16.30.5 eq 21Router(config)#access-list 110 deny tcp any host 172.16.30.5 eq 23Router(config)#access-list 110 permit ip any any记住默认隐含的deny all.应用到E1接口,注意方向为out,如下:Router(config)#int e1Router(config-if)#ip access-group 110 outNamed Access Lists命名访问列表是创建标准和扩展访问列表的另外1种方法.它允许你使用命名的方法来创建和应用标准或者扩展访问列表.使用ip access-list命令来创建,如下:Router(config)#ip access-list ?extended Extended Acclogging Control access list loggingstandard Standard Access ListRouter(config)#ip access-list standard ?<1-99> Standard IP access-list numberWORD Access-list nameRouter(config)#ip access-list standard BlockSalesRouter(config-std-nacl)#?Standard Access List configuration commands:default Set a command to its defaultsdeny Specify packets to rejectexit Exit from access-list configuration modeno Negate a command or set its defaultpermit Specify packets to forwardRouter(config-std-nacl)#deny 172.16.40.0 0.0.0.255Router(config-std-nacl)#permit anyRouter(config-std-nacl)#exitRouter(config)#^ZRouter#sh run(略)!ip access-list standard BlockSalesdeny 172.16.40.0 0.0.0.255permit any!(略)接下来应用到接口上,如下:Router(config)#int 1Router(config-if)#ip access-group BlockSales outRouter(config-if)#^ZRouter#Monitoring Access Lists一些验证ACL的命令,如下:1.show access-list:显示router上配置了的所有的ACL信息,但是不显示哪个接口应用了哪个ACL的信息2.show access-list [number]:显示具体第几号ACL信息,也不显示哪个接口应用了这个ACL3.show ip interface:只显示IP访问列表信息4.show ip interface:显示所有接口的信息和配置的ACL信息5.show ip interface [接口号]:显示具体某个接口的信息和配置的ACL信息6.show running-config:显示DRAM信息和ACL信息,以及接口对ACL的应用信息.关于RIP路由选择信息协议(Routing Information Protocol)是一种距离矢量路由选择协议,使用跳数作为度量值来选择路径,最大跳数15跳,最多6条路径间负载均衡。

网络安全实验6:访问控制列表

网络安全实验6:访问控制列表

访问控制列表(ACL)基本的配置以及详细讲解2009-09-22 00:02:26标签:控制列表配置职场休闲【网络环境】网络时代的高速发展,对网络的安全性也越来越高。

西安凌云高科技有限公司因为网络建设的扩展,因此便引入了访问控制列表(ACL)来进行控制,作为网络管理员我们应该怎么来具体的实施来满足公司的需求呢?【网络目的】明白ACL访问控制列表的原理、以及正确的配置;按照网络拓扑图的要求来正确的连接设备。

创建访问控制列表来满足我们所定义的需求;【网络拓扑】【实验步骤】第一步:配置Router1的端口IP地址:(注意:在配置之前我们先要明白ACL访问控制列表的工作原理;ACL访问控制列表的原理是它是以包过滤技术,在路由器上读取OSI7层模型的第三层和第四层包头中的信息,根据自己预先定义好的规则,对包进行过滤,从而来达到访问控制的目的。

我们在配置IP地址的时候肯定会不明白为什么所配置的I P地址不在一个网段?但是又怎么样才能让它们互相通信?根据拓扑图:我们所看到的E0/1和E0/2和E0/0它们分别互连着交换机、PC 机而我们这样做的原因就是为了ACL访问控制列表对流量的归类,AC L通过在接口路由器上接口出控制数据包是转发还是丢弃,来过滤通信流量。

路由器根据ACL访问控制列表中的条件来检测通过路由器的数据包是,从而来决定该数据包是转发还是丢弃!!!)第二步:配置Router2的端口IP地址:(注意:ACL访问控制列表分为最基本的两种,它们是标准访问控制列表和扩展访问控制列表:标准访问控制列表和扩展访问控制列表有什么区别呢?标准的访问控制列表检查被路由器的源地址。

结果是基于源网络/子网/主机的IP地址,来决定该数据包是转发还是拒绝该数据包;它所使用1~99之间的数字作为表号。

扩展访问控制列表是对数据包的源地址和目的地址均进行检查,它也可以检查特定的协议、端口号以及其他的修改参数。

它所使用的是100~199之间的数字作为表号;我们在这里只对标准访问控制列表和扩展访问控制列表进行说明;还有一些例如:基于时间的访问控制列表基于动态访问控制列表等一些新的类型、ACL的定义的是基于协议的。

访问控制列表(ACL)总结配置与应用

………… interface FastEthernet0/0 ip address 192.168.1.1 255.255.255.0 ip access-group 101 in duplex auto speed auto
三、 命名访问控制列表
命名访问控制列表允许在标准和扩展访问控制列表中使用名称代替表号。 1、 命名访问控制列表的配置 Router(config)#ip access-list {standard | extended} access-list-name
扩展 ACL 配置实例
如图:配置允许主机 PC 访问 WEB 服务的 WWW 服务,而禁止主机 PC 访问 WEB 的其他 服务。
1、 分析哪个接口应用标准 ACL
应用在入站还是出站接口。 与标准 ACL 一样,应该尽量把 ACl 应用到入站方向
应用在哪台路由器上。 由于扩展 ACL 可以根据源 IP 地址。目的 IP 地址、指定协议、端口等过滤数据包,
3、 将 ACL 应用于接口
创建 ACL 后,只有将 ACL 应用于接口,ACL 才会生效。 Router(config)#ip access-group access-list-number {in | out }
参数 in|out 用来指示该 ACL 是应用到入站接口(in),还是初战接口(out)。 在接口上取消 ACL 的应用 Router(config)#no ip access-group acess-list-number (in | out)
access-llist-number:访问控制列表表号,对于扩展 ACL 来书是 100-199; permit | deny:如果满足条件,则允许|拒绝该流量; protocol:用于指定协议类型,如 IP、TCP、UDP、ICMP 等; source、destination:源和目的,分别用来表示源地址和目的地址; source-wildcard、destination-wildcard:反码。源地址和目标地址的反码; operator operan:lt(小于)、gt(大于)、eq(等于)、neq(不等于)和一个 端口。

计算机网络第6章 访问控制列表


2019/12/31
网络互联及应用
7
访问控制列表的原理
ACL实际上是一系列的判断语句,这些语句是一种自 上而下的逻辑排列关系。当把一个ACL放置在接口上 时,被过滤的数据包会一个个地和这些语句的条件进 行顺序的比较,以找出符合条件的数据包。当数据包 不能符合一条语句的条件时,它将与下一条语句的条 件比较,直到它符合某一条语句的条件为止。如果一 个数据包与所有语句的条件都不能匹配,在ACL的最 后有一条隐含的语句,它将会强制性地把这个数据包 丢弃,如图2所示。
ACL只能过滤经过路由器的数据包,对于过滤的。
除了在串行接口、以太网接口等物理接口上应用ACL以实现控制数据流量的功 能以外,ACL还具有很多其它的应用方式,比如在虚拟终端线路接口(vty) 上应用ACL,以实现允许网管员通过vty 接口远程登录(telnet)路由器的同时, 阻止没有权限的用户远程登录路由器的功能。另外,ACL还可以应用在队列技 术、按需拨号、NAT、基于策略的路由等多种技术中。
项目描述
访问控制列表
2019/12/31
网络互联及应用
1
项目背景
• 三方培训学校的校园内网,由主校区、分校区及生活 区三大块组成,三个区域均通过Cisco Catalyst2621型 路由器进行连接,并通过主校区的路由器连接到外网。 分校区通过Cisco Catalyst2950交换机连接汽车培训部 的若干台主机,生活区通过Cisco Catalyst2950交换机 连接学生宿舍的若干台主机,网络拓扑结构如图1所示。
2019/12/31
网络互联及应用
10
访问控制列表的分类
2019/12/31
网络互联及应用
11
应用访问控制列表的注意事项

访问控制列表

访问控制列表1、访问控制列表的概念访问控制列表(Access Control List,ACL) 是路由器接口的指令列表,用来控制端口进出的数据包。

访问列表(access-list)就是一系列允许和拒绝条件的集合,通过访问列表可以过滤发进和发出的信息包的请求,实现对路由器和网络的安全控制。

路由器一个一个地检测包与访问列表的条件,在满足第一个匹配条件后,就可以决定路由器接收或拒收该包。

2、ACL的作用1)ACL可以限制网络流量、提高网络性能。

2)ACL提供对通信流量的控制手段。

3)ACL是提供网络安全访问的基本手段。

4)ACL可以在路由器端口处决定哪种类型的通信流量被转发或被阻塞。

3、ACL的分类ACL包括两种类型:1)标准访问列表:只检查包的源地址。

2)扩展访问列表:既检查包的源地址,也检查包的目的地址,也可以检查特殊的协议类型、端口以及其他参数,具有更大的自由度。

4、ACL的执行过程一个端口执行哪条ACL,这需要按照列表中的条件语句执行顺序来判断。

如果一个数据包的报头跟表中某个条件判断语句相匹配,那么后面的语句就将被忽略,不再进行检查。

数据包只有在跟第一个判断条件不匹配时,它才被交给ACL中的下一个条件判断语句进行比较。

如果匹配(假设为允许发送),则不管是第一条还是最后一条语句,数据都会立即发送到目的接口。

如果所有的ACL判断语句都检测完毕,仍没有匹配的语句出口,则该数据包将视为被拒绝而被丢弃。

5、ACL的取值范围在路由器配置中,标准ACL和扩展ACL的区别是由ACL的表号来体现的,下表指出了每种协议所允许的合法表号的取值范围。

6、正确放置ACLACL通过过滤数据包并且丢弃不希望抵达目的地的数据包来控制通信流量。

然而,网络能否有效地减少不必要的通信流量,这还要取决于网络管理员把ACL放置在哪个地方。

1)标准ACL要尽量靠近目的端。

2)扩展ACL要尽量靠近源端。

7、ACL的配置ACL的配置分为两个步骤:1)第一步:在全局配置模式下,使用下列命令创建ACL:Router (config)# access-list access-list-number {permit | deny } {test-conditions}其中,access-list-number为ACL的表号。

第6章 访问控制列表(ACL)


11
定义ACL规则(高级访问控制列表)
参数说明如下五: 参数说明如下四: 参数说明如下三: 参数说明如下二: 参数说明如下一: 2.3 定义/删除高级访问控制列表的规则
注意: (acl-number 3000至3999) (ACL视图下) protocol:用协议名字或数字(协议号)表示的IP承载的 icmp-type:可选参数,指定ICMP报文的类型和消息码信息, destination-port:可选参数,指定UDP或者TCP报文的目 协议类型。数字范围为1~255;用名字表示时,可以选取: 仅仅在报文协议是ICMP的情况下有效。如果不配置,表示 source-port和destination-port参数仅仅 precedence precedence:可选参数,数据包可 destination:可选参数,指定ACL规则的目的地址信息。 [SYS-acl-aclnumber] rule [ rule-id ] { permit | deny 的端口信息,仅仅在规则指定的协议号是TCP或者UDP时有 任何ICMP类型的报文都匹配。 gre、icmp、igmp、ip、ipinip、ospf、tcp、udp等。 如果不配置,表示报文的任何目的地址都匹配。 sour| comment text } protocol [source sour-addr 在规则(rule)指定的协议号是TCP或者UDP 以依据优先级字段进行过滤。取值为0~7的数字, 效。如果不指定,表示TCP/UDP报文的任何目的端口信息都 icmp-message:ICMP包可以依据ICMP消息类型名字或ICMP source-port:可选参数,指定UDP或者TCP报文的源端口信 dest-addr:数据包的目的地址 [ dest-addr wildcard | wildcard 匹配。 时有效。| any ] destination 或名字,与参数tos互斥。 消息类型和码的名字进行过滤。 port1 [ port2 ] ] any ] [ source-port operator 息,仅仅在规则指定的协议号是TCP或者UDP有效。如果不 dest-wildcard:目的地址的反子网掩码,点分十进制表示; operator:可选参数。比较源或者目的地址的端口号的操 [ destination-port operator port1 [ port2 tos tos:可选参数,数据包可以依据服务类型 指定,表示TCP/UDP报文的任何源端口信息都匹配。 icmpicmp-type:ICMP包可以依据ICMP的消息类型进行过滤。取 或用“any”代表源地址0.0.0.0,反子网掩码 ] ] [ 作符。 icmp-message |icmp-type icmp-code} ] type { 字段进行过滤。取值为0~15的数字,或名字, 值为0~255的数字。 destination:可选参数,指定ACL规则的目的地址信息。 port1、port2:可选参数。TCP或UDP的端 255.255.255.255表示任何目的地址。高级访问控制列表的 port1、port2:可选参数。TCP或UDP的端口号,用名字或 [ precedence precedence ] [ tos tos ] [ time-range 如果不配置,表示报文的任何目的地址都匹配。 目的地址匹配原则与基本ACL中的源地址匹配原则一致。 icmp-code:依据ICMP的消息类型进行过滤的ICMP包也可以 与参数precedence互斥。 口号,除了数字还可以用名字表示。 time-name ] [ logging ] [ fragment ] [ vpn-instance 数字表示 依据消息码进行过滤。取值为0~255的数字。 vpn-instance-name]
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
ACL语句按自顶向下的顺序进行处理,因此需要 将最严格的语句放在列表顶部,最不严格的语句 放在列表底部 如果ACL中没有找到匹配项,则执行隐性拒绝语 句 每个接口的每个方向只能应用一个IP ACL。
访问控制列表类型
标准访问控制列表 扩展访问控制列表 命名访问控制列表 定时访问控制列表
13
标准访问控制列表配置
由于最后的一条语句通常用来防止由于隐含语句使得 所有网络功能失效,为了方便输入,可以使用any 命 令:
Lab-A(config)#access-list 1 permit any
host命令
众多情况下,网络管理员需要在ACL处理单 独节点的情况,可以使用两种命令: Lab-A(config)#access-list 1 permit 192.5.5.10 0.0.0.0
访问控制列表的应用
3
为什么使用访问控制列表
信息 服务器
互联网用户
公网
员工上网
对外信息 服务器
问题1
作为公司网络管理员,当公司领导提出下列要求 时你该怎么办?
为了提高工作效率,不允许员工上班时间进行QQ聊天 、MSN聊天等,但需要保证正常的访问Internet,以 便查找资料了解客户及市场信息等。 公司有一台服务器对外提供有关本公司的信息服务, 允许公网用户访问,但为了内部网络的安全,不允许 公网用户访问除信息服务器之外的任何内网节点。
源地址 目的地址
源端口 目的端口
访问控制列表利用这4个元素 定义的规则
9
使用ACL检测数据包
为了决定是转发还是拒绝数据包,路由器按照ACL中各条 语句的顺序来依次匹配该数据包 当数据包与一条语句的条件匹配了,则忽略ACL中的剩 余语句的匹配处理,该数据包将按照当前语句的设定来 进行转发或拒绝转发的处理 在ACL的最后都有一条缺省的“deny any”语句 如果ACL中的所有显式语句没有匹配上,那么将匹配这 条缺省的语句 ACL可以实时的创建,即实时有效的;因此不能单独修改 其中的任何一条或几条,只能全部重写 因此,不要在路由器上直接编写一个大型的ACL,最好 使用文字编辑器编写好整个ACL后传送到路由器上。
对于教师部分地址:
192.5.5.128 (10000000) 到 192.5.5.254 (11111110) 答案:192.5.5.128 0.0.0.127 请思考两者的不同
例子:地址区域192.5.5.1到.127和.128到.254
标准访问控制列表配置
控制一段地址范围内的节点
控制网络202.112.10.0/24中的所有偶数 地址的控制IP地址和通配符掩码? 答案:202.112.10.0 0.0.0.254 控制网络202.112.10.0/24中的所有奇数 地址的控制IP地址和通配符掩码? 答案:202.112.10.1 0.0.0.254
创建ACL
Router(config)#access-list access-list-number { permit | deny } source [ source-wildcard ] 允许数据包通过 应用了访问控制 列表的接口 拒绝数据包通过
删除ACL
Router(config)# no access-list access-list-number
Permit 转发数据包 Deny 丢弃数据包,向源 站发送ICMP消息
remark:在标准或扩展访问控制列表中加入 注释或备注,便于理解访问控制列表的含义。
标准访问控制列表配置 source [ source-wildcard ]参数
希望控制的IP地址和通配符掩码 IP地址可以是子网、一组地址或单一节点地址 路由器使用通配符掩码来决定检查地址的哪些位
或... Lab-A(config)#access-list 1 permit host 192.5.5.10
标准访问控制列表配置
应用实例
Router(config)# access-list 1 permit 192.168.1.0 0.0.0.255 Router(config)# access-list 1 permit 192.168.2.2 0.0.0.0
any命令
由于ACL末尾都有一个隐含的“deny any”语句,需 要在ACL前面部分写入其他“允许”的语句 使用上面的例子,如果不允许学生访问而其他的访问 都允许,需要如下两条语句:
Lab-A(config)#access-list 1 deny 192.5.5.0 0.0.0.127 Lab-A(config)#access-list 1 permit 0子:地址区域192.5.5.1到.127和.128到.254
标准访问控制列表配置
控制一段地址范围内的节点
第三,计算剩余节点地址部分的十进制值(127) 最后,决定控制的IP地址和通配符掩码
控制IP地址可以使用所控制范围内的任何一个节点地址,但约 定俗成的使用所控制范围的第一个节点地址 上述相同的位在通配符掩码中为“0” 192.5.5.1 0.0.0.127
标准访问控制列表配置
通配符掩码练习
掩码为255.255.128.0的172.16.128.0子网的控制IP 地址和通配符掩码? 答案:172.16.128.0 0.0.127.255 掩码为255.255.252.0的172.16.16.0子网的控制IP地 址和通配符掩码? 答案:172.16.16.0 0.0.3.255 掩码为255.255.248.0的10.0.8.0子网的控制IP地址 和通配符掩码? 答案:10.0.8.0 0.0.7.255
标准访问控制列表配置
控制一段地址范围内的节点
计算控制IP地址和通配符掩码是比较复杂的 ,尤其是控制网络中的一部分节点时 为了控制网络中一部分节点往往需要在二进 制方式下进行计算 例如:学生使用192.5.5.1到192.5.5.127地 址范围,教师使用192.5.5.128到 192.5.5.254地址范围。这些地址处在相同 的网络中192.5.5.0/24 怎样来计算?
访问控制列表的工作原理
访问控制列表在接口应用的方向 访问控制列表的处理过程
到达访问控制组接口的数据包 Y 拒绝 拒绝 拒绝 Y Y 匹配 下一条 N 匹配 下一条 Y Y 匹配 第一条 N
Y 允许 允许
目的接口
允许
N
丢弃 拒绝
隐含的 拒绝
11
ACL的特点
ACL不检查路由器本身产生的数据包
ACL只检查其他来源的数据包
IP地址 通配符掩码
Lab-A(config)#access-list 1 deny 192.5.5.10 0.0.0.0
标准访问控制列表配置 通配符掩码
通配符掩码指定了路由器在匹配地址时检查哪些 位忽略哪些位 通配符掩码中为“0”的位表示需要检查的位,为 “1”的位表示忽略检查的位,这与子网掩码中的 意义是完全不同的 192.5.5.10 0.0.0.0二进制方式的表示如下: 11000000.00000101.00000101.00001010 (源 地址) 00000000.00000000.00000000.00000000 (通 配符掩码)
标准访问控制列表配置
控制一段地址范围内的节点
对于学生使用的地址范围
首先,以二进制方式写出第一个和最后一个节点地址。由于前三 个8位组是相同的,所以可以忽略它们,在通配符掩码中相应的位 必须为“0”
第一个地址:00000001 最后一个地址:01111111
其次,查找前面的两者相同的位(下图的蓝色部分) 00000001 01111111 这些相同的位将与前面的网络地址部分(192.5.5)一 样进行匹配检验
标准访问控制列表配置
通配符掩码练习
在下面的例子中,蓝色的位是必须匹配检查的位 – 11000000.00000101.00000101.00110111 (192.5.5.55) 节点 地址 – 11000000.00000101.00000101.00100000 (192.5.5.32) 控制 的ip地址 – 00000000.00000000.00000000.00011111 (0.0.0.31) 通配符 掩码 必须牢记:通配符掩码中为“0”的位表示需要检查的位,为“1” 的位表示忽略检查的位 在本例中,根据通配符掩码中为0的位,比较数据包的源地址和 控制的IP地址中相关的各个位,当每位都相同时,说明两者匹配 掩码为255.255.255.192的192.5.5.64子网的控制IP地址和通配符掩 码? 答案:192.5.5.64 0.0.0.63
14
标准访问控制列表配置
access-list-number参数
ACL有多种类型,access-list-number与ACL的 类型有关 下表显示了主要的一些ACL类型与access-listnumber的关系 ACL类型
标准IP
扩展IP AppleTalk 标准IPX 扩展IPX IPX SAP
为什么使用访问控制列表
问题2
在企业内部网络中,会存在一些重要的或者保密 的资源或者数据,为了防止公司员工有意或无意 的破坏或者访问,对这些服务器应该只允许相关 人员访问。如何做到这一点?
什么是访问控制列表(ACL)?
ACL是路由器处理数据包转发的一组规则,路由器 利用这组规则来决定数据包允许转发还是拒绝转发 如果不设置ACL,路由器将转发网络链路上所有 数据包,当网络管理设置了ACL以后可以决定哪 些数据包可以转发,哪些不可以转发。 可以利用下列参数允许或拒绝发送数据包:
标准访问控制列表配置
通配符掩码
标准访问控制列表配置
通配符掩码练习
之后若干张幻灯片中将练习处理通配符掩码, 类似于子网掩码,这需要一段时间掌握 计算表示下列网络中的所有节点的通配符掩码 :192.5.5.0 255.255.255.0 答案:192.5.5.0 0.0.0.255 这个通配符掩码与C类地址的子网掩码正好 相反 注意:针对整个网络或子网中所有节点的通 配符掩码一般都是这样的