当前位置:文档之家 › 第8章 扩展访问控制列表ACL

第8章 扩展访问控制列表ACL

  • 格式:ppt
  • 大小:251.00 KB
  • 文档页数:11

下载文档原格式

  / 11

合集下载

访问控制列表ACL技术材料

访问控制列表ACL技术材料

说明:标准FTP协议使用了两个端口,21用于建立 FTP连接,20用于数据传输。
学习研究
26
说明:
例1的配置将会极大限制局域网和外网间的应用,它会 拒绝除Web和Ftp外的所有应用(包括ICMP、DNS、电 子邮件等),也会拒绝那些没有使用标准端口的Web和 Ftp应用。
在实际应用中,我们通常只对那些可能有害的访问作出 拒绝限制,或者限制用户访问某些有害的站点或服务。
8.1 ACL概述
利用ACL可以对经过路由器的数据包按照设定的规则进 行过滤,使数据包有选择的通过路由器,起到防火墙的 作用。
访问控制列表(ACL)由一组规则组成,在规则中定义允许 或拒绝通过路由器的条件。
ACL过滤的依据主要包括源地址、目的地址、上层协议 等。
ACL有两种:标准访问控制列表、扩展访问控制列表。
制)
学习研究
Байду номын сангаас
2
ACL的工作过程
访问控制列表(ACL) 由多条判断语句组成。每条语句给 出一个条件和处理方式(通过或拒绝)。
路由器对收到的数据包按照判断语句的书写次序进行检 查,当遇到相匹配的条件时,就按照指定的处理方式进 行处理。
ACL中各语句的书写次序非常重要,如果一个数据包和 某判断语句的条件相匹配时,该数据包的匹配过程就结 束了,剩下的条件语句被忽略。
标准访问控制列表:1~99。
扩展访问控制列表:100~199。
同一个ACL中各语句的表学习号研相究 同。
4
处理方式:取值有permit(允许)和deny(拒绝)两 种。当数据包与该语句的条件相匹配时,用给定的处 理方式进行处理。
条件:每条ACL语句只能定义一个条件。
例:
access-list 1 permit 10.0.0.0 0.255.255.255

第8章 扩展访问控制列表ACL

第8章 扩展访问控制列表ACL
Non172.16.0.0
172.16.4.0 172.16.4.13
S0 E0 E1
பைடு நூலகம்
实例1:禁止转出FTP数据
• 在E0端口,禁止转出来自172.16.4.0子网的FTP数据流到 172.16.3.0子网,其它的数据流将被转发。
– 第一个ACL命令用“deny”禁止来自172.16.4.0子网的FTP-DATA (port=20)数据流到172.16.3.0子网。 – 第二个ACL命令用“deny”禁止来自172.16.4.0子网的FTP(port=21) 数据流到172.16.3.0子网。 – 第三个ACL命令表示允许任何的数据流。 ACL – 最后将此ACL101关联到端口E0。 access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 21 access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 20 access-list 101 permit ip any any (implicit deny all) (access-list 101 deny ip 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255) interface ethernet 0 ip access-group 101 out
access-list 101 deny tcp 172.16.4.0 0.0.0.255 any eq 23 access-list 101 permit ip any any (implicit deny all) interface ethernet 0 ip access-group 101 out

访问控制列表ACL

访问控制列表ACL
Router(config)#interface fastthernet 0/0 Router(config-if)#ip access-group 101 out
扩展ACL应用2: 拒绝telnet流量通过E0
❖ 第一步,创建拒绝来自172.16.4.0、去往 172.16.3.0、telnet流量的ACL
Router(config)#interface fastethernet 0/0 Router(config-if)#ip access-group 101 out
命名的访问控制列表2-1
❖ 标准ACL和扩展ACL中可以使用一个字母数字组 合的字符串(名字)代替来表示ACL的表号
❖ 命名IP访问列表允许从指定的访问列表删除单个 条目
拒绝 Icmp消息
允许 转发数据包
扩展访问控制列表4-4
端口号
20 21 23 25 42 53 69 80
关键字
FTP TELNET SMTP NAMESERVER DOMAIN TFTP WWW
描述
(文件传输协议)FTP(数据) (文件传输协议)FTP 终端连接 简单邮件传输协议 主机名字服务器 域名服务器(DNS) 普通文件传输协议(TFTP) 万维网
扩展访问控制列表的配置3-2
操作符及语法 eq portnumber gt portnumber lt portnumber neq portnumber
意义 等于端口号 portnumber 大于端口号portnumber 小于端口号portnumber 不等于端口号portnumber
扩展访问控制列表操作符的含义
Router(config)#interface fastethernet 0/0 Router(config-if)#ip access-group cisco out

访问控制列表(ACL)配置

访问控制列表(ACL)配置

ACL(访问控制列表)一、基本:1、基本ACL表2、扩展ACL表3、基于时间的ACL表4、动态ACL表二、ACL工作过程1、自上而下处理1)、如果有一个匹配的ACL,后面的ACL表不再检查2)、如果所有的ACL都不匹配,禁止所有的操作(隐含)特例,创建一个空的ACL表,然后应用这个空的ACL表,产生禁止所有的操作。

3)、后添加的ACL表,放在尾部4)、ALC表放置的原则:如果是基本ACL表,尽量放在目的端,如果是扩展ACL表,尽量放在源端5)、语句的位置:一般具体ACL表放在模糊的ACL表前6)、3P原则:每一个协议每一个接口每一个方向只有一个ACL表。

(多个ACL表会引起干扰)7)、应用ACL的方向,入站和出站,应用在接口上三、基本ACL表(不具体)1、定义命令:access-list <</span>编号> permit/denny 源IP地址 [子网掩码反码]应用命令:ip access-group <</span>编号> in/out 查看命令:sh access-lists1)、编号:1-99和1300-19992)、可以控制一台计算机或控制一段网络3)、host:表示一台计算机4)、any:表示任何计算机四、ACL配置步骤:1、定义ACL表2、应用ACL表五、路由器在默认的情况下,对所有数据都是开放,而防火墙在默认情况下,对所有数据都禁止。

六:判断是流入还是流出,看路由器的数据流向七:注意:如果在写禁止,小心默认禁止所有1.控制一台计算机(禁止)Access-list 1 deny 172.16.2.100Access-list 1 permit anyInterface f0/0Ip access-group 1 out (应用到端口)2、控制一段网络(禁止)Access-list 1 deny 172.16.2.0 0.0.0.255Access-list 1 permit anyInterface f0/0Ip access-group 1 out(应用到端口)3、控制一台计算机(允许)Access-list 1 permit 172.16.1.1004、控制一个网段(允许)Access-list 1 permit 172.16.1.0 0.0.0.255telnet服务配置:1)、使能密码2)、登录密码控制telnet服务应用端口命令:access-class <</span>编号> in/out 实例:只允许172.16.1.100能够使用telnet服务access-list 1 permit 172.16.1.100 Line vty 0 4Access-class 1 in实例:。

访问控制列表(ACL)总结配置与应用

访问控制列表(ACL)总结配置与应用
………… interface FastEthernet0/0 ip address 192.168.1.1 255.255.255.0 ip access-group 101 in duplex auto speed auto
三、 命名访问控制列表
命名访问控制列表允许在标准和扩展访问控制列表中使用名称代替表号。 1、 命名访问控制列表的配置 Router(config)#ip access-list {standard | extended} access-list-name
扩展 ACL 配置实例
如图:配置允许主机 PC 访问 WEB 服务的 WWW 服务,而禁止主机 PC 访问 WEB 的其他 服务。
1、 分析哪个接口应用标准 ACL
应用在入站还是出站接口。 与标准 ACL 一样,应该尽量把 ACl 应用到入站方向
应用在哪台路由器上。 由于扩展 ACL 可以根据源 IP 地址。目的 IP 地址、指定协议、端口等过滤数据包,
3、 将 ACL 应用于接口
创建 ACL 后,只有将 ACL 应用于接口,ACL 才会生效。 Router(config)#ip access-group access-list-number {in | out }
参数 in|out 用来指示该 ACL 是应用到入站接口(in),还是初战接口(out)。 在接口上取消 ACL 的应用 Router(config)#no ip access-group acess-list-number (in | out)
access-llist-number:访问控制列表表号,对于扩展 ACL 来书是 100-199; permit | deny:如果满足条件,则允许|拒绝该流量; protocol:用于指定协议类型,如 IP、TCP、UDP、ICMP 等; source、destination:源和目的,分别用来表示源地址和目的地址; source-wildcard、destination-wildcard:反码。源地址和目标地址的反码; operator operan:lt(小于)、gt(大于)、eq(等于)、neq(不等于)和一个 端口。

Cisco路由器配置ACL详解之扩展访问控制列表

Cisco路由器配置ACL详解之扩展访问控制列表

Cisco路由器配置ACL详解之扩展访问控制列表Cisco路由器配置ACL详解之扩展访问控制列表扩展访问控制列表:上⾯我们提到的标准访问控制列表是基于IP地址进⾏过滤的,是最简单的ACL。

那么如果我们希望将过滤细到端⼝怎么办呢?或者希望对数据包的⽬的地址进⾏过滤。

这时候就需要使⽤扩展访问控制列表了。

使⽤扩展IP访问列表可以有效的容许⽤户访问物理LAN⽽并不容许他使⽤某个特定服务(例如WWW,FTP等)。

扩展访问控制列表使⽤的ACL号为100到199。

扩展访问控制列表的格式:扩展访问控制列表是⼀种⾼级的ACL,配置命令的具体格式如下:access-list ACL号 [permit|deny] [协议] [定义过滤源主机范围] [定义过滤源端⼝] [定义过滤⽬的主机访问] [定义过滤⽬的端⼝]例如:access-list 101 deny tcp any host 192.168.1.1 eq www这句命令是将所有主机访问192.168.1.1这个地址⽹页服务(WWW)TCP连接的数据包丢弃。

⼩提⽰:⼩提⽰:同样在扩展访问控制列表中也可以定义过滤某个⽹段,当然和标准访问控制列表⼀样需要我们使⽤反向掩码定义IP地址后的⼦⽹掩码。

⽹络环境介绍:我们采⽤如图所⽰的⽹络结构。

路由器连接了⼆个⽹段,分别为172.16.4.0/24,172.16.3.0/24。

在172.16.4.0/24⽹段中有⼀台服务器提供WWW服务,IP地址为172.16.4.13。

配置任务:禁⽌172.16.3.0的计算机访问172.16.4.0的计算机,包括那台服务器,不过惟独可配置任务:以访问172.16.4.13上的WWW服务,⽽其他服务不能访问。

路由器配置命令:access-list 101 permit tcp any 172.16.4.13 0.0.0.0 eq www 设置ACL101,容许源地址为任意IP,⽬的地址为172.16.4.13主机的80端⼝即WWW服务。

《配置扩展acl访问控制列表》说课稿

《配置扩展访问控制列表》说课稿计算机系胡江海一、教材分析《网络设备安装与调试》是计算机网络技术专业学生必修的一门专业核心课程。

本课程的主要任务是使学生掌握各种网络互联设备的基本工作原理和联网技术,并能运用这些设备进行网络设计、完成网络配置。

本课选自中等职业学校计算机应用与软件技术专业教学用书《中小型网络构建与管理》第五单元项目三---“保障网络区域安全”中的任务实施二---配置扩展访问控制列表的知识。

本课内容是前面工作的延续,更是后面工作的内容的铺垫。

二、学情分析本课授课对象是网络专业一年级的学生。

学生在第一学期已经初步掌握网络设备的基础知识,对网络设备有一定的感知,并具备一定的小组合作与自主学习能力。

但学生对专业课学习的兴趣不高,为此在教学任务的设计中充分选用了真实的工作任务以调动学生的学习兴趣。

并结合职业特点,强调学生自主学习。

三、教学目标、教学重点及难点(一)知识目标1.熟悉扩展访问控制列表工作原理。

2.理解扩展访问控制列表的安全管理功能。

(二)能力目标1.能够正确配置访问控制列表。

2.能够通过配置扩展访问控制列表,实现网络设备远程安全限制访问。

(三)情感态度价值观目标通过配置扩展访问控制列表,引导学生树立网络安全意识。

(四)教学重点、难点1.重点正确配置扩展访问控制列表2.难点通过配置扩展访问控制列表,实现网络设备远程安全限制访问。

四、教学策略教法:任务驱动教学法学法:自主学习、合作探究五、教学过程设计与分析(一)问题导入、激发兴趣(3分钟)教师讲述发生在XXX公司的一个网络故障事件:2012年7月15日,xxx公司财务处、行政处、总经办和信息中心四个部门网络全面瘫痪,所有电脑无法访问互联网,公司网络管理员排查了交换机、路由器、服务器、pc终端等设备,依然没有找到原因,问题到底出在哪里?(此处教师引导学生思考)最后,网络管理员无意之中发现是网络设备的配置被人修改了,才导致了这次故障的出现。

Extended ACL_扩展访问控制列表

=====底层配置RT1Router>enableRouter#conf tRouter(config)#hostname RT1RT1(config)#interface fastEthernet 1/1RT1(config-if)#no shutdownRT1(config-if)#ip address 192.168.10.254 255.255.255.0RT1(config-if)#exitRT1(config)#interface fastEthernet 0/0RT1(config-if)#no shutdownRT1(config-if)#ip address 12.12.12.1 255.255.255.0RT1(config-if)#exitRT1(config)#RT2===========================================================Router>enableRouter#conf tRouter(config)#hostname RT2RT2(config)#interface fastEthernet 0/0RT2(config-if)#ip address 12.12.12.2 255.255.255.0RT2(config-if)#no shutdownRT2(config-if)#exitRT2(config)#interface fastEthernet 1/1RT2(config-if)#no shutdownRT2(config-if)#ip address 192.168.20.254 255.255.255.0RT2(config-if)#exitRT2(config)#=====静态路由配置RT1RT1(config)#ip route 192.168.20.0 255.255.255.0 12.12.12.2RT2RT2(config)#ip route 192.168.10.0 255.255.255.0 12.12.12.1=====ACL配置第一种方法RT1RT1(config)#access-list 101(扩展ACL100~199随意取值)permit tcp(协议)host 192.168.10.1(源主机)host 192.168.20.1(目的主机)eq(目的主机)www-----允许www访问RT1(config)#access-list 101 deny(禁止)icmp(**协议)host 192.168.10.1 host 192.168.20.1 echo(ping的含义)----禁止pingRT1(config)#interface fastEthernet 0/0====将ACL规则应用到接口RT1(config-if)#ip access-group 101 out(应用在出口方向)=====ACL配置第二种方法如何在RT2上应用ACL规则?============================底层配置SW1Switch>enableSwitch#configure terminalSwitch(config)#hostname SW1SW1(config)#vlan 10SW1(config-vlan)#exSW1(config)#interface fastEthernet 0/1SW1(config-if)#no shutdownSW1(config-if)#switchport mode accessSW1(config-if)#switchport access vlan 10SW1(config-if)#exitSW1(config)#interface vlan 10SW1(config-if)#no shutdownSW1(config-if)#ip address 192.168.10.254 255.255.255.0 SW1(config-if)#exSW1(config)#vlan 20SW1(config-vlan)#exSW1(config)#interface fastEthernet 0/2SW1(config-if)#no shutdownSW1(config-if)#switchport mode accessSW1(config-if)#switchport access vlan 20SW1(config-if)#exSW1(config)#interface vlan 20SW1(config-if)#no shutdownSW1(config-if)#ip address 12.12.12.1 255.255.255.0 SW1(config-if)#ex---------------------------------------------SW2Switch>enableSwitch#configure terminalSwitch(config)#hostname SW2SW2(config)#vlan 30SW2(config-vlan)#exSW2(config)#interface fastEthernet 0/2SW2(config-if)#no shutdownSW2(config-if)#switchport mode accessSW2(config-if)#switchport access vlan 30SW2(config-if)#exitSW2(config)#interface vlan 30SW2(config-if)#no shutdownSW2(config-if)#ip address 12.12.12.2 255.255.255.0 SW2(config-if)#exSW2(config)#vlan 40SW2(config-vlan)#exSW2(config)#interface fastEthernet 0/1SW2(config-if)#no shutdownSW2(config-if)#switchport mode accessSW2(config-if)#switchport access vlan 40SW2(config-if)#exSW2(config)#interface vlan 40SW2(config-if)#no shutdownSW2(config-if)#ip address 192.168.20.254 255.255.255.0SW2(config-if)#ex===================================静态路由配置SW1SW1(config)#ip route 192.168.20.0 255.255.255.0 12.12.12.2SW2SW2(config)#ip route 192.168.10.0 255.255.255.0 12.12.12.1=====================================================ACL配置第一种方法SW1SW1(config)#access-list 101 permit tcp host 192.168.10.1 host 192.168.20.1 eq www SW1(config)#access-list 101 deny icmp host 192.168.10.1 host 192.168.20.1 echo SW1(config)#interface vlan 20SW1(config-if)#ip access-group 101 out=====ACL配置第二种方法如何在SW2上应用ACL规则?。

任务13 :配置编号扩展访问控制列表(ACL)

任务13 配置编号扩展访问控制列表(ACL)一、【技术原理】命名扩展访问列表可以利用MAC地址、IP地址、VLAN号、传输端口号、协议类型、时间ACL等元素进行灵活组合,定义规则。

从而更加灵活的控制网络流量,保证网络的安全运行。

扩展访问列表的格式:access-list ACL号[permit|deny] [协议] [定义过滤源主机范围] [定义过滤源端口] [定义过滤目的主机访问] [定义过滤目的端口]。

二、【任务描述】学校规定每年新入学的学生所在网段,可以访问学校的校园网WWW网页,不可以访问学校的FTP服务器。

假设你是学校网络中心的网络管理员,现要你在路由器上作适当配置,以满足上述要求。

三、【任务实现】1、规划拓扑结构2、配置过程1、用Packet Tra cer实现扩展ACL的配置(仿真实验)1) 实验过程:拓扑规划、端口连线、地址分配、参数配置、连通测试、结果分析。

2)实验教学要求所需的最简设备:路由器(1台)、Web、FTP服务器(1台)、交叉线(2条)。

2、配置端口IP地址按网络拓扑图,配置计算机A的IP地址(192.168.1.2)、缺省网关(192.168.1.1),服务器S的IP地址(192.168.2.2)、缺省网关(192.168.2.1),路由器R1的F0/0(192.168.1.1)、F0/1(192.168.2.1)的IP地址。

3、安装FTP服务器添加用户及密码:用户名(UserName):abc密码(Password):123权限:Write,Read,Delete,Rename,List(RWDNL)图1 配置FTP服务器4、测试计算机A(配置访问控制列表之前)1)计算机A与服务器S的连通性PC>ping 192.168.2.2Pinging 192.168.2.2 with 32 bytes of data:Request timed out.Reply from 192.168.2.2: bytes=32 time=62ms TTL=127Reply from 192.168.2.2: bytes=32 time=63ms TTL=127Reply from 192.168.2.2: bytes=32 time=63ms TTL=127Ping statistics for 192.168.2.2:Packets: Sent = 4, Received = 3, Lost = 1 (25% loss), Approximate round trip times in milli-seconds:Minimum = 62ms, Maximum = 63ms, Average = 62ms2)访问FTP服务器PC>ftp 192.168.2.2图2 登录FTP服务器3)访问Web服务器图3 访问Web服务器5、配置路由器:Router>enableRouter#configure terminalEnter configuration commands, one per line. End with CNTL/Z.!在配置过程中,可以通过“?”查询语法结构和可选参数Router(config)#access-list 101 permit ?ahp Authentication Header Protocoleigrp Cisco's EIGRP routing protocolesp Encapsulation Security Payloadgre Cisco's GRE tunnelingicmp Internet Control Message Protocolip Any Internet Protocolospf OSPF routing protocoltcp Transmission Control Protocoludp User Datagram ProtocolRouter(config)#access-list 101 permit tcp ?A.B.C.D Source addressany Any source hosthost A single source hostRouter(config)#access-list 101 permit tcp 192.168.1.0 0.0.0.255 ?A.B.C.D Destination addressany Any destination hosteq Match only packets on a given port numbergt Match only packets with a greater port numberhost A single destination hostlt Match only packets with a lower port numberneq Match only packets not on a given port numberrange Match only packets in the range of port numbersRouter(config)#access-list 101 permit tcp 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 ?dscp Match packets with given dscp valueeq Match only packets on a given port numberestablished establishedgt Match only packets with a greater port numberlt Match only packets with a lower port numberneq Match only packets not on a given port numberprecedence Match packets with given precedence valuerange Match only packets in the range of port numbers<cr>Router(config)#access-list 101 permit tcp 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 eq ?<0-65535> Port numberftp File Transfer Protocol (21)pop3 Post Office Protocol v3 (110)smtp Simple Mail Transport Protocol (25)telnet Telnet (23)www World Wide Web (HTTP, 80)Router(config)#access-list 101 permit tcp 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 eq www Router(config)#Router(config)#interface FastEthernet0/1Router(config-if)#ip access-group 101 ?in inbound packetsout outbound packetsRouter(config-if)#ip access-group 101 outRouter(config-if)#exit6、再一次测试计算机A(配置访问控制列表之后)1)计算机A与服务器S的连通性PC>ping 192.168.2.22)访问FTP服务器PC>ftp 192.168.2.2如图4 配置ACL之后的测试。

访问控制列表(ACL)的配置

访问控制列表(ACL)的配置
目录
• ACL的基本概念 • ACL的配置步骤 • ACL的常见应用场景 • ACL配置的注意事项 • ACL的发展趋势与未来展望 • 案例分析
01 ACL的基本概念
定义与作用
定义
访问控制列表(ACL)是一种安全机制 ,用于对网络设备的数据包进行过滤 ,以控制对网络资源的访问。
网络设备访问控制
路由器访问控制
通过ACL配置,可以限制对路由器特定端口的访问,保护路 由器免受非法访问和恶意攻击。
交换机端口访问控制
在交换机上配置ACL,可以限制特定MAC地址或IP地址的计算 机访问特定的端口,防止未经授权的设备接入网络。
服务器资源保护
文件服务器保护
通过ACL配置,可以限制用户对服务器上特定文件夹或文件的访问,确保敏感数据不被非法获取或篡 改。
规则的冗余与冲突
要点一
总结词
避免规则的冗余和冲突是ACL配置的重要考虑因素。
要点二
详细描述
在配置ACL时,需要避免规则的冗余和冲突。冗余的规则 会增加配置的复杂性和维护成本,而冲突的规则会导致数 据包的处理结果不确定。为了避免冗余和冲突,需要对每 一条规则进行仔细的审查和测试,确保其作用明确且不会 与其他规则产生冲突。同时,可以采用一些工具和技术来 检测和解决规则的冗余和冲突问题。
05 ACL的发展趋势与未来展 望
ACL技术的演进
传统ACL
基于端口和IP地址的访问控制,适用于简单的网络环 境。
扩展ACL
增加了协议和端口的匹配,能够实现更精细的访问控 制。
基于上下文的ACL
结合网络流量的上下文信息,实现更智能的访问控制。
ACL在云计算中的应用
01
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

扩展ACL举例
• 以下图的结构为例,介绍扩展ACL的使用。 – 实例1:在E0端口,禁止转出来自172.16.4.0子网的FTP 数据流到172.16.3.0子网,其它的数据流将被转发。 – 实例2:在E0端口,禁止转出来自172.16.4.0子网的 Telnet 数据流,其它的数据流将被转发。
172.16.3.0
Non172.16.0.0
172.16.4.0 172.16.4.13
S0 E0 E1
实例1:禁止转出FTP数据
• 在E0端口,禁止转出来自172.16.4.0子网的FTP数据流到 172.16.3.0子网,其它的数据流将被转发。
– 第一个ACL命令用“deny”禁止来自172.16.4.0子网的FTP-DATA (port=20)数据流到172.16.3.0子网。 – 第二个ACL命令用“deny”禁止来自172.16.4.0子网的FTP(port=21) 数据流到172.16.3.0子网。 – 第三个ACL命令表示允许任何的数据流。 ACL – 最后将此ACL101关联到端口E0。 access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 21 access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 20 access-list 101 permit ip any any (implicit deny all) (access-list 101 deny ip 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255) interface ethernet 0 ip access-group 101 out
access-list 101 deny tcp 172.16.4.0 0.0.0.255 any eq 23 access-list 101 permit ip any any (implicit deny all) interface ethernet 0 ip access-group 101 out
Router(config-if)# {protocol} access-group access_list_number {in|out}
• Router(config)# access-list 表号 permit| deny 协议 源地址 通配符掩码 目的地址 通配符掩码 [ 运算符 端口号 ] • 其中:协议有TCP、IP等 • 运算符有:eq、lt(小于)、gt(大于)、neq(不 等于) • 端口号有:20或21,表示ftp • 23,表示telnet • 25,表示smtp • 53,表示dns • 69,表示tftp • 80,表示www • • Ip access-group 表号{in|out} • 其中,in表示流入端口,out 表示流出端口
访问控制列表举例
以我系实验室为例 1、屏蔽网站 2、限制服务
课外思考
1、访问控制列表的功能是什么? 2、ACL有哪些类型?各有什么区别? 3、应用ACL时,如何区分in和out的方向? 4、标准ACL和扩展ACL的表号范围分别是多 少? • 5、什么情况下需用命名ACL? • • • •
实例2:禁止转出Telnet 数据
• 在E0端口,禁止转出来自172.16.4.0子网的 Telnet 数据流,其它的数据流将被转发。
– 第一个ACL命令用“deny”禁止来自172.16.4.0子网 的Telnet(port=23)数据流。 – 第二个ACL命令表示允许任何的数据流。 – 最后将此ACL101关联到端口E0。
172.16.3.0
Non172.16.0.0
172.16.4.0 172.16.4.13
ess-list命令为: Router(config)# access-list access_list_number {permit|deny} protocol source [source_mask destination destination_mask operator operand [established]
访问控制列表(ACL)
扩展ACL
学习目标
• 通过扩展ACL的学习,掌握ACL的应用
扩展访问列表
• 扩展ACL提供了比标准ACL更大范围的控制,扩展ACL可 • 以检查源地址和目标地址,特定的协议,端口号,以及其 它的参数。 • 与标准ACL对比:只过滤源地址(如:E0和E1端口只允许 来自于网络172.16.0.0的数据报被转发,其余的将被阻止。)