配置访问控制列表.ppt

第6讲 配置访问控制列表,概 述,ACL概述ACL的工作过程 ACL分类 ACL配置 翻转掩码(wildcard bits）标准ACL的配置 扩展ACL的配置 标识ACL 的配置 使用ACL控制VTY的访问 ACL配置要点,6.1 ACL概述 1.为什么要使用ACL随着网络的增长，要求对IP流量进行管理通过在路由器中设置包过滤来管理IP流量,6.1 ACL概述 2.什么是ACLACL是一个授权和拒绝条件的序列表基于协议不能过滤本地路由器的流量,6.1 ACL概述 3.ACL的用途用于各个LAN间的接口，过滤LAN流量用于VTY，过滤Telnet用于Dial-on-demand(DDR)优先级(priority)和队列管理,6.1 ACL概述 4.ACL的分类入栈ACL：在网络入口处对数据包进行检查，如果被deny,则不需要路由,如果包被permits然后进行路由,6.1 ACL概述 4.ACL的分类出栈ACL：进入路由器的包被路由后进入outbound接口,然后进行Outbound访问列表匹配,6.1 ACL概述 5.ACL的逻辑测试过程,6.1 ACL概述 5.ACL的逻辑测试过程如果数据包与ACL中某条语句匹配，则列表中其它语句会被忽略 如果数据包与某个命令不匹配，则继续检查ACL下一个命令语句 如果到达ACL的最后一条命令仍不匹配，数据包会被丢弃,6.1 ACL概述 5.ACL的逻辑测试过程使用ACL要小心，至少ACL中要有一条允许语句 ACL命令的放置顺序是很重要的 当检测到某个命令条件满足的时候，就不会再检测后面的指令条件 应该先创建ACL，再将其绑定到入口或者是出口 ACL只能过滤通过路由器的数据流量，不能过滤路由器本身产生的数据流量,6.1 ACL概述 6.ACL举例要求只允许主机和网络的数据包通过 第一条命令：条件：IP地址，操作：允许。第二条命令：条件：网络地址，操作：允许。,6.2 ACL的分类 1.ACL的分类标准ACL(standard):（1）检查数据包的源地址 扩展ACL(extended):（1）检查数据包的源地址、目的地址、特定的协议、端口号码以及其它参数（2）使用更灵活,6.2 ACL的分类 2.标准ACL,6.2 ACL的分类 2.标准ACL举例,6.2 ACL的分类 3.扩展ACL,6.2 ACL的分类 3.扩展ACL举例,6.3 ACL的配置 1.配置ACL要点访问列表要指明过滤什么协议;按顺序匹配访问列表;一般限制性的访问列表应该放在前面;在访问列表的最后隐性定义了deny any所以每个访问列表应该至少包含一条permit声明,否则将过滤掉所有包;先创建访问列表,后使用;访问列表过滤通过路由器的流量,但不会应用于源自路由的流量,6.3 ACL的配置 2.ACL的编号,6.3 ACL的配置 3.配置ACL的步骤（1）创建ACLaccess-list access-list-number permit|deny test conditions,6.3 ACL的配置 3.配置ACL的步骤（2）将ACL绑定到接口 protocol access-group access-list-number in|out,6.4 翻转掩码 1.翻转掩码的作用使用IP地址与翻转掩码地址对来定义测试条件简化测试过程，避免额外的输入,6.4 翻转掩码 2.翻转掩码的格式与子网掩码类似，翻转掩码是由0、1二进制组成的32位数字，分成4段,6.4 翻转掩码 3.翻转换码的配置规则1意味着忽略0意味着检查,6.4 翻转掩码 4.翻转掩码练习检查某个地址是不是，地址对是多少？检查某个地址是不是来自网络，地址对是多少？检查某个地址是不是，地址对是多少？忽略所有的地址，地址对是多少？,6.4 翻转掩码 5.Any和hostHost172.30.16.29 0.0.0.0,6.4 翻转掩码 5.Any和hostAny0.0.0.0 255.255.255.255 any,6.4 翻转掩码 6.复杂一点的例子,6.4 翻转掩码 6.练习检查某个地址是不是在范围内，地址对是多少？检查某个地址是不是在，地址对是多少？检查某个地址是不是在，地址对是多少？,6.5 标准ACL的创建 1.创建标准ACLaccess-list access-list-number permit|deny source mask为访问列表条目设置参数：（1）IP标准访问列表使用:1 99（2）缺省（3）“no access-list access-list-number”命令删除访问列表条目,6.5 标准ACL的创建 2.绑定ACL到指定的接口ip access-group access-list-number in|out 在接口配置模式激活访问列表：（1）设置inbound或outbound匹配（2）缺省是 Outbound（3）“no ip access-group access-list-number”命令从接口取消激活访问列表,6.5 标准ACL的创建 3.标准ACL举例如何使Ethernet0和Ethernet1端口只允许源地址为 网络的数据包Outbound?,6.5 标准ACL的创建 3.标准ACL举例如何在端口Ethernet0阻塞主机,阻塞源地址为的数据包?,6.5 标准ACL的创建 3.标准ACL举例如何在接口Ethernet0阻塞子网,阻塞源地址为的数据包?,6.5 标准ACL的创建 4.LAB：标准ACLaccess-list?access-list 号码 permit/deny 源地址 源反转码（根据源地址进行筛选）,6.5 标准ACL的创建 4.LAB：标准ACLint e0ip access-group 号码 out/inshow access-listshow run no ip access-group 号码 out/inno access-list 号码,6.6 扩展ACL的配置 1.扩展ACL和标准ACL的比较,6.6 扩展ACL的配置 2.扩展ACL的配置（创建）access-list access-list-number permit|deny protocol source source-wildcard operator port destination destination-wildcard operator port established log,6.6 扩展ACL的配置 2.扩展ACL的配置Access-list-number:100 199permit|deny:指明允许还是阻塞protocol:允许指定协议(IP,TCP,UDP,ICMP,IGRP)source和destination:指明源和目的地址,6.6 扩展ACL的配置 2.扩展ACL的配置source-wildcard和destination-wildcard operator port:lt,gt,eq,neq(小于,大于,等于,不等于)端口号Established(既定的):只用于inbound TCP,允许TCP建立连接(例如,ACK被置位)log:发送logging信息到console,6.6 扩展ACL的配置 3.扩展ACL的配置,6.6 扩展ACL的配置 4.扩展ACL的配置（绑定）Router(config-if)#ip access-group access-list-number in|out,6.6 扩展ACL的配置 4.扩展ACL的配置举例如何在接口Ethernet0阻塞从到subnet 的FTP数据包,同时Permit所有其它流量?(阻塞从接口E1到接口E0的数据包),6.6 扩展ACL的配置 4.扩展ACL的配置举例Deny从到的数据包(out of E0)Permit所有其它流量,6.6 扩展ACL的配置 4.扩展ACL的配置举例如何在Ethernet0只阻塞所有来自的telnet流量?,6.6 扩展ACL的配置 4.扩展ACL的配置举例如何在Ethernet0只阻塞所有来自的telnet流量?,6.6 扩展ACL的配置 4.LAB：扩展ACL的配置access-list 号码 permit/deny 协议 源 源反转码 源端口 目的 目的反转码 端口,6.7 标识ACL的配置 1.标识ACL使用字符串代替数字，来标识ACL 优点：（1）用有含义的字符串直观标识一个ACL（2）需要的配置超出了99个标准ACL或者100个扩展ACL时，可以采用命名ACL（3）当修改ACL中的某一条语句时，可以在不删除整个ACL的情况下修改它,6.7 标识ACL的配置 1.标识ACL注意（1）命名ACL与Cisco IOS 11.2之前的版本不兼容（2）命名ACL也包含标准和扩展ACL（3）不能为多个ACL使用相同的名字。不同类型的ACL也不能使用相同的名字,6.7 标识ACL的配置 2.标识ACL的配置（创建）ip access-list standard|extended name permit|deny ip access list test conditions,6.7 标识ACL的配置 2.标识ACL的配置（绑定）Router(config-if)#ip access-group name in|out,6.7 标识ACL的配置 3.查看ACL的配置show access-lists access-list number show ip int e0,6.7使用ACL控制VTY的访问 1.概述5个终端lines(0 4)过滤可以访问路由器vty端口的包过滤从路由器通过vty访问其他设备的包,6.7使用ACL控制VTY的访问 2.配置创建：与前面相同绑定：line vtyvty#|vty-rangeaccess-class access-list-number in|out,6.7使用ACL控制VTY的访问 3.配置实例如何只允许在网络中的主机通过 vty访问路由器?,6.8 ACL配置要点 1.配置要点访问列表条目的顺序是至关重要的推荐先配置号访问列表,然后粘贴到路由器访问列表从上至下逐条匹配把明确的列表(常用到的)尽量放置在前面,以减少处理负载,6.8 ACL配置要点 1.配置要点No命令使用no access-list number命令删除访问列表例外:命名访问列表的删除方法不同隐性声明除非在最后声明permit any,否则路由器在末尾隐性声明deny any,6.9 放置ACL的原则放置扩展访问列表尽量靠近源放置标准访问列表尽量靠近目的,6.9 放置ACL的原则例：阻止Token Ring访问LAN 如果设置扩展列表,应该把它放置在路由器A.因为扩展列表可以指定源和目的,这样Token发送给LAN的数据包不会经过其他路由器和广域网线路如果设置标准列表,应该把它放置在路由器D,因为标准访问列表不能指定目的地址,