思科2013年下期教學10訪問控制列表

1、訪問控制列表Access Control List教學目標（ Objectives ）訪問控制列表2.配置標準訪問控制列表3. 配置擴展訪問控制列表4.配置命名訪問控制列表Internet當網(wǎng)絡訪問增長時，管理IP通信當數(shù)據(jù)包通過路由器時，起到過濾作用為什么使用ACL？ACL作用1限制網(wǎng)絡流量、提高網(wǎng)絡性能。 2提供對通信流量的控制手段。3提供網(wǎng)絡訪問的基本安全手段。4在路由器接口處，決定哪種類型的通信流量被轉(zhuǎn)發(fā)、哪種類型的通信流量被阻塞。 ACL如何工作ACL條件順序ACL條件順序Cisco IOS按照各描述語句在ACL中的順序，根據(jù)各描述語句的判斷條件，對數(shù)據(jù)包進行檢查。一旦找到了某一匹配

2、條件，就結(jié)束比較過程，不再檢查以后的其他條件判斷語句。 什么是ACL？標準 ACL 檢查源地址允許或拒絕整個協(xié)議族OutgoingPacketfa0/0S0/0 ingPacketAccess List ProcessesPermit?Source 擴展 ACL 檢查源和目的地址通常允許或拒絕特定的協(xié)議OutgoingPacketFa0/0s0/0 ingPacketAccess List ProcessesPermit?Sourceand DestinationProtocol什么是ACL？用擴展ACL檢查數(shù)據(jù)包常見端口號端口號20文件傳輸協(xié)議（FTP）數(shù)據(jù)21文件傳輸協(xié)議（FTP）程序23

3、遠程登錄（Telnet）25簡單郵件傳輸協(xié)議（SMTP）69普通文件傳送協(xié)議（TFTP）80超文本傳輸協(xié)議(HTTP)53域名服務系統(tǒng)（DNS）ACL表號（ACL Number ） 協(xié)議（Protocol）ACL表號的取值范圍（ACL Range）IP（Internet協(xié)議）1-99Extended IP(擴展Internet協(xié)議)100-199AppleTalk600-699IPX（互聯(lián)網(wǎng)數(shù)據(jù)包交換）800-899Extended IPX(擴展互聯(lián)網(wǎng)數(shù)據(jù)包交換)900-999IPX service Advertising Protocol(IPX服務通告協(xié)議)1000-1099通配符掩碼1.

4、是一個32比特位的數(shù)字字符串2.0表示“檢查相應的位”,1表示“不檢查（忽略）相應的位”特殊的通配符掩碼1. Any 552. Host9 Host 9Access List 命令Step 1:定義訪問控制列表access-list access-list-number permit | deny test conditions Router(config)#Router(config)#access-list 1 permit 55Step 2:將訪問控制列表應用到某一接口上 protocol access-group access-list-number in | out Router(c

5、onfig-if)#Access List 命令Router(config-if)#ip access-group 1 out僅允許我的網(wǎng)絡access-list 1 permit 55(implicit deny all - not visible in the list)(access-list 1 deny 55)interface ethernet 0ip access-group 1 outinterface ethernet 1ip access-group 1 out標準IP ACL實例13E0S0E1Non-access-list 1 deny 3 access-list 1

6、permit 255(implicit deny all)(access-list 1 deny 55)interface ethernet 0ip access-group 1 out標準IP ACL實例23E0S0E1Non-拒絕特定的主機access-list 1 deny 55access-list 1 permit any(implicit deny all)(access-list 1 deny 55)interface ethernet 0ip access-group 1 out標準IP ACL實例33E0S0E1Non-拒絕特定的子網(wǎng)標準ACL與擴展ACL比較標準擴展過濾基于

7、源過濾基于源和目的允許或拒絕整個協(xié)議族允許或拒絕特定的IP協(xié)議或端口范圍（100-199）范圍（1-99）CASE STUDY首先使得PC1所在的網(wǎng)絡不能通過路由器R1訪問PC2所在的網(wǎng)絡。擴展ACL配置Router(config)# access-list access-list-number permit | deny protocol source source-wildcard operator port destination destination-wildcard operator port established log參數(shù)參數(shù)描述access-list-number訪問控制列

8、表表號permit|deny如果滿足條件，允許或拒絕后面指定特定地址的通信流量protocol用來指定協(xié)議類型，如IP、TCP、UDP、ICMP等source and destination分別用來標識源地址和目的地址source-mask通配符掩碼，跟源地址相對應destination-mask通配符掩碼，跟目的地址相對應operator lt,gt,eq,neq(小于，大于，等于，不等于) operand一個端口號established如果數(shù)據(jù)包使用一個已建立連接，便可允許TCP信息通過access-list 101 deny tcp 55 55 eq 21access-list 101

9、deny tcp 55 55 eq 20access-list 101 permit ip any any(implicit deny all)(access-list 101 deny ip 55 55)interface ethernet 0ip access-group 101 out拒絕從到的經(jīng)過E0出方向的FTP流量允許其他所有的流量擴展ACL實例13E0S0E1Non-access-list 101 deny tcp 55 any eq 23access-list 101 permit ip any any(implicit deny all)interface ethernet

10、0ip access-group 101 out僅拒絕子網(wǎng) 在E0出方向的流量允許其他流量擴展ACL實例 23E0S0E1Non-使用命名IP ACLRouter(config)#ip access-list standard | extended nameIOS11.2 以后支持的特征名字字符串要唯一 使用命名IP ACL permit | deny ip access list test conditions permit | deny ip access list test conditions no permit | deny ip access list test condition

11、s Router(config std- | ext-nacl)#允許或拒絕陳述條件前沒有表號可以用“NO”命令移去特定的陳述Router(config-if)# ip access-group name in | out 使用命名IP ACL在接口上激活命名ACL擴展ACL靠近源標準ACL靠近目的E0E0E1S0To0S1S0S1E0E0BAC放置ACLDwg_ro_a#show ip int e0Ethernet0 is up, line protocol is up Internet address is 1/24 Broadcast address is 55 Address dete

12、rmined by setup command MTU is 1500 bytes Helper address is not set Directed broadcast forwarding is disabled Outgoing access list is not set Inbound access list is 1 Proxy ARP is enabled Security level is default Split horizon is enabled ICMP redirects are always sent ICMP unreachables are always s

13、ent ICMP mask replies are never sent IP fast switching is enabled IP fast switching on the same interface is disabled IP Feature Fast switching turbo vector IP multicast fast switching is enabled IP multicast distributed fast switching is disabled 驗證ACL監(jiān)視ACL陳述條件wg_ro_a#show access-lists Standard IP access list 1 permit permit permit permit Extended IP access list 101 permit tcp host any eq telnet permit tcp host any eq ftp permit tcp host any eq ftp-datawg_ro_a#show protocol access-list access-list