版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)
文檔簡(jiǎn)介
?2002,CiscoSystems,Inc.Allrightsreserved.?2002,CiscoSystems,Inc.Al1第7章訪問控制列表ACLACL概述ACL的工作過程ACL分類ACL配置翻轉(zhuǎn)掩碼標(biāo)準(zhǔn)ACL的配置擴(kuò)展ACL的配置命名(Named)ACL的配置使用ACL控制虛擬終端(VTY)的訪問第7章訪問控制列表ACLACL概述2本章要求1、了解ACL的概念、用途、工作過程和分類
2、掌握翻轉(zhuǎn)掩碼的概念3、理解和掌握標(biāo)準(zhǔn)ACL、擴(kuò)展ACL、命名ACL的配置過程
4、理解和掌握使用ACL控制虛擬終端訪問的配置過程本章要求1、了解ACL的概念、用途、工作過程和分類3訪問控制列表(AccessControlList,ACL)應(yīng)用在路由器接口的指令列表指定哪些數(shù)據(jù)報(bào)可以接收、哪一些需要拒絕
ACL用途(1)限制網(wǎng)絡(luò)流量、提高網(wǎng)絡(luò)性能;(2)提供對(duì)通信流量的控制手段;(3)提供網(wǎng)絡(luò)訪問的基本安全手段;(4)在路由器(交換機(jī))接口處,決定哪種類型的通信流量被轉(zhuǎn)發(fā)、哪種被阻塞。ACL概述訪問控制列表(AccessControlList,ACL4ACL的工作過程ACL的操作過程入站訪問控制操作過程出站訪問控制操作過程ACL的邏輯測(cè)試過程ACL的工作過程ACL的操作過程5入站訪問控制操作過程相對(duì)網(wǎng)絡(luò)接口來說,從網(wǎng)絡(luò)上流入該接口的數(shù)據(jù)包,為入站數(shù)據(jù)流。對(duì)入站數(shù)據(jù)流的過濾控制稱為入站訪問控制。
如果一個(gè)入站數(shù)據(jù)包被訪問控制列表禁止(deny),那么該數(shù)據(jù)包被直接丟棄(discard)。只有那些被ACL允許(permit)的入站數(shù)據(jù)包才進(jìn)行路由查找與轉(zhuǎn)發(fā)處理。入站訪問控制節(jié)省了那些不必要的路由查找轉(zhuǎn)發(fā)的開銷。
入站訪問控制操作過程相對(duì)網(wǎng)絡(luò)接口來說,從網(wǎng)絡(luò)上流入該接口的6出站訪問控制操作過程從網(wǎng)絡(luò)接口流出的網(wǎng)絡(luò)數(shù)據(jù)包,稱為出站數(shù)據(jù)流。出站訪問控制是對(duì)出站數(shù)據(jù)流的過濾控制。那些被允許的入站數(shù)據(jù)流需要進(jìn)行路由轉(zhuǎn)發(fā)處理。在轉(zhuǎn)發(fā)之前,交由出站訪問控制進(jìn)行過濾控制操作。
出站訪問控制操作過程從網(wǎng)絡(luò)接口流出的網(wǎng)絡(luò)數(shù)據(jù)包,稱為出站數(shù)7入站接口數(shù)據(jù)包NY數(shù)據(jù)包丟棄桶選擇網(wǎng)絡(luò)接口
N接口是否使用ACL?路由表是否存在該路由?Y出站接口數(shù)據(jù)包S0出站訪問控制操作過程(續(xù))入站接口NY數(shù)據(jù)包丟棄桶選擇N接口路由表Y出站接口數(shù)據(jù)包S08NYN數(shù)據(jù)包訪問控制列表邏輯測(cè)試是否允許?YYS0E0出站訪問控制操作過程(續(xù))入站接口數(shù)據(jù)包路由表是否存在該路由?選擇網(wǎng)絡(luò)接口
接口是否使用ACL?數(shù)據(jù)包丟棄桶數(shù)據(jù)包出站接口NYN數(shù)據(jù)包訪問控制列表是否允許YYS0E0出站訪問控制操作9通知發(fā)送者如果邏輯測(cè)試沒有任何匹配,則丟棄數(shù)據(jù)包NYNYY丟棄數(shù)據(jù)包N數(shù)據(jù)包S0E0出站訪問控制操作過程(續(xù))入站接口數(shù)據(jù)包路由表是否存在該路由?選擇網(wǎng)絡(luò)接口
接口是否使用ACL?數(shù)據(jù)包丟棄桶數(shù)據(jù)包出站接口訪問控制列表邏輯測(cè)試是否允許?通知發(fā)送者如果邏輯測(cè)試沒有任何匹配,則丟棄數(shù)據(jù)包NYNYY丟10ACL的邏輯測(cè)試過程數(shù)據(jù)報(bào)文報(bào)文丟棄桶Y目的接口DenyDenyY匹配第一條規(guī)則?PermitACL的邏輯測(cè)試過程數(shù)據(jù)報(bào)文報(bào)文丟棄桶Y目的接口DenyD11YDenyDenyYPermitNDenyPermit匹配下一條規(guī)則?YYACL的邏輯測(cè)試過程數(shù)據(jù)報(bào)文目的接口報(bào)文丟棄桶匹配第一條規(guī)則?YDenyDenyYPermitNDenyPermit匹配Y12YDenyDenyYPermitNDenyPermitDeny匹配最后一條規(guī)則
?YYNYYPermitACL的邏輯測(cè)試過程數(shù)據(jù)報(bào)文目的接口報(bào)文丟棄桶匹配下一條規(guī)則?匹配第一條規(guī)則?YDenyDenyYPermitNDenyPermitDen13YDenyYPermitNDenyPermitDenyYYNYYPermit強(qiáng)制丟棄若無任何匹配則丟棄DenyNACL的邏輯測(cè)試過程數(shù)據(jù)報(bào)文目的接口報(bào)文丟棄桶匹配第一條規(guī)則?匹配下一條規(guī)則?匹配最后一條規(guī)則
?YDenyYPermitNDenyPermitDenyYYN14范圍/標(biāo)識(shí)IP
1-99100-199,1300-1999,2000-2699Name(CiscoIOS11.2andlater)800-899900-9991000-1099Name(CiscoIOS11.2.Fandlater)StandardExtendedSAPfiltersNamedStandardExtendedNamedACL類型IPXACL分類標(biāo)準(zhǔn)IPACL(1到99)根據(jù)IP報(bào)文的源地址測(cè)試擴(kuò)展IPACL(100到199)可以測(cè)試IP報(bào)文的源、目的地址、協(xié)議、端口號(hào)范圍/標(biāo)識(shí)IP 1-99800-899StandardSt15源地址段Segment(例如,TCP首部)數(shù)據(jù)Data報(bào)文Packet(IP首部)幀F(xiàn)rame首部(例如,HDLC)DenyPermit使用ACL規(guī)則語句1-99標(biāo)準(zhǔn)ACL源地址段Segment數(shù)據(jù)Data報(bào)文Packet幀F(xiàn)ram16目的地址源地址協(xié)議(例如TCP)端口號(hào)使用ACL規(guī)則語句100-199DenyPermit擴(kuò)展ACL幀F(xiàn)rame首部(例如,HDLC)報(bào)文Packet(IP首部)段Segment(例如,TCP首部)數(shù)據(jù)Data目的地址源地址協(xié)議(例如TCP)端口號(hào)使用DenyPerm17第一步:創(chuàng)建ACLRouter(config)#第二步:將ACL綁定到指定接口
{protocol}access-groupaccess-list-number{in|out}Router(config-if)#ACL配置access-listaccess-list-number{permit|deny}{test
conditions}第一步:創(chuàng)建ACLRouter(config)#第二步:將A180代表檢查對(duì)應(yīng)地址位的值1代表忽略對(duì)應(yīng)地址位的值donotcheckaddress
(ignorebitsinoctet)=001111111286432168421=00000000=00001111=11111100=11111111ignorelast6addressbitscheckalladdressbits(matchall)ignorelast4addressbitschecklast2addressbits示例翻轉(zhuǎn)掩碼0代表檢查對(duì)應(yīng)地址位的值donotcheckaddre19例如:9表示檢查所有的地址位可以使用關(guān)鍵字host將上語句簡(jiǎn)寫為:host9測(cè)試條件:檢查所有的地址位(matchall)9
一個(gè)IPhost關(guān)鍵字的示例如下:反轉(zhuǎn)掩碼:host關(guān)鍵字例如:9表示檢查所有20接受任何地址:55可以使用關(guān)鍵字any將上語句簡(jiǎn)寫為:any測(cè)試條件:忽略所有的地址位(matchany)
55任何IP地址反轉(zhuǎn)掩碼:any關(guān)鍵字接受任何地址:521CheckforIPsubnets/24to/24Network.host
00010000Wildcardmask: 00001111 |<----match---->|<-----don’tcare----->|
00010000 = 16
00010001 = 17
00010010 = 18 : :
00011111 = 31Addressandwildcardmask:
55通配符掩碼和IP子網(wǎng)的
對(duì)應(yīng)Network.host00010000Wildcar22標(biāo)準(zhǔn)ACL的配置access-listaccess-list-number{permit|deny}source[mask]Router(config)#為訪問控制列表增加一條測(cè)試語句標(biāo)準(zhǔn)IPACL的參數(shù)access-list-number取值范圍從1到99缺省反轉(zhuǎn)掩碼=“noaccess-listaccess-list-number”命令刪除指定號(hào)碼的ACL標(biāo)準(zhǔn)ACL的配置access-listaccess-li23access-listaccess-list-number{permit|deny}source[mask]Router(config)#在特定接口上啟用ACL設(shè)置測(cè)試為入站(in)控制還是出站(out)控制缺省為出站(out)控制“noipaccess-groupaccess-list-number”命令在特定接口禁用ACLRouter(config-if)#ipaccess-groupaccess-list-number{in|out}為訪問控制列表增加一條測(cè)試語句標(biāo)準(zhǔn)IPACL的參數(shù)access-list-number取值范圍從1到99缺省反轉(zhuǎn)掩碼=“noaccess-listaccess-list-number”命令刪除指定號(hào)碼的ACL標(biāo)準(zhǔn)ACL的配置access-listaccess-list-number243E0S0E1Non-標(biāo)準(zhǔn)ACL例1access-list1permit
55(implicitdenyall-notvisibleinthelist)(access-list1deny55)25只允許本機(jī)所在網(wǎng)絡(luò)訪問access-list1permit
55(implicitdenyall-notvisibleinthelist)(access-list1deny55)interfaceethernet0ipaccess-group1outinterfaceethernet1ipaccess-group1out3E0S0E1Non-標(biāo)準(zhǔn)ACL例1只允許本機(jī)所在網(wǎng)絡(luò)訪問access-list1permi26拒絕特定主機(jī)的訪問3E0S0E1Non-access-list1deny3標(biāo)準(zhǔn)ACL例2拒絕特定主機(jī)的訪問1273E0S0E1Non-access-list1deny3access-list1permit55(implicitdenyall)(access-list1deny55)拒絕特定主機(jī)的訪問標(biāo)準(zhǔn)ACL例228access-list1deny3access-list1permit55(implicitdenyall)(access-list1deny55)interfaceethernet0ipaccess-group1out3E0S0E1Non-標(biāo)準(zhǔn)ACL例2拒絕特定主機(jī)的訪問access-list1deny329拒絕特定子網(wǎng)的訪問3E0S0E1Non-access-list1deny55access-list1permitany(implicitdenyall)
(access-list1deny55)標(biāo)準(zhǔn)ACL例2拒絕特定子網(wǎng)的訪問130access-list1deny55access-list1permitany(implicitdenyall)
(access-list1deny55)interfaceethernet0ipaccess-group1out3E0S0E1Non-標(biāo)準(zhǔn)ACL例2拒絕特定子網(wǎng)的訪問access-list1deny31擴(kuò)展ACL的配置Router(config)#為擴(kuò)展IPACL增加一條測(cè)試語句Eq-等于lt-小于gt-大于neq-不等于Establisted用與TCP入站訪問控制列表,意義在于允許TCP報(bào)文在建立了一個(gè)確定的連接后,后繼報(bào)文可以通過Log向控制臺(tái)發(fā)送一條規(guī)則匹配的日志信息access-listaccess-list-number{permit|deny}protocolsource
source-wildcard[operatorport]
destinationdestination-wildcard
[operatorport][established][log]擴(kuò)展ACL的配置Router(config)#為擴(kuò)展IP32Router(config-if)#ipaccess-groupaccess-list-number{in|out}Router(config)#access-listaccess-list-number
{permit|deny}protocolsourcesource-wildcard[operatorport]
destinationdestination-wildcard[operatorport][established][log]擴(kuò)展ACL的配置為擴(kuò)展IPACL增加一條測(cè)試語句在特定接口上啟用擴(kuò)展ACLRouter(config-if)#ipaccess-g33禁止子網(wǎng)中任何主機(jī)訪問3上的ftp服務(wù)
允許其他任何服務(wù)3E0S0E1Non-擴(kuò)展ACL例1access-list101denytcp
5555eq21access-list101denytcp5555eq20禁止子網(wǎng)中任何主機(jī)訪問43E0S0E1Non-access-list101denytcp
5555eq21access-list101denytcp5555eq20access-list101permitipanyany(implicitdenyall)(access-list101denyip5555)擴(kuò)展ACL例1禁止子網(wǎng)中任何主機(jī)訪問3上的ftp服務(wù)
允許其他任何服務(wù)35access-list101denytcp
5555eq21access-list101denytcp5555eq20access-list101permitipanyany(implicitdenyall)(access-list101denyip5555)interfaceethernet0ipaccess-group101out3E0S0E1Non-擴(kuò)展ACL例1禁止子網(wǎng)中任何主機(jī)訪問3上的ftp服務(wù)
允許其他任何服務(wù)access-list101denytcp172.136禁止網(wǎng)段的主機(jī)遠(yuǎn)程登錄(telnet)到網(wǎng)段的任何機(jī)器
允許其他任何數(shù)據(jù)通過3E0S0E1Non-access-list101denytcp55anyeq23擴(kuò)展ACL例2禁止網(wǎng)段的主機(jī)遠(yuǎn)程登錄(telnet)到373E0S0E1Non-access-list101denytcp55anyeq23access-list101permitipanyany(implicitdenyall)擴(kuò)展ACL例2禁止網(wǎng)段的主機(jī)遠(yuǎn)程登錄(telnet)到網(wǎng)段的任何機(jī)器
允許其他任何數(shù)據(jù)通過38access-list101denytcp55anyeq23access-list101permitipanyany(implicitdenyall)interfaceethernet0ipaccess-group101out3E0S0E1Non-擴(kuò)展ACL例2禁止網(wǎng)段的主機(jī)遠(yuǎn)程登錄(telnet)到網(wǎng)段的任何機(jī)器
允許其他任何數(shù)據(jù)通過access-list101denytcp172.139命名(Named)ACL的配置Router(config)#ipaccess-list{standard|extended}nameCiscoIOSRelease11.2以后的新增特性字符串名稱必須唯一命名(Named)ACL的配置Router(config)40Router(config)#ipaccess-list{standard|extended}name{permit|deny}{ipaccesslisttestconditions}{permit|deny}{ipaccesslisttestconditions}no{permit|deny}{ipaccesslisttestconditions}Router(config{std-|ext-}nacl)#配置permit和deny語句的時(shí)候不需在前面指定ACL號(hào)碼“no”命令刪除指定的命名ACL測(cè)試語句命名(Named)ACL的配置CiscoIOSRelease11.2以后的新增特性字符串名稱必須唯一Router(config)#ipaccess-list41Router(config)#ipaccess-list{standard|extended}nameRouter(config{std-|ext-}nacl)#{permit|deny}
{ipaccesslisttestconditions}{permit|deny}{ipaccesslisttestconditions}no{permit|deny}{ipaccesslisttestconditions}Router(config-if)#ipaccess-groupname{in|out}在特定接口上啟用命名ACL命名(Named)ACL的配置CiscoIOSRelease11.2以后的新增特性字符串名稱必須唯一配置permit和deny語句的時(shí)候不需在前面指定ACL號(hào)碼“no”命令刪除指定的命名ACL測(cè)試語句Router(config)#ipaccess-list42在靠近源地址的網(wǎng)絡(luò)接口上設(shè)置擴(kuò)展ACL在靠近目的地址的網(wǎng)絡(luò)接口上設(shè)置標(biāo)準(zhǔn)ACLE0E0E1S0To0S1S0S1E0E0BAC設(shè)置ACL的位置建議:D在靠近源地址的網(wǎng)絡(luò)接口上設(shè)置擴(kuò)展ACLE0E0E1S0To043wg_ro_a#showipinte0Ethernet0isup,lineprotocolisupInternetaddressis1/24Broadcastaddressis55AddressdeterminedbysetupcommandMTUis1500bytesHelperaddressisnotsetDirectedbroadcastforwardingisdisabled
OutgoingaccesslistisnotsetInboundaccesslistis1ProxyARPisenabledSecuritylevelisdefaultSplithorizonisenabledICMPredirectsarealwayssentICMPunreachablesarealwayssentICMPmaskrepliesareneversentIPfastswitchingisenabledIPfastswitchingonthesameinterfaceisdisabledIPFeatureFastswitchingturbovectorIPmulticastfastswitchingisenabledIPmulticastdistributedfastswitchingisdisabled<textommitted>查看特定接口啟用的ACL配置wg_ro_a#showipinte0查看特定接口啟用44查看ACL測(cè)試語句wg_ro_a#showaccess-listsStandardIPaccesslist1permitpermitpermitpermitExtendedIPaccesslist101permittcphostanyeqtelnetpermittcphostanyeqftppermittcphostanyeqftp-datawg_ro_a#show{protocol}access-list{access-listnumber}wg_ro_a#showaccess-lists{access-listnumber}查看ACL測(cè)試語句wg_ro_a#showaccess-l45使用ACL控制VTY的訪問5個(gè)虛擬終端接口(vty0到vty4)對(duì)訪問路由器vty的地址進(jìn)行控制對(duì)路由器發(fā)起的向外vty訪問進(jìn)行控制01234虛擬終端接口(vty0到vty4)物理接口e0(Telnet)控制臺(tái)接口(直接連接)consolee0使用ACL控制VTY的訪問5個(gè)虛擬終端接口(vty0到vt46如何控制VTY訪問01234(1)建立一個(gè)針對(duì)IP地址過濾的標(biāo)準(zhǔn)ACL;(2)在IOS的子線路配置模式下,使用access-class命令對(duì)所有的vty綁定上述ACL。
對(duì)所有的vty端口設(shè)置同樣的約束Router#e0物理接口e0(Telnet)虛擬終端接口(vty0到vty4)如何控制VTY訪問01234(1)建立一個(gè)針對(duì)IP地址過濾的47虛擬終端Line配置命令進(jìn)入line配置模式指定ACL控制入站/出站的vty訪問連接access-classaccess-list-number{in|out}linevty{vty#|vty-range}Router(config)#Router(config-line)#虛擬終端Line配置命令進(jìn)入line配置模式指定ACL控制入48VTY訪問控制示例只允許網(wǎng)絡(luò)的主機(jī)連接路由器的vty端口access-list12permit55!linevty04access-class12in控制入站訪問VTY訪問控制示例只允許網(wǎng)絡(luò)的主機(jī)49訪問列表配置指南(再記一次)訪問列表的編號(hào)指明了使用何種協(xié)議的訪問列表每個(gè)端口、每個(gè)方向、每條協(xié)議只能對(duì)應(yīng)于一條訪問列表訪問列表的內(nèi)容決定了數(shù)據(jù)的控制順序具有嚴(yán)格限制條件的語句應(yīng)放在訪問列表所有語句的最上面在訪問列表的最后有一條隱含聲明:denyany-每一條正確的訪問列表都至少應(yīng)該有一條允許語句先創(chuàng)建訪問列表,然后應(yīng)用到端口上訪問列表不能過濾由路由器自己產(chǎn)生的數(shù)據(jù)訪問列表配置指南(再記一次)訪問列表的編號(hào)指明了使用何種協(xié)議50訪問列表配置準(zhǔn)則訪問列表中限制語句的位置是至關(guān)重要的將限制條件嚴(yán)格的語句放在訪問列表的最上面使用noaccess-listnumber
命令刪除完整的訪問列表隱含聲明denyall在設(shè)置的訪問列表中要有一句permitany訪問列表配置準(zhǔn)則訪問列表中限制語句的位置是至關(guān)重要的51?2002,CiscoSystems,Inc.Allrightsreserved.?2002,CiscoSystems,Inc.Al52第7章訪問控制列表ACLACL概述ACL的工作過程ACL分類ACL配置翻轉(zhuǎn)掩碼標(biāo)準(zhǔn)ACL的配置擴(kuò)展ACL的配置命名(Named)ACL的配置使用ACL控制虛擬終端(VTY)的訪問第7章訪問控制列表ACLACL概述53本章要求1、了解ACL的概念、用途、工作過程和分類
2、掌握翻轉(zhuǎn)掩碼的概念3、理解和掌握標(biāo)準(zhǔn)ACL、擴(kuò)展ACL、命名ACL的配置過程
4、理解和掌握使用ACL控制虛擬終端訪問的配置過程本章要求1、了解ACL的概念、用途、工作過程和分類54訪問控制列表(AccessControlList,ACL)應(yīng)用在路由器接口的指令列表指定哪些數(shù)據(jù)報(bào)可以接收、哪一些需要拒絕
ACL用途(1)限制網(wǎng)絡(luò)流量、提高網(wǎng)絡(luò)性能;(2)提供對(duì)通信流量的控制手段;(3)提供網(wǎng)絡(luò)訪問的基本安全手段;(4)在路由器(交換機(jī))接口處,決定哪種類型的通信流量被轉(zhuǎn)發(fā)、哪種被阻塞。ACL概述訪問控制列表(AccessControlList,ACL55ACL的工作過程ACL的操作過程入站訪問控制操作過程出站訪問控制操作過程ACL的邏輯測(cè)試過程ACL的工作過程ACL的操作過程56入站訪問控制操作過程相對(duì)網(wǎng)絡(luò)接口來說,從網(wǎng)絡(luò)上流入該接口的數(shù)據(jù)包,為入站數(shù)據(jù)流。對(duì)入站數(shù)據(jù)流的過濾控制稱為入站訪問控制。
如果一個(gè)入站數(shù)據(jù)包被訪問控制列表禁止(deny),那么該數(shù)據(jù)包被直接丟棄(discard)。只有那些被ACL允許(permit)的入站數(shù)據(jù)包才進(jìn)行路由查找與轉(zhuǎn)發(fā)處理。入站訪問控制節(jié)省了那些不必要的路由查找轉(zhuǎn)發(fā)的開銷。
入站訪問控制操作過程相對(duì)網(wǎng)絡(luò)接口來說,從網(wǎng)絡(luò)上流入該接口的57出站訪問控制操作過程從網(wǎng)絡(luò)接口流出的網(wǎng)絡(luò)數(shù)據(jù)包,稱為出站數(shù)據(jù)流。出站訪問控制是對(duì)出站數(shù)據(jù)流的過濾控制。那些被允許的入站數(shù)據(jù)流需要進(jìn)行路由轉(zhuǎn)發(fā)處理。在轉(zhuǎn)發(fā)之前,交由出站訪問控制進(jìn)行過濾控制操作。
出站訪問控制操作過程從網(wǎng)絡(luò)接口流出的網(wǎng)絡(luò)數(shù)據(jù)包,稱為出站數(shù)58入站接口數(shù)據(jù)包NY數(shù)據(jù)包丟棄桶選擇網(wǎng)絡(luò)接口
N接口是否使用ACL?路由表是否存在該路由?Y出站接口數(shù)據(jù)包S0出站訪問控制操作過程(續(xù))入站接口NY數(shù)據(jù)包丟棄桶選擇N接口路由表Y出站接口數(shù)據(jù)包S059NYN數(shù)據(jù)包訪問控制列表邏輯測(cè)試是否允許?YYS0E0出站訪問控制操作過程(續(xù))入站接口數(shù)據(jù)包路由表是否存在該路由?選擇網(wǎng)絡(luò)接口
接口是否使用ACL?數(shù)據(jù)包丟棄桶數(shù)據(jù)包出站接口NYN數(shù)據(jù)包訪問控制列表是否允許YYS0E0出站訪問控制操作60通知發(fā)送者如果邏輯測(cè)試沒有任何匹配,則丟棄數(shù)據(jù)包NYNYY丟棄數(shù)據(jù)包N數(shù)據(jù)包S0E0出站訪問控制操作過程(續(xù))入站接口數(shù)據(jù)包路由表是否存在該路由?選擇網(wǎng)絡(luò)接口
接口是否使用ACL?數(shù)據(jù)包丟棄桶數(shù)據(jù)包出站接口訪問控制列表邏輯測(cè)試是否允許?通知發(fā)送者如果邏輯測(cè)試沒有任何匹配,則丟棄數(shù)據(jù)包NYNYY丟61ACL的邏輯測(cè)試過程數(shù)據(jù)報(bào)文報(bào)文丟棄桶Y目的接口DenyDenyY匹配第一條規(guī)則?PermitACL的邏輯測(cè)試過程數(shù)據(jù)報(bào)文報(bào)文丟棄桶Y目的接口DenyD62YDenyDenyYPermitNDenyPermit匹配下一條規(guī)則?YYACL的邏輯測(cè)試過程數(shù)據(jù)報(bào)文目的接口報(bào)文丟棄桶匹配第一條規(guī)則?YDenyDenyYPermitNDenyPermit匹配Y63YDenyDenyYPermitNDenyPermitDeny匹配最后一條規(guī)則
?YYNYYPermitACL的邏輯測(cè)試過程數(shù)據(jù)報(bào)文目的接口報(bào)文丟棄桶匹配下一條規(guī)則?匹配第一條規(guī)則?YDenyDenyYPermitNDenyPermitDen64YDenyYPermitNDenyPermitDenyYYNYYPermit強(qiáng)制丟棄若無任何匹配則丟棄DenyNACL的邏輯測(cè)試過程數(shù)據(jù)報(bào)文目的接口報(bào)文丟棄桶匹配第一條規(guī)則?匹配下一條規(guī)則?匹配最后一條規(guī)則
?YDenyYPermitNDenyPermitDenyYYN65范圍/標(biāo)識(shí)IP
1-99100-199,1300-1999,2000-2699Name(CiscoIOS11.2andlater)800-899900-9991000-1099Name(CiscoIOS11.2.Fandlater)StandardExtendedSAPfiltersNamedStandardExtendedNamedACL類型IPXACL分類標(biāo)準(zhǔn)IPACL(1到99)根據(jù)IP報(bào)文的源地址測(cè)試擴(kuò)展IPACL(100到199)可以測(cè)試IP報(bào)文的源、目的地址、協(xié)議、端口號(hào)范圍/標(biāo)識(shí)IP 1-99800-899StandardSt66源地址段Segment(例如,TCP首部)數(shù)據(jù)Data報(bào)文Packet(IP首部)幀F(xiàn)rame首部(例如,HDLC)DenyPermit使用ACL規(guī)則語句1-99標(biāo)準(zhǔn)ACL源地址段Segment數(shù)據(jù)Data報(bào)文Packet幀F(xiàn)ram67目的地址源地址協(xié)議(例如TCP)端口號(hào)使用ACL規(guī)則語句100-199DenyPermit擴(kuò)展ACL幀F(xiàn)rame首部(例如,HDLC)報(bào)文Packet(IP首部)段Segment(例如,TCP首部)數(shù)據(jù)Data目的地址源地址協(xié)議(例如TCP)端口號(hào)使用DenyPerm68第一步:創(chuàng)建ACLRouter(config)#第二步:將ACL綁定到指定接口
{protocol}access-groupaccess-list-number{in|out}Router(config-if)#ACL配置access-listaccess-list-number{permit|deny}{test
conditions}第一步:創(chuàng)建ACLRouter(config)#第二步:將A690代表檢查對(duì)應(yīng)地址位的值1代表忽略對(duì)應(yīng)地址位的值donotcheckaddress
(ignorebitsinoctet)=001111111286432168421=00000000=00001111=11111100=11111111ignorelast6addressbitscheckalladdressbits(matchall)ignorelast4addressbitschecklast2addressbits示例翻轉(zhuǎn)掩碼0代表檢查對(duì)應(yīng)地址位的值donotcheckaddre70例如:9表示檢查所有的地址位可以使用關(guān)鍵字host將上語句簡(jiǎn)寫為:host9測(cè)試條件:檢查所有的地址位(matchall)9
一個(gè)IPhost關(guān)鍵字的示例如下:反轉(zhuǎn)掩碼:host關(guān)鍵字例如:9表示檢查所有71接受任何地址:55可以使用關(guān)鍵字any將上語句簡(jiǎn)寫為:any測(cè)試條件:忽略所有的地址位(matchany)
55任何IP地址反轉(zhuǎn)掩碼:any關(guān)鍵字接受任何地址:572CheckforIPsubnets/24to/24Network.host
00010000Wildcardmask: 00001111 |<----match---->|<-----don’tcare----->|
00010000 = 16
00010001 = 17
00010010 = 18 : :
00011111 = 31Addressandwildcardmask:
55通配符掩碼和IP子網(wǎng)的
對(duì)應(yīng)Network.host00010000Wildcar73標(biāo)準(zhǔn)ACL的配置access-listaccess-list-number{permit|deny}source[mask]Router(config)#為訪問控制列表增加一條測(cè)試語句標(biāo)準(zhǔn)IPACL的參數(shù)access-list-number取值范圍從1到99缺省反轉(zhuǎn)掩碼=“noaccess-listaccess-list-number”命令刪除指定號(hào)碼的ACL標(biāo)準(zhǔn)ACL的配置access-listaccess-li74access-listaccess-list-number{permit|deny}source[mask]Router(config)#在特定接口上啟用ACL設(shè)置測(cè)試為入站(in)控制還是出站(out)控制缺省為出站(out)控制“noipaccess-groupaccess-list-number”命令在特定接口禁用ACLRouter(config-if)#ipaccess-groupaccess-list-number{in|out}為訪問控制列表增加一條測(cè)試語句標(biāo)準(zhǔn)IPACL的參數(shù)access-list-number取值范圍從1到99缺省反轉(zhuǎn)掩碼=“noaccess-listaccess-list-number”命令刪除指定號(hào)碼的ACL標(biāo)準(zhǔn)ACL的配置access-listaccess-list-number753E0S0E1Non-標(biāo)準(zhǔn)ACL例1access-list1permit
55(implicitdenyall-notvisibleinthelist)(access-list1deny55)76只允許本機(jī)所在網(wǎng)絡(luò)訪問access-list1permit
55(implicitdenyall-notvisibleinthelist)(access-list1deny55)interfaceethernet0ipaccess-group1outinterfaceethernet1ipaccess-group1out3E0S0E1Non-標(biāo)準(zhǔn)ACL例1只允許本機(jī)所在網(wǎng)絡(luò)訪問access-list1permi77拒絕特定主機(jī)的訪問3E0S0E1Non-access-list1deny3標(biāo)準(zhǔn)ACL例2拒絕特定主機(jī)的訪問1783E0S0E1Non-access-list1deny3access-list1permit55(implicitdenyall)(access-list1deny55)拒絕特定主機(jī)的訪問標(biāo)準(zhǔn)ACL例279access-list1deny3access-list1permit55(implicitdenyall)(access-list1deny55)interfaceethernet0ipaccess-group1out3E0S0E1Non-標(biāo)準(zhǔn)ACL例2拒絕特定主機(jī)的訪問access-list1deny380拒絕特定子網(wǎng)的訪問3E0S0E1Non-access-list1deny55access-list1permitany(implicitdenyall)
(access-list1deny55)標(biāo)準(zhǔn)ACL例2拒絕特定子網(wǎng)的訪問181access-list1deny55access-list1permitany(implicitdenyall)
(access-list1deny55)interfaceethernet0ipaccess-group1out3E0S0E1Non-標(biāo)準(zhǔn)ACL例2拒絕特定子網(wǎng)的訪問access-list1deny82擴(kuò)展ACL的配置Router(config)#為擴(kuò)展IPACL增加一條測(cè)試語句Eq-等于lt-小于gt-大于neq-不等于Establisted用與TCP入站訪問控制列表,意義在于允許TCP報(bào)文在建立了一個(gè)確定的連接后,后繼報(bào)文可以通過Log向控制臺(tái)發(fā)送一條規(guī)則匹配的日志信息access-listaccess-list-number{permit|deny}protocolsource
source-wildcard[operatorport]
destinationdestination-wildcard
[operatorport][established][log]擴(kuò)展ACL的配置Router(config)#為擴(kuò)展IP83Router(config-if)#ipaccess-groupaccess-list-number{in|out}Router(config)#access-listaccess-list-number
{permit|deny}protocolsourcesource-wildcard[operatorport]
destinationdestination-wildcard[operatorport][established][log]擴(kuò)展ACL的配置為擴(kuò)展IPACL增加一條測(cè)試語句在特定接口上啟用擴(kuò)展ACLRouter(config-if)#ipaccess-g84禁止子網(wǎng)中任何主機(jī)訪問3上的ftp服務(wù)
允許其他任何服務(wù)3E0S0E1Non-擴(kuò)展ACL例1access-list101denytcp
5555eq21access-list101denytcp5555eq20禁止子網(wǎng)中任何主機(jī)訪問53E0S0E1Non-access-list101denytcp
5555eq21access-list101denytcp5555eq20access-list101permitipanyany(implicitdenyall)(access-list101denyip5555)擴(kuò)展ACL例1禁止子網(wǎng)中任何主機(jī)訪問3上的ftp服務(wù)
允許其他任何服務(wù)86access-list101denytcp
5555eq21access-list101denytcp5555eq20access-list101permitipanyany(implicitdenyall)(access-list101denyip5555)interfaceethernet0ipaccess-group101out3E0S0E1Non-擴(kuò)展ACL例1禁止子網(wǎng)中任何主機(jī)訪問3上的ftp服務(wù)
允許其他任何服務(wù)access-list101denytcp172.187禁止網(wǎng)段的主機(jī)遠(yuǎn)程登錄(telnet)到網(wǎng)段的任何機(jī)器
允許其他任何數(shù)據(jù)通過3E0S0E1Non-access-list101denytcp55anyeq23擴(kuò)展ACL例2禁止網(wǎng)段的主機(jī)遠(yuǎn)程登錄(telnet)到883E0S0E1Non-access-list101denytcp55anyeq23access-list101permitipanyany(implicitdenyall)擴(kuò)展ACL例2禁止網(wǎng)段的主機(jī)遠(yuǎn)程登錄(telnet)到網(wǎng)段的任何機(jī)器
允許其他任何數(shù)據(jù)通過89access-list101denytcp55anyeq23access-list101permitipanyany(implicitdenyall)interfaceethernet0ipaccess-group101out3E0S0E1Non-擴(kuò)展ACL例2禁止網(wǎng)段的主機(jī)遠(yuǎn)程登錄(telnet)到網(wǎng)段的任何機(jī)器
允許其他任何數(shù)據(jù)通過access-list101denytcp172.190命名(Named)ACL的配置Router(config)#ipaccess-list{standard|extended}nameCiscoIOSRelease11.2以后的新增特性字符串名稱必須唯一命名(Named)ACL的配置Router(config)91Router(config)#ipaccess-list{standard|extended}name{permit|deny}{ipaccesslisttestconditions}{permit|deny}{ipaccesslisttestconditions}no{permit|deny}{ipaccesslisttestconditions}Router(config{std-|ext-}nacl)#配置permit和deny語句的時(shí)候不需在前面指定ACL號(hào)碼“no”命令刪除指定的命名ACL測(cè)試語句命名(Named)ACL的配置CiscoIOSRelease11.2以后的新增特性字符串名稱必須唯一Router(config)#ipaccess-list92Router(config)#ipaccess-list{standard|extended}nameRouter(config{std-|ext-}nacl)#{permit|deny}
{ipaccesslisttestconditions}{permit|deny}{ipaccesslisttestconditions}no{permit|deny}{ipaccesslisttestconditions}Router(config-if)#ipaccess-groupname{in|out}在特定接口上啟用命名ACL命名(Named)ACL的配置CiscoIOSRelease11.2以后的新增特性字符串名稱必須唯一配置permit和deny語句的時(shí)候不需在前面指定ACL號(hào)碼“no”命令刪除指定的命名ACL測(cè)試語句Router(config)#ipaccess-list93在靠近源地址的網(wǎng)絡(luò)接口上設(shè)置擴(kuò)展ACL在靠近目的地址的網(wǎng)絡(luò)接口上設(shè)置標(biāo)準(zhǔn)ACLE0E0E1S0To0S1S0S1E0E0BAC設(shè)置ACL的位置建議:D在靠近源地址的網(wǎng)絡(luò)接口上設(shè)
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。
最新文檔
- 2025年云南交通運(yùn)輸職業(yè)學(xué)院高職單招高職單招英語2016-2024歷年頻考點(diǎn)試題含答案解析
- 2025年東莞職業(yè)技術(shù)學(xué)院高職單招高職單招英語2016-2024歷年頻考點(diǎn)試題含答案解析
- 2025年上海工商外國語職業(yè)學(xué)院高職單招高職單招英語2016-2024歷年頻考點(diǎn)試題含答案解析
- 2025年上海交通職業(yè)技術(shù)學(xué)院高職單招職業(yè)適應(yīng)性測(cè)試近5年??及鎱⒖碱}庫含答案解析
- 音樂制作行業(yè)競(jìng)爭(zhēng)格局分析-洞察分析
- 2025年度建筑材料零星購銷合同范本4篇
- 二零二五年度農(nóng)業(yè)大棚租賃合作及配套設(shè)施安裝合同4篇
- 2025年度車輛租賃行業(yè)風(fēng)險(xiǎn)評(píng)估與控制合同4篇
- 2025年度教育培訓(xùn)機(jī)構(gòu)合作辦學(xué)合同范本3篇
- 項(xiàng)目可行性評(píng)估指標(biāo)體系-洞察分析
- 寒潮雨雪應(yīng)急預(yù)案范文(2篇)
- 垃圾車駕駛員聘用合同
- 變壓器搬遷施工方案
- 單位轉(zhuǎn)賬個(gè)人合同模板
- 八年級(jí)語文下冊(cè) 成語故事 第十五課 諱疾忌醫(yī) 第六課時(shí) 口語交際教案 新教版(漢語)
- EPC項(xiàng)目采購階段質(zhì)量保證措施
- T-NAHIEM 101-2023 急診科建設(shè)與設(shè)備配置標(biāo)準(zhǔn)
- 四川2024年專業(yè)技術(shù)人員公需科目“數(shù)字經(jīng)濟(jì)與驅(qū)動(dòng)發(fā)展”參考答案(通用版)
- 煤炭裝卸服務(wù)合同
- 廣東省佛山市順德區(qū)2023學(xué)年中考一模物理試題(含答案解析)
- 高考英語真題100個(gè)長難句(語法填空)
評(píng)論
0/150
提交評(píng)論