《子项目14-ACL的实施.ppt》由会员分享,可在线阅读,更多相关《子项目14-ACL的实施.ppt(45页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、子项目14 ACL的实施项目任务项目任务某学校的网络环境如下图所示:配置任意路由协议实现全网互通在R1上配置ACL只允许服务器和P1访问外网外部主机只允许访问WEB服务器获取WEB服务,访问FTP服务器获取FTP服务,不能访问其他主机。项目导读项目导读预备知识预备知识ACL的基础理论的基础理论标准标准ACL的配置的配置标准标准ACL的配置实例的配置实例ACL的实施的实施项目任务项目任务项目实施项目实施扩展扩展ACL的配置的配置扩展扩展ACL的配置实例的配置实例ACL的定义的定义 ACL是访问控制列表的英文缩写。 访问控制列 表是应用在路由器接口的指令列表。ACL通过读取源地址、目的地址、源端口
2、、目的端口等信息。根据预先设定好的规则对包进行过滤,从而达到访问控制的目的。ACL的工作过程的工作过程 ACL的操作过程 n入站访问控制操作过程 n出站访问控制操作过程入站访问控制操作过程入站访问控制操作过程 入站数据流 n对于网络接口来说,从网络上流入该接口的数据包即为入站数据流,对其的控制称为入站访问控制。 入站访问控制的处理方式n严进宽出型。出站访问控制操作过程出站访问控制操作过程 出站数据流 n对于网络接口来说,从该接口流出的数据包即为出站数据流,对其的控制称为出站访问控制。 出站访问控制的处理方式n宽进严出型。ACL的逻辑测试过程的逻辑测试过程数据报文数据报文报文丢弃桶报文丢弃桶Y目
3、的接口目的接口DenyDenyY匹配匹配第一条第一条规则规则?PermitYDenyDenyYPermitNDenyPermit匹配匹配下一条下一条规则规则?YY数据报文数据报文目的接口目的接口报文丢弃桶报文丢弃桶匹配匹配第一条第一条规则规则?ACL的逻辑测试过程的逻辑测试过程 YDenyDenyYPermitNDenyPermitDeny匹配匹配最后一条最后一条规则规则?YYNYYPermit数据报文数据报文目的接口目的接口报文丢弃桶报文丢弃桶匹配匹配下一条下一条规则规则?匹配匹配第一条第一条规则规则?ACL的逻辑测试过程的逻辑测试过程 YDenyYPermitNDenyPermitDeny
4、YYNYYPermit强制丢弃强制丢弃若无任何匹配若无任何匹配则丢弃则丢弃DenyN数据报文数据报文目的接口目的接口报文丢弃桶报文丢弃桶匹配匹配第一条第一条规则规则?匹配匹配下一条下一条规则规则?匹配匹配最后一条最后一条规则规则?ACL的逻辑测试过程的逻辑测试过程 ACL的分类的分类 标准ACL(基于IP)扩展ACL(基于IP) 标准标准ACL 标准访问控制列表只检查被路由器路由的数据 包的源地址。若使用标准访问控制列表禁用某 网段,则该网段下所有主机以及所有协议都被 禁止。 用1-99之间数字作为标号。 一般用于局域网,所以最好把标准ACL应用在 离目的地址最近的地方。源地址源地址段段Seg
5、ment(例如,例如,TCP首部)首部)数据数据Data报文报文Packet(IP首部)首部)帧帧Frame首部首部(例如,例如,HDLC)DenyPermit 使用使用ACL规则语句规则语句1-99 标准标准ACL标准标准ACL举例举例【例14-1】 标准ACL举例1:只允许源地址为192.168.1.5的 数据包通过。 标准ACL举例2:只拒绝源地址为10.0.0.0的数据 包。扩展扩展ACL 扩展访问控制列表对数据包源地址、目的地址、 源端口、目的端口都进行检查。 用100-199之间数字作为标号。 一般用于外网,所以最好把扩展ACL应用在离 源地址最近的地方。目的地址目的地址源地址源地
6、址协议(例如协议(例如TCP)端口号端口号 使用使用ACL规则语句规则语句100-199DenyPermit扩展扩展ACL帧帧Frame首部首部(例如,例如,HDLC)报文报文Packet(IP首部)首部)段段Segment(例如,例如,TCP首部)首部)数据数据Data扩展扩展ACL举例举例【例14-2】 扩展ACL举例1:只允许来自192.168.10.2去往 202.22.1.1的数据包通过。 扩展ACL举例2:拒绝所有来自172.16.1.0的FTP 数据包。 扩展ACL举例3:拒绝所有来自172.16.1.0去往 202.1.1.0的WEB数据包。ACL的原则的原则 最靠近受控对象原
7、则 在检查规则时是采用自上而下在ACL中一条条 检测的,只要发现符合条件了就立刻处理,而 不继续检测下面的ACL语句。 默认丢弃原则 在CISCO路由交换设备中默认最后一句为ACL 中加入了DENY ANY ANY,也就是丢弃所有 不符合条件的数据包。项目导读项目导读预备知识预备知识ACL的基础理论的基础理论标准标准ACL的配置的配置标准标准ACL的配置实例的配置实例ACL的实施的实施项目任务项目任务项目实施项目实施扩展扩展ACL的配置的配置扩展扩展ACL的配置实例的配置实例标准标准ACL的配置步骤的配置步骤 1 1)创建ACLACL2 2)将ACLACL绑定的指定端口上创建标准创建标准ACL
8、 模式:全局配置模式命令:access-list access-list permit | deny permit | deny | any | host | any | host 参数:详见板书。结果:创建了一个标准的访问控制列表,可以使用no access-list no access-list 命令删除指定号码的ACLACL。允许源地址为172.17.31.222172.17.31.222的数据包通过,其 他主机的禁止。允许源地址为172.17.31.222172.17.31.222的数据包通过,其 他主机的禁止。【例例14-3】 只禁止来自172.17.31.222172.17.31.
9、222的数据通过,其他主 机允许。【例例14-4】 【例例14-5】 只禁止172.17.31.0/24172.17.31.0/24通过,其他主机允许。【例例14-6】 只允许172.17.31.0/24172.17.31.0/24通过,其他主机禁止。将标准将标准ACL绑定到指定接口上绑定到指定接口上 模式:接口配置模式命令:ip access-group ACLip access-group in | out in | out参数:ACLACL编号是你要应用在这个接口上的ACLACL的编号。InIn和outout是指入站控制还是出站控制,缺省为出站(outout)控制。结果:将ACLACL应
10、用到了具体的接口上,可以使用no no ip access-group ACLip access-group 命令在特定接口禁用ACLACL。项目导读项目导读预备知识预备知识ACL的基础理论的基础理论标准标准ACL的配置的配置标准标准ACL的配置实例的配置实例ACL的实施的实施项目任务项目任务项目实施项目实施扩展扩展ACL的配置实例的配置实例扩展扩展ACL的配置实例的配置实例标准标准ACL实例实例 网络结构如下图所示,现要求配置EIGRP协议实现网络 互通,然后在路由器上配置标准ACL实现只拒绝来自 192.学号.1.10的数据包到达PC2。项目导读项目导读预备知识预备知识ACL的基础理论的基
11、础理论标准标准ACL的配置的配置标准标准ACL的配置实例的配置实例ACL的实施的实施项目任务项目任务项目实施项目实施扩展扩展ACL的配置的配置扩展扩展ACL的配置实例的配置实例扩展扩展ACL 扩展访问控制列表对数据包源地址、目的地址、 源端口、目的端口都进行检查。 用100-199之间数字作为标号。 一般用于外网,最好把扩展ACL应用在离源地址最近的地方。创建扩展创建扩展ACL 模式:全局配置模式命令: access-list access-list permit | deny permit | deny 扩展ACLACL编号的取值范围一般是100-199100-199。创建扩展创建扩展ACL
12、 access-list access-list permit | deny permit | deny 协议是指访问控制列表过滤的哪种协议承载的数据包,协议类型包括IPIP、TCPTCP、 UDP UDP、ICMPICMP等等。规则中只有网络层信息且为普通数据传输时选择IPIP规则中有传输层信息时根据端口号选择TCPTCP或UDPUDP。规则中只有网络层信息且为控制数据传输时选择ICMPICMP。常用应用程序的端口号和承载协议常用应用程序的端口号和承载协议 应用层协议端口号承载协议ftp20、21tcppop3110tcpsmtp25tcptelnet23tcphttp80tcpsnmp16
13、1、162udpQq2003前8000、4000udpQq2003后8000、4000Tcp和udpdns53Tcp和udp创建扩展创建扩展ACL access-list access-list permit | deny permit | deny 源地址信息是指要过滤的数据包的来源信息,可以包含以下书写格式: | any | host | any | host 。创建扩展创建扩展ACL access-list access-list permit | deny permit | deny 操作符用来指明本规则和源端口信息的关系:Eq-Eq-等于、lt-lt-小于、gt-gt-大于、neq-
14、neq-不等于、rangerange介于之间。源端口用来指明数据包发送端的采用的应用程序,可用端口号表示,也可用应用层协议名表示。创建扩展创建扩展ACL access-list access-list permit | deny permit | deny 目的地址信息:和源地址信息格式相同。操作符:和源端口的操作符格式相同。目的端口信息:和源端口信息的格式相同。创建扩展创建扩展ACL 参数6 6:目的地址信息是指要过滤的数据包的 来源信息,格式和源地址相同。参数7 7:目的端口信息用来指明数据包接收端 的采用的应用程序,表示方法和源端口信息相同。将扩展将扩展ACL绑定到指定接口上绑定到指定接
15、口上 模式:接口配置模式命令:ip access-group ACLip access-group in | out in | out参数:ACLACL编号是你要应用在这个接口上的ACLACL的编号。InIn和outout是指入站控制还是出站控制,缺省为出站(outout)控制。结果:将ACLACL应用到了具体的接口上,可以使用no no ip access-group ACLip access-group 命令在特定接口禁用ACLACL。【例【例14-7】网络环境如图所示,要求只允许】网络环境如图所示,要求只允许 来自网络来自网络192.168.20.0而且要到达而且要到达10.10.0.0
16、 的数据从的数据从E2接口转发出去,但不允许访问接口转发出去,但不允许访问 主机主机10.10.0.128。 【例【例14-8】网络环境如图所示,要求禁止子】网络环境如图所示,要求禁止子 网网172.16.3.0中任何主机访问中任何主机访问172.16.4.13上的上的ftp服务,允许其他任何服务。服务,允许其他任何服务。【例【例14-9】禁止】禁止172.16.4.0网段的主机远网段的主机远 程登录(程登录(telnet)到)到172.16.3.0网段的任网段的任 何机器上,允许其他任何数据通过。何机器上,允许其他任何数据通过。显示全部显示全部ACL 模式:特权模式命令:show acces
17、s-listsshow access-lists结果:显示出所有的ACLACL信息。显示特定显示特定ACL 模式:特权模式命令:show access-lists ACLshow access-lists 参数:ACLACL编号是已经创建的ACLACL的编号。结果:显示出特定ACLACL的信息。项目导读项目导读预备知识预备知识ACL的基础理论的基础理论标准标准ACL的配置的配置标准标准ACL的配置实例的配置实例ACL的实施的实施项目任务项目任务项目实施项目实施扩展扩展ACL的配置的配置扩展扩展ACL的配置实例的配置实例扩展扩展ACL实例实例网络结构如下图所示,现要求配置EIGRP协议实现网络 互通,然后在路由器上配置扩展ACL实现以下功能: 1)PC0不能访问192.学号.3.0网段的任意主机。 2)PC2不能访问WEB的服务器的WEB服务,但可以进 行其他通信。Thank you