《《ACL配置步骤》PPT课件.ppt》由会员分享,可在线阅读,更多相关《《ACL配置步骤》PPT课件.ppt(18页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、网络互联技术网络互联技术 计算机网络技术专业第七章第七章 访问控制列表访问控制列表 教学目标:教学目标:1、ACL的概念2、ACL的工作原理3、ACL的配置4、ACL的应用举例职业技能教学点:职业技能教学点:1、掌握ACL的标准配置格式2、掌握ACL的扩展配置格式3、能根据要求创建合理的ACLA、安全控制:允许一些符合匹配准则的数据包通过路由器,、安全控制:允许一些符合匹配准则的数据包通过路由器,而拒绝其他的数据包,从而为网络提供安全访问的功能而拒绝其他的数据包,从而为网络提供安全访问的功能B、流量过虑:可以拒绝一些不必要的数据包通过网络,以、流量过虑:可以拒绝一些不必要的数据包通过网络,以提
2、高带宽的利用变幻无常提高带宽的利用变幻无常C、流量标识:许多在路由器上的网络应用都要依靠、流量标识:许多在路由器上的网络应用都要依靠ACL才才能完成任务,所以大多都要用到能完成任务,所以大多都要用到ACL的标识的标识一、一、ACL的作用的作用 二、二、ACL的工作原理的工作原理 1、路由器对数据包的处理情况、路由器对数据包的处理情况A、当收到数据包时,首先检查是否有进站访问控制列表与接口相关联,如果没有正常进入,有则执行(允许或拒B、路由器对通过ACL的数据包执行路由选择,路由表中没有目标地址则丢包,有则转发C、数据包到达路由器的出口时,路由器检查是否有出站ACL与此接口相关联,没有直接把数据
3、包转发,有则执行ACL2、ACL的执行顺序的执行顺序ACL对每个数据包都是按照自上而下的顺序进行匹配。如果第一个匹配则执行ACL,否则继续检测列表中的下一条语句3、隐式拒绝一切和显示允许一切、隐式拒绝一切和显示允许一切A、当一个数据包对所有语句都一匹配时,路由器自动丢包(路由器在每人ACL后都自动加了拒绝一切的语句,即自动加入了deny any语句)B、可以在ACL后面加permit any语句来显示允许一切数据包通过二、二、ACL的工作原理的工作原理 二、二、ACL的工作原理的工作原理 4、TCP/IP访问控制列表访问控制列表A、TCP/IP访问控制列表对数据包的第三层和第四层信息进行检测B
4、、利用给定的一个网段进行比较 例子:例子:例:只允许通过,则表示成或者用host来取代检查所有的位。(permit host 192.168.1.1)例:只允许通过,则表示成permit 172.168.1.0 0.0.0.255 例:不允许通过,则表示成三、三、TCP/IP访问控制列表的配置访问控制列表的配置 1、IP访问控制列表可以分为以下两大类:访问控制列表可以分为以下两大类:A、标准IPACL:只对数据包的源IP地址进行检查(号码范围为1-99)B、扩展IPACL:对数据包的源和目标IP地址、源和目标端口号等进行检查,因此可以对FTP、TELNET、SNMP等协议进行控制(号码范围为1
5、00-199)2、标准、标准IPACL配置配置:格式:access-list access-list-number deny|permitsource-addresssource-wildcardaccess-list-number:ACL的号码(1-99)deny|permit:拒绝或允许source-address:数据包的源地址,可以是某个网络、某个子网、某个主机source-wildcard:数据包的源地址的通配符掩码等)三、三、TCP/IP访问控制列表的配置访问控制列表的配置 3、扩展、扩展IPACL配置:配置:格式:access-list access-list-number de
6、ny|permitprotocolsource-address source-wildcard operator portdestination-address destination-wildcard operator portestablishedlogaccess-list-number:ACL号码,扩展IP的编号为100-199protocol:数据包所采用的协议,它可以是IP、TCP、UDP、IGMP等operator:指定逻辑操作:eq(等于)neq(不等于)gt(大于)lt(小于)range(范围)port:指明被匹配的应用层端口,telnet为23、FTP为20和21desti
7、nation-address:源地址 三、三、TCP/IP访问控制列表的配置访问控制列表的配置 4、命名、命名IP访问控制列表:访问控制列表:用一个字符串来代替ACL的列表号,优点是便于管理,在以上版本才支持格式:ip access-liststandard|extendedname例:ip access-list standard systemlist5、调用、调用IP访问控制列表访问控制列表在路由器接口上调用列表时,还需要注意是进站还是出站格式:ip access-group access-list-numberin/out还有一种调用是用来控制路由器虚拟终端的会话:格式:access-c
8、lass access-list-numberin/out四、四、ACL应用应用 192.168.1.1172.16.1.1173.16.1.1Rt_ARt_BF0/1S0/0(Dec)S0/1F0/0192.168.1.2172.16.1.2172.16.1.3173.16.1.3Web server173.16.1.2FTP server1、路由器、路由器A的配置的配置:Int e0IpNo shutdownExitInt s0Ip addrClock rate 64000No shutdownExitIp route 193.16.1.0 255.255.255.0 s0四、四、ACL应
9、用应用 192.168.1.1172.16.1.1173.16.1.1Rt_ARt_BF0/1S0/0(Dec)S0/1F0/0192.168.1.2172.16.1.2172.16.1.3173.16.1.3Web server173.16.1.2FTP server2、路由器、路由器B的配置:的配置:Int e0Ip addrNo shutExitInt s0 Ip addrNo shutExitIp route 172.16.1.0 255.255.255.0 s0四、四、ACL应用应用 192.168.1.1172.16.1.1173.16.1.1Rt_ARt_BF0/1S0/0(De
10、c)S0/1F0/0192.168.1.2172.16.1.2172.16.1.3173.16.1.3Web server173.16.1.2FTP server3、ACL应用实例应用实例1例:禁止访问网络的所有资源(config)#Access-list 1 deny host 172.16.1.2/拒绝主机的访问,是标准ACL(config)#access-list 1 permit any /允许其他主机访问(config)#int e0(config-if)#ip access-group 1 out/将访问控制列表1设置为出站列表在B路由器上启用debug ip packet来查看路
11、由信息利用show ip int e0命令显示e0端口的信息利用show access-list命令显示访问控制表表的信息利用no ip access-group 1 out命令删除对ACL的调用四、四、ACL应用应用 192.168.1.1172.16.1.1173.16.1.1Rt_ARt_BF0/1S0/0(Dec)S0/1F0/0192.168.1.2172.16.1.2172.16.1.3173.16.1.3Web server173.16.1.2FTP server4、ACL应用实例应用实例2例:只允许主机访问网络,同时不允许网络的其他任何主机访问Access-list 2 per
12、mit anyInt e0Ip access-group 2 out四、四、ACL应用应用 192.168.1.1172.16.1.1173.16.1.1Rt_ARt_BF0/1S0/0(Dec)S0/1F0/0192.168.1.2172.16.1.2172.16.1.3173.16.1.3Web server173.16.1.2FTP server5、ACL应用实例应用实例3例:只允许网络中的172.16.1.3 telnet到路由器B,同时对其他网络的主机不进行过滤操作Line vty 0 4Password ciscoAccess-class 2 inLogin四、四、ACL应用应用
13、192.168.1.1172.16.1.1173.16.1.1Rt_ARt_BF0/1S0/0(Dec)S0/1F0/0192.168.1.2172.16.1.2172.16.1.3173.16.1.3Web server173.16.1.2FTP server6、ACL应用实例应用实例4拒绝主机到FTP服务器的FTP数据流量。本例中使用的是扩展ACL,应当尽量地接近源网络,同时为了节省路由器的CPU资源,最好将列表定义为进站表。在前面的例子中,删除B的E0口上加载的ACL,然后到A进行配置RouterA(config)#access-list 101 deny tcp host172.16.
14、1.2 host173.16.2 eq 21RouterA(config)#access-list 101 deny tcp host172.16.1.2 host173.16.2 eq 20RouterA(config)#access-list 101 permit ip any anyRouterA(config)#Int e0RouterA(config-if)#ip access-group 101 in四、四、ACL应用应用 192.168.1.1172.16.1.1173.16.1.1Rt_ARt_BF0/1S0/0(Dec)S0/1F0/0192.168.1.2172.16.1.
15、2172.16.1.3173.16.1.3Web server173.16.1.2FTP server7、ACL采用命名访问列表的应用采用命名访问列表的应用例:RouterB(config)#ip access-list standard cisco /配置名为cisco的列表RouterB(config-std-nacl)#denyRouterB(config-std-nacl)#permit anyRouterB(config-std-nacl)#ExitRouterB(config)#Int e0RouterB(config-if)#ip access-group cisco out四、
16、四、ACL应用应用 8、用、用ACL来抵挡冲击波病毒来抵挡冲击波病毒Access-list 110 deny udp any any eq 69 /禁止使用TFTPAccess-list 110 deny tcp any any eq 135/防止病毒Access-list 110 deny udp any any eq 135/防止病毒Access-list 110 deny udp any any eq 137/防止冲击波病毒Access-list 110 deny udp any any eq 138/防止冲击波病毒Access-list 110 deny tcp any any eq
17、139/防止冲击波病毒Access-list 110 deny udp any any eq 139/防止冲击波病毒Access-list 110 deny tcp any any eq 445/防止冲击波病毒Access-list 110 deny tcp any any eq 593/防止冲击波病毒Access-list 110 deny tcp any any eq 4444/防止远程访问病毒Access-list 110 permit ip any any/允许其他的数据通过Ip access-group 110 in /加入到设备的进站口Ip access-group 110 out /加入到设备的出站口1、ACL的概念的概念2、ACL工作原理工作原理3、ACL的配置的配置4、ACL的应用的应用 小结小结