《访问控制列表-介绍.pptx》由会员分享,可在线阅读,更多相关《访问控制列表-介绍.pptx(44页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、Version:10.A本课程前您应该已经完成如下课程本课程前您应该已经完成如下课程 TCP/IP协议基础协议基础什么是访问控制列表?什么是访问控制列表?访问控制列表简介访问控制列表简介 访问控制列表(ACL,Access Control List)是路由器或者交换机上的流量过滤器,它可以根据数据报文的属性,比如MAC地址、IP地址、端口号等来识别特定类型的数据流量。在识别出数据流量后,访问控制列表可执行预定义的动作(Permit或者Deny)。什么是访问控制列表?什么是访问控制列表?访问控制列表的作用访问控制列表的作用 ACL可以限制网络流量、提高网络性能。例如,ACL可以根据数据包的协议,
2、指定数据包的优先级。ACL提供对通信流量的控制手段。例如,ACL可以限定或简化路由更新信息的长度,从而限制通过路由器某一网段的通信流量。ACL是提供网络安全访问的基本手段。ACL允许主机A访问人力资源网络,而拒绝主机B访问。ACL可以在端口处决定哪种类型的通信流量被转发或被阻塞。例如,用户可以允许E-mail通信流量被路由,拒绝所有的Telnet通信流量。ACL也可以结合其他的功能模块完成较为复杂的功能。比如可以结合NAT功能、时间域功能、动作组等。什么是访问控制列表?什么是访问控制列表?访问控制列表定义访问控制列表定义 访问控制列表由一系列的规则组成,每条规则都用来匹配一种特定类型的流量,规
3、则的序号(Sequence)决定了这条规则在访问控制列表中的位置。下面的示例定义了一条IP标准访问列表,该访问控制列表的名称为1,由4条规则组成。ip access-list standard 1 40 deny any exit什么是访问控制列表?什么是访问控制列表?访问控制列表如何工作?访问控制列表如何工作?访问控制列表对报文按照规则序号从小到大的顺序进行检查,访问控制列表中第一条与报文相匹配的规则决定了该报文的处理结果:允许(permit)或拒绝(deny)。如果没有与报文相匹配的规则,那么该报文也被拒绝,也就是说,没有被允许的都会被拒绝掉。因为规则最后隐含了一条内容为deny any的
4、规则。什么是访问控制列表?什么是访问控制列表?访问控制列表如何工作?访问控制列表如何工作?下图显示了该访问列表各网段的访问权限。阴影部分的动作为deny,白色部分的动作为permit。标准访问列表网段分割示意图什么是访问控制列表?什么是访问控制列表?访问控制列表如何工作?访问控制列表如何工作?需要注意的是,在最后一条规则的后面(即上面的规则30之后),隐含了一条内容为deny any的规则,其序号比访问列表中所有规则的序号都要大,且这条隐含的规则是不可见的,它将与前面的所有规则都不能匹配的报文进行丢弃。如果不想让该隐含的规则起作用,那么必须手工配置一条内容为permit any的规则,以允许不
5、符合其它所有规则条件的报文通过。什么是访问控制列表?什么是访问控制列表?访问控制列表的分类访问控制列表的分类 按照访问表的用途,常见的有五种类型:IP标准访问控制列表IP扩展访问控制列表控制列表MAC标准访问控制列表控制列表MAC扩展访问控制控制列表列表什么是访问控制列表?什么是访问控制列表?访问控制列表的分类访问控制列表的分类 1、IP标准访问列表 IP标准访问列表只根据报文的源地址进行制定规则,对数据包进行相应的分析处理。例如,下面的标准IP访问列表拒绝从主机发来的报文,但是允许从其它主机发来的报文:ip access-list standard 1 20 permit any exit什
6、么是访问控制列表?什么是访问控制列表?访问控制列表的分类访问控制列表的分类 2、IP扩展访问列表 IP扩展访问列表可以根据IP上层协议号、源IP地址、目的IP地址、源TCP/UDP端口号、目的TCP/UDP端口号、TCP标志、ICMP消息类型和代码、TOS优先级等属性对数据包进行过滤。例如,下面的IP扩展访问列表显示了拒绝从网络发往网络的telnet报文,但是允许其它的TCP报文。ip access-list extended 1001 10 deny tcp 171.69.198.0 0.0.0.255 172.20.52.0 0.0.0.255 eq telnet 20 permit tc
7、p any any exit什么是访问控制列表?什么是访问控制列表?访问控制列表的分类访问控制列表的分类 3、MAC标准访问列表 MAC标准访问列表只根据以太报文的源MAC地址制定规则,对数据包进行相应的分析处理。例如,下面的MAC访问列表只允许MAC为的数据包通过,其他的数据包都禁止通过。mac access-list standard 2001 exit什么是访问控制列表?什么是访问控制列表?访问控制列表的分类访问控制列表的分类 4、MAC扩展访问列表 MAC扩展访问表可以根据以太报文的源MAC地址、目的MAC地址、802.1P优先级、VLAN ID、以太类型来制定规则,对数据包进行相应的
8、分析处理。例如,下面的MAC扩展访问列表禁止源MAC地址为访问目的MAC为的设备。mac access-list extended 3001 20 permit any any exit什么是访问控制列表?什么是访问控制列表?访问控制列表的分类访问控制列表的分类 5、Hybrid访问列表 Hybrid访问列表可以根据IP协议号、源IP地址、源MAC地址,VLAN等属性制定分类规则,对数据包进行相应的处理。例如,下面的hybrid 访问列表禁止源MAC地址为、源 IP地址为、所属VLAN为 10的数据包访问网络。hybrid access-list extended 5001 10 deny i
9、p host 1.1.1.1 host 0001.0001.0001 vlan-id 10 20 permit ip any any exit 怎样配置访问控制列表?怎样配置访问控制列表?怎么配置访问控制列表?怎么配置访问控制列表?在讲述各种在讲述各种ACL的配置之前,先介绍一下的配置之前,先介绍一下ACL规则中规则中IP地址的表示方法。地址的表示方法。在IP标准及IP扩展访问列表中,在定义规则时,source用于定义报文的源网络或主机,source-wildcard是应用于source的通配符,destination用于定义报文的目的网络或主机,destination-wildcard是应用
10、于destination的通配符。地址通配符的格式与IP 地址一样,也是32位点分十进制格式。如果地址通配符某一位为1,则相应的源IP地址(对应source-wildcard)或目的IP地址(对应destination-wildcard)对应位为任意值(即无意义)。如果地址通配符某一位为0,则相应的IP地址对应位为指定的值。可以简单地认为地址通配符等于子网掩码按位取反。怎么配置访问控制列表?怎么配置访问控制列表?在讲述各种在讲述各种ACL的配置之前,先介绍一下的配置之前,先介绍一下ACL规则中规则中IP地址的表示方法。地址的表示方法。例如:如果要对源IP地址为的主机进行过滤,则应该设置相应规则
11、的source为,source-wildcard为。如果要对网段的所有主机进行过滤,则可以设置(x表示0255任意值,一般取0),。source,source-wildcard,destination,destination-wildcard有如下三种表示方法:1、都用32位点分十进制格式;2、关键字any是source及source-wildcard(或destination及destination-wildcard)为的缩写,即指明为任意源(目的)主机;3、host source代表源主机source及source-wildcard为,host destination代表目的主机desti
12、nation及destination-wildcard为。怎么配置访问控制列表?怎么配置访问控制列表?访问控制列表相关命令的使用访问控制列表相关命令的使用1、IP标准访问控制列表的基本指令标准访问控制列表的基本指令命令命令描述描述配置模式配置模式access-list*配置访问列表 configip access-list standard*配置标准访问列表configsequence*配置规则的序号,范围。config-std-naclpermit*配置一条允许通过的规则config-std-nacldeny*配置一条拒绝通过的规则config-std-nacl怎么配置访问控制列表?怎么配置
13、访问控制列表?访问控制列表相关命令的使用访问控制列表相关命令的使用1、IP标准访问控制列表的基本指令标准访问控制列表的基本指令access-list定义一条以数字命名的IP标准访问列表的规则。access-list access-list-number permit|deny any|source source-wildcard|host source log time-range time-range-nameno格式是删掉一条以数字命名的访问列表,包含它里面的所有规则。no access-list access-list-numberip access-list standard创建一个I
14、P标准访问列表,可以用数字命名,也可以是用户自定义名称,该命令将进入IP标准访问列表配置模式。ip access-list standard access-list-number|access-list-name no格式是删掉某个IP标准访问列表,包含它里面的所有规则。no ip access-list standard access-list-number|access-list-name 怎么配置访问控制列表?怎么配置访问控制列表?访问控制列表相关命令的使用访问控制列表相关命令的使用1、IP标准访问控制列表的基本指令标准访问控制列表的基本指令permit|deny配置一条permit或d
15、eny的IP标准访问列表规则。sequence permit|deny any|source source-wildcard|host source log time-range time-range-nameno格式是删除指定的规则,可以仅指定规则序号,也可以带上规则的内容。no sequenceno sequence permit|deny any|source source-wildcard|host source log time-range time-range-name怎么配置访问控制列表?怎么配置访问控制列表?访问控制列表相关命令的使用访问控制列表相关命令的使用2、IP扩展访问控
16、制列表的基本指令扩展访问控制列表的基本指令命令命令描述描述配置模式配置模式access-list配置访问列表configip access-list extend配置IP扩展访问列表configsequence配置规则的序号,范围。config-ext-naclpermit配置一条允许通过的规则config-ext-nacldeny配置一条拒绝通过的规则config-ext-naclshow ip access-list显示IP访问列表的配置情况特权模式clear ip access-list清除IP访问列表的报文统计特权模式show access-list显示访问列表的配置情况特权模式cle
17、ar access-list清除访问列表的报文统计特权模式怎么配置访问控制列表?怎么配置访问控制列表?访问控制列表相关命令的使用访问控制列表相关命令的使用2、IP扩展访问控制列表的基本指令扩展访问控制列表的基本指令access-list定义一条以数字命名的IP扩展访问列表的规则。access-list access-list-number permit|deny protocol source source-wildcard operator source-port source-port destination destination-wildcard icmp-type icmp-code
18、 igmp-type operator destination-port destination-port ack/fin/established/psh/rst/syn/urg precedence precedence tos tos dscp dscp fragments log time-range time-range-nameaccess-list access-list-number remark commentno格式是删掉某个访问列表,包含它里面的所有规则。格式是删掉某个访问列表,包含它里面的所有规则。no access-list access-list-number怎么配置
19、访问控制列表?怎么配置访问控制列表?访问控制列表相关命令的使用访问控制列表相关命令的使用2、IP扩展访问控制列表的基本指令扩展访问控制列表的基本指令ip access-list extended定义一个IP扩展访问列表,可以用数字命名,也可以是用户自定义名称,该命令将进入IP扩展访问列表配置模式。ip access-list extended access-list-number|access-list-name no格式是删掉某个访问列表,包含它里面的所有规则。no ip access-list extended access-list-number|access-list-name 怎么配
20、置访问控制列表?怎么配置访问控制列表?访问控制列表相关命令的使用访问控制列表相关命令的使用2、IP扩展访问控制列表的基本指令扩展访问控制列表的基本指令permit|deny配置一条permit或deny的IP扩展访问列表规则。sequence permit|deny protocol source source-wildcard operator source-port source-port destination destination-wildcard icmp-type icmp-code igmp-type operator destination-port destination-
21、port ack/fin/established/psh/rst/syn/urg precedence precedence tos tos dscp dscp fragments log time-range time-range-nameno格式是删除指定的规则,可以仅指定规则序号,也可以带上规则的内容。no sequenceno sequence permit|deny protocol source source-wildcard operator source-port source-port destination destination-wildcard icmp-type ic
22、mp-code igmp-type operator destination-port destination-port ack/fin/established/psh/rst/syn/urg precedence precedence tos tos dscp dscp fragments log time-range time-range-name怎么配置访问控制列表?怎么配置访问控制列表?访问控制列表相关命令的使用访问控制列表相关命令的使用3、MAC标准访问控制列表的基本指令标准访问控制列表的基本指令命令命令描述描述配置模式配置模式access-list*配置访问列表configmac
23、access-list standard*配置MAC标准访问列表configsequence*配置规则的序号,范围。config-std-mac-naclpermit*配置一条允许通过的规则config-std-mac-nacldeny配置一条拒绝通过的规则config-std-mac-nacl怎么配置访问控制列表?怎么配置访问控制列表?访问控制列表相关命令的使用访问控制列表相关命令的使用3、MAC标准访问控制列表的基本指令标准访问控制列表的基本指令access-list定义一条以数字命名的MAC标准访问列表的规则。access-list access-list-number permit|d
24、eny any|mac-source mac-source-wildcard|host mac-sourceno格式是删掉一条以数字命名的访问列表,包含它里面的所有规则。no access-list access-list-number怎么配置访问控制列表?怎么配置访问控制列表?访问控制列表相关命令的使用访问控制列表相关命令的使用3、MAC标准访问控制列表的基本指令标准访问控制列表的基本指令mac access-list standard创建一个MAC标准访问列表,可以用数字命名,也可以是用户自定义名称,该命令将进入MAC标准访问列表配置模式。mac access-list standard
25、access-list-number|access-list-name no格式是删掉某个MAC标准访问列表,包含它里面的所有规则。no mac access-list standard access-list-number|access-list-name 怎么配置访问控制列表?怎么配置访问控制列表?访问控制列表相关命令的使用访问控制列表相关命令的使用3、MAC标准访问控制列表的基本指令标准访问控制列表的基本指令permit|deny配置一条permit或deny的MAC标准访问列表规则。sequence permit|deny any|mac-source mac-source-wildc
26、ard|host mac-sourceno格式是删除指定的规则,可以仅指定规则序号,也可以带上规则的内容。no sequenceno sequence permit|deny any|mac-source mac-source-wildcard|host mac-source怎么配置访问控制列表?怎么配置访问控制列表?访问控制列表相关命令的使用访问控制列表相关命令的使用4、MAC扩展访问控制列表的基本指令扩展访问控制列表的基本指令命令命令描述描述配置模式配置模式access-list配置访问列表configmac access-list extended配置MAC扩展访问列表configseq
27、uence配置规则的序号,范围。config-ext-mac-naclpermit配置一条允许通过的规则config-ext-mac-nacldeny配置一条拒绝通过的规则config-ext-mac-naclshow mac access-list显示MAC访问列表的配置情况特权模式clear mac access-list清除MAC访问列表的配置情况特权模式怎么配置访问控制列表?怎么配置访问控制列表?访问控制列表相关命令的使用访问控制列表相关命令的使用4、MAC扩展访问控制列表的基本指令扩展访问控制列表的基本指令access-list定义一条以数字命名的MAC扩展访问列表的规则。acces
28、s-list access-list-number permit|deny any|mac-source mac-source-wildcard|host mac-source any|mac-destination mac-destination-wildcard|host mac-destination ether-typeaccess-list access-list-number remark commentno格式是删掉一条以数字命名的访问列表,包含它里面的所有规则。no access-list access-list-number怎么配置访问控制列表?怎么配置访问控制列表?访问控制
29、列表相关命令的使用访问控制列表相关命令的使用4、MAC扩展访问控制列表的基本指令扩展访问控制列表的基本指令mac access-list extended创建一个MAC扩展访问列表,可以用数字命名,也可以是用户自定义名称,该命令将进入MAC扩展访问列表配置模式。mac access-list extended access-list-number|access-list-name no格式是删掉某个MAC扩展访问列表,包含它里面的所有规则。no mac access-list extended access-list-number|access-list-name 怎么配置访问控制列表?怎么配
30、置访问控制列表?访问控制列表相关命令的使用访问控制列表相关命令的使用4、MAC扩展访问控制列表的基本指令扩展访问控制列表的基本指令permit|deny配置一条permit或deny的MAC扩展访问列表规则。sequence permit|deny any|mac-source mac-source-wildcard|host mac-source any|mac-destination mac-destination-wildcard|host mac-destination ether-typeno格式是删除指定的规则,可以仅指定规则序号,也可以带上规则的内容。no sequenceno
31、sequence permit|deny any|mac-source mac-source-wildcard|host mac-source any|mac-destination mac-destination-wildcard|host mac-destination ether-type怎么配置访问控制列表?怎么配置访问控制列表?访问控制列表相关命令的使用访问控制列表相关命令的使用5、基于时间域的访问控制列表的基本指令、基于时间域的访问控制列表的基本指令命令命令描述描述配置模式配置模式time-range配置时间域configperiodic*配置相对时间段config-time-ra
32、ngeabsolute*配置绝对时间段config-time-rangeip time-range将时间域与整条ACL绑定configset time-range frequency配置刷新周期configset time-range max-offset配置最大时间偏差configset time-range enable启动时间域功能configset time-range disable关闭时间域功能configshow time-range显示时间域的配置和状态特权模式访问控制列表应用范例访问控制列表应用范例访问控制列表应用范例访问控制列表应用范例 IP标准访问控制列表范例标准访问控制
33、列表范例如下图:建立IP标准访问列表2,定义了两条规则,它禁止子网上的主机IP地址为发来的包通过,允许子网上所有机器发来的包,拒绝接收其它的包。ip access-list standard 2 30 deny any exitinterface fastethernet0 ip access-group 2 inexit访问控制列表(访问控制列表(ACL)技术)技术v迈迈普普路路由由器器采采用用的的是是包包过过滤式的防火墙技术;滤式的防火墙技术;v包包过过滤滤式式防防火火墙墙的的核核心心就就是是通通过过访访问问控控制制列列表表来来控控制流入流出路由器的数据;制流入流出路由器的数据;v访访问问
34、控控制制列列表表以以IPIP包包信信息息为为基基础础,对对IPIP源源地地址址、IPIP目目标标地地址址、协协议议类类型型及及各各协协议议的的字字段段(如如:TCPTCP、UDPUDP的的端端口口号号,ICMPICMP的的类类型型、代代码码,IGMPIGMP的的类类型型等等)进行筛选;进行筛选;v访访问问列列表表根根据据过过滤滤的的内内容容可可以以分分成成2 2类类,标标准准访访问问列表列表和和扩展访问列表扩展访问列表;访问控制列表应用范例访问控制列表应用范例 IP扩展访问控制列表范例扩展访问控制列表范例如下图:建立IP扩展访问列表1001,定义了两条规则,它禁止子网上的主机IP地址为访问子网
35、上的主机,允许子网上所有地址访问所有的网络,拒绝接收其它的包。ip access-list extended 1001 20 permit ip 92.49.0.0 0.0.0.255 any 30 deny ip any any exitinterface fastethernet0 ip access-group 1001 inexit访问控制列表应用范例访问控制列表应用范例 MAC标准访问控制列表范例标准访问控制列表范例如下图:建立MAC标准访问列表2001,定义了两条规则,它只允许MAC地址为的主机通过接口fastethernet0,拒绝接收其它的包。mac access-list s
36、tandard 2001 exitinterface fastethernet0 mac access-group 2001 inexit访问控制列表应用范例访问控制列表应用范例 IP访问控制列表结合访问控制列表结合NAT的范例的范例如下图:建立IP扩展访问列表1001,定义了三条规则,它禁止子网上的主机IP地址为访问Internet,允许子网上所有地址访问Internet,禁止其他的网络访问Internet。ip access-list extended 1001 10 deny ip host 92.49.0.3 any 20 permit ip 92.49.0.0 0.0.0.255 a
37、ny 30 deny ip any any exitinterface fastethernet0 ip nat insideexitinterface fastethernet1 ip nat outsideExitip nat inside source list 2001 interface fastethernet1 overload访问控制列表应用范例访问控制列表应用范例 基于时间域的基于时间域的IP访问控制列表结合访问控制列表结合NAT的范例的范例如下图:建立IP扩展访问列表1001,定义了三条规则,它只允许子网上的主机IP地址为在上班时间访问Internet,禁止子网上所有地址访
38、问Internet,禁止其他的网络访问Internet。ip access-list extended 1001 10 permit ip host 92.49.0.3 any time-range aa 20 deny ip 92.49.0.0 0.0.0.255 any 30 deny ip any any exitinterface fastethernet0 ip nat insideexitinterface fastethernet1 ip nat outsideExitip nat inside source list 2001 interface fastethernet1 o
39、verloadtime-range aa 10 absolute start 08:30 end 17:00 exitset time-range enableclock 2010 03 18 11 42 22访问控制列表的调试访问控制列表的调试访问控制列表的调试访问控制列表的调试 show access-list/查看访问控制列表,并且查看查看访问控制列表,并且查看acl匹配规则的数据包匹配规则的数据包 show access-list ip access-list extended 1020 10 permit ip host 1.1.1.1 host 1.1.1.2 time-range
40、 aa(active)0 matches 描述与分析:显示了访问控制列表1020,其中有一条规则10 匹配了0个数据包。访问控制列表的调试访问控制列表的调试 debug ip packet access-list-number/打开满足打开满足acl规则的数据包的调试开关规则的数据包的调试开关debug ip packet 1020%IP packet debugging is ON for access list 1020MP7508#04:24:03:INPUT04:24:03:TTL=128,ID=26195,DF=0,MF=0,offset=0,protocol=1 tableid=004:24:03:Delivered04:24:03:OUTPUT04:24:03:TTL=255,ID=3618,DF=0,MF=0,offset=0,protocol=1,nexthop=192.168.1.25 tableid=0ip access-list extended 1020 exit谢谢谢谢