《电子教案访问控制列表的配置精选文档.ppt》由会员分享,可在线阅读,更多相关《电子教案访问控制列表的配置精选文档.ppt(36页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、电子教案访问控制列电子教案访问控制列表的配置表的配置本讲稿第一页,共三十六页第9章访问控制列表的配置 学习目的与要求:互联网的开放性决定了网络上的数据可以任意流动,但有时候需要对数据进行控制。通过设置访问控制列表来控制和过滤通过路由器的信息流是的一种方法。本章主要讲述使用标准访问控制列表和扩展访问控制列表控制网络流量的方法,同时提供了标准访问控制列表和扩展访问控制列表以及在路由接口应用ACL的例子。完成本章的学习,你将能够:v描述访问控制列表的分类及其工作过程 v会根据应用需求配置各种访问控制列表 本讲稿第二页,共三十六页第9章 访问控制列表的配置 n9.1 访问控制列表n9.2 配置标准访问
2、控制列表n9.3 配置扩展访问控制列表n9.4 命名的访问列表n本章小结n本章习题n本章实训本讲稿第三页,共三十六页9.1 访问控制列表访问控制列表简称ACL(Access Control Lists),配置路由器的访问控制列表是网络管理员一件经常性的工作。本节介绍ACL的概念、功能及其工作原理。本讲稿第四页,共三十六页9.1.1 ACL概述n访问控制列表(ACL)使用包过滤技术,在路由器上读取第3层或第4层包头中的信息,如源地址、目的地址、源端口、目的端口以及上层协议等,根据预先定义的规则决定哪些数据包可以接收、哪些数据包需要拒绝,从而达到访问控制的目的。本讲稿第五页,共三十六页nACL的功
3、能的功能 检检查查和和过过滤滤数数据据包包。ACLACL通通过过将将访访问问控控制制列列表表应应用用到到路路由由器器接接口口来来管管理理流流量量和和检检查查特特定定的的数数据据包包。任任何何经经过过该该接接口口的的流流量量都都要要接接受受ACLACL中中规规则则的的检检测测,以以此此决决定定被被路路由由的的分分组组是是被被转转发发还还是是被被丢丢掉掉,从从而而过过滤滤网网络络流流量量。例例如如,可可以以允许允许E-mailE-mail流量被路由,但同时阻塞所有流量被路由,但同时阻塞所有TelnetTelnet流量。流量。限限制制网网络络流流量量,提提高高网网络络性性能能。ACLACL能能够够按
4、按照照优优先先级级或或用用户户队队列列处处理理数数据据包包。通通过过排排队队确确保保路路由由器器不不去去处处理理那那些些不不需需要要的的分分组组。排排队队限制了网络流量,减少了网络拥塞。限制了网络流量,减少了网络拥塞。限限制制或或减减少少路路由由更更新新的的内内容容。ACLACL能能够够限限定定或或简简化化路路由由器器选选择择更更新新的的内内容,这些限定常用于限定关于特定网络的信息通过网络传播。容,这些限定常用于限定关于特定网络的信息通过网络传播。提提供供网网络络访访问问的的基基本本安安全全级级别别。通通过过在在路路由由器器上上配配置置ACLACL,可可以以允允许许一一个个主机访问网络的一部分
5、,而阻止其他主机访问相同的区域。主机访问网络的一部分,而阻止其他主机访问相同的区域。本讲稿第六页,共三十六页n配置ACL的原则 顺序处理原则。对ACL表项的检查是按照自上而下的顺序进行的,从第一行起,直到找到第一个符合条件的行为止,其余的行不再继续比较。因此必须考虑在访问控制列表中放入语句的次序,比如测试性的语句最好放在ACL的最顶部。最小特权原则。对ACL表项的设置应只给受控对象完成任务所必须的最小的权限。如果没有ACL,则等于permit any。一旦添加了ACL,默认在每个ACL中最后一行为隐含的拒绝(deny any)。如果之前没找到一条许可(permit)语句,意味着包将被丢弃。所以
6、每个ACL必须至少有一行permit语句,除非用户想将所有数据包丢弃。最靠近受控对象原则。尽量考虑将扩展的ACL放在靠近源地址的位置上。这样创建的过滤器就不会反过来影响其他接口上的数据流。另外,尽量使标准的ACL靠近目的地址,由于标准ACL只使用源地址,如果将其靠近源会阻止报文流向其他端口。本讲稿第七页,共三十六页9.1.2 ACL的工作原理的工作原理图9-2 ACL匹配性检查 本讲稿第八页,共三十六页9.2 配置标准访问控制列表配置标准访问控制列表最最广广泛泛使使用用的的访访问问控控制制列列表表是是IPIP访访问问控控制制列列表表,IPIP访访问问控控制制列列表表工工作作于于TCP/IPTC
7、P/IP协协议议组组。按按照照访访问问控控制制列列表表检检查查IPIP数数据据包包参参数数的的不不同同,可可以以将将其其分分成成标标准准ACLACL和和扩扩展展ACLACL两两种种类类型型。此此外外Cisco Cisco IOS IOS 11.211.2版版本本中中还还引引入入了了IPIP命命名名ACLACL类类型。从本节开始分别介绍各种型。从本节开始分别介绍各种ACLACL的配置方法。的配置方法。本讲稿第九页,共三十六页9.2.1 标准标准ACL的工作过程的工作过程图图9-3 标准标准ACL的工作过程的工作过程本讲稿第十页,共三十六页9.2.2 配置标准配置标准ACL1.定义标准定义标准AC
8、LRouter(config)#access-list access-list-number deny|permit source source-wildcard log其中的参数见表其中的参数见表9.19.12将标准将标准ACL应用到某一接口上应用到某一接口上Router(config-if)#ip access-group access-list-number in|out 其其中中,参参数数inin和和outout表表示示ACLACL作作用用在在接接口口上上的的方方向向,两两者者都都是是以以路路由由器器作作为为参参照照物的,如果物的,如果inin和和outout都没有指定,那么默认为都没
9、有指定,那么默认为outout。注意:在每个接口、每个协议、每个方向上只能有一个访问控制列表。注意:在每个接口、每个协议、每个方向上只能有一个访问控制列表。3.删除已建立的标准删除已建立的标准ACLRouter(config)#no access-list access-list-number本讲稿第十一页,共三十六页表表9.1 标准标准ACL参数及描述参数及描述参参 数数描描 述述access-list-access-list-numbernumber访访问问控控制制列列表表表表号号,用用来来指指定定入入口口属属于于哪哪一一个个访访问问控控制制列列表表。对对于于标标准准ACLACL来说,是一
10、个从来说,是一个从1 1到到9999或或13001300到到19991999之间的数字之间的数字denydeny如果满足测试条件,则拒绝从该入口来的通信流量如果满足测试条件,则拒绝从该入口来的通信流量permitpermit如果满足测试条件,则允许从该入口来的通信流量如果满足测试条件,则允许从该入口来的通信流量sourcesource数据包的源地址,可以是网络地址或是主机数据包的源地址,可以是网络地址或是主机IPIP地址地址source-wildcardsource-wildcard(可可选选项项)通通配配符符掩掩码码,又又称称反反掩掩码码,用用来来跟跟源源地地址址一一起起决决定定哪哪些些位位
11、需需要要匹配匹配loglog(可选项可选项)生成相应的日志消息,用来记录经过生成相应的日志消息,用来记录经过ACLACL入口的数据包的情况入口的数据包的情况本讲稿第十二页,共三十六页关于通配符掩码的使用说明关于通配符掩码的使用说明n表示成表示成4 4位点分十进制形式。默认的通配符掩码为位点分十进制形式。默认的通配符掩码为0.0.0.00.0.0.0。n在通配符掩码位中,在通配符掩码位中,0 0表示表示“检查相应的位检查相应的位”,而,而1 1表示表示“不检查不检查(忽略忽略)相应的相应的位位”。n比如,源地址和通配符掩码为比如,源地址和通配符掩码为172.16.30.0 0.0.0.25517
12、2.16.30.0 0.0.0.255,表示路由器前,表示路由器前3 3个个8 8位组必须位组必须精确匹配,最后精确匹配,最后1 1个个8 8位组的值可以任意。位组的值可以任意。n再如,如要指定再如,如要指定IPIP地址为从地址为从172.16.16.0172.16.16.0到到172.16.31.0172.16.31.0之间的所有子网,则通配符之间的所有子网,则通配符掩码为掩码为0.0.15.255(31-16=15)0.0.15.255(31-16=15)。nanyany可以表示任何可以表示任何IPIP地址,例如:地址,例如:Router(config)#Router(config)#ac
13、cess-list 10 permit anyaccess-list 10 permit any nhosthost表示一台主机,例如:表示一台主机,例如:Router(config)#Router(config)#access-list 10 permit host 172.16.30.22access-list 10 permit host 172.16.30.22 本讲稿第十三页,共三十六页标准标准ACL配置示例一配置示例一某企业销售部、市场部的网络和财务部的网络通过路由器某企业销售部、市场部的网络和财务部的网络通过路由器RTARTA和和RTBRTB相连,整个相连,整个网络配置网络配置R
14、IPv2RIPv2路由协议,保证网络正常通信。要求在路由协议,保证网络正常通信。要求在RTBRTB上配置标准上配置标准ACLACL,允许销售部的,允许销售部的主机主机PC1PC1访问路由器访问路由器RTBRTB,但拒绝销售部的其他主机访问,但拒绝销售部的其他主机访问RTBRTB,允许销售部、市场部网络上所,允许销售部、市场部网络上所有其他流量访问有其他流量访问RTBRTB。图9-4 标准ACL配置 本讲稿第十四页,共三十六页配置步骤如下:(1)配置标准ACL在路由器上RTB上配置如下:RTB(config)#access-list 1 permit host 172.16.10.10RTB(c
15、onfig)#access-list 1 deny 172.16.10.0 0.0.0.255RTB(config)#access-list 1 permit anyRTB(config)#interface s0/0/0RTB(config-if)#ip access-group 1 in(2)(2)验证标准验证标准ACLACL show access-listsshow access-lists命令命令RTB#RTB#show access-listsshow ip interfaceshow ip interface命令命令RTB#RTB#show ip interface 本讲稿第十五
16、页,共三十六页标准标准ACL配置示例二配置示例二利用标准利用标准ACLACL限制虚拟终端访问的问题。配置一个限制虚拟终端访问的问题。配置一个VTYVTY访问控制列访问控制列表,只允许网络表,只允许网络192.168.1.0/24192.168.1.0/24中的主机中的主机192.168.1.100 telnet192.168.1.100 telnet路由路由器器RTARTA。图9-5 用标准ACL限制Telnet访问 本讲稿第十六页,共三十六页配置方法如下:配置方法如下:RTA(config)#access-list 10 permit host 192.168.1.100 RTA(confi
17、g)#line vty 0 4RTA(config-line)#password ciscoRTA(config-line)#loginRTA(config-line)#access-class 10 in注意:在配置接口的访问时可以使用数字表号的或者命名的ACL只有数字的访问列表才可以应用到虚拟连接中 用户可以连接所有的VTY,因此所有的VTY连接都应用相同的ACL本讲稿第十七页,共三十六页9.3 配置扩展的配置扩展的ACLn扩展扩展ACLACL比标准比标准ACLACL功能更强大,使用得更广泛,因为它功能更强大,使用得更广泛,因为它可以基于分组的源地址、目的地址、协议类型、端口号和可以基于分
18、组的源地址、目的地址、协议类型、端口号和应用来决定访问是被允许或者拒绝,因而扩展应用来决定访问是被允许或者拒绝,因而扩展ACLACL比标准比标准ACLACL提供了更广阔的控制范围和更多的处理方法。提供了更广阔的控制范围和更多的处理方法。本讲稿第十八页,共三十六页9.3.1 扩展扩展ACL的工作过程的工作过程图9-6 扩展ACL的工作过程 本讲稿第十九页,共三十六页9.3.2 配置扩展配置扩展ACL1 1定义扩展ACL Router(config)#access-list access-list-number deny|permit protocol source source-wildcard
19、 destination destination-wildcard operator operand established 其中的参数说明见表9.2。2.将扩展ACL应用到某一接口上 Router(config-if)#ip access-group access-list-number in|out 3.删除扩展ACLRouter(config)#no access-list access-list-number 本讲稿第二十页,共三十六页表表9.2 扩展扩展ACL参数及描述参数及描述参数描述access-list-number访问控制列表表号,使用一个100到199或2000到2699之
20、间的数字来标识一个扩展访问控制列表deny如果条件符合就拒绝后面指定的特定地址的通信流量permit如果条件符合就允许后面指定的特定地址的通信流量protocol用来指定协议类型,如IP、ICMP、TCP或UDP等source和destination数据包的源地址和目的地址,可以是网络地址或是主机IP地址source-wildcard应用于源地址的通配符掩码destination-wildcard应用与目的地的通配符掩码位operator(可选项)比较源和目的端口,可用的操作符包括lt(小于)、gt(大于)、eq(等于)、neq(不等于)和range(包括的范围)operand如果操作符位于源
21、地址和源地址通配符之后,那么它必须匹配源端口。如果操作符位于目的地址和目的地址通配符之后,那么它必须匹配目的端口。range操作符需要两个端口号,其他操作符只需要一个端口号established(可选项)指明TCP或UDP端口的十进制数字或名字。端口号可以从0到65535本讲稿第二十一页,共三十六页表表9.3 9.3 一些保留的一些保留的TCP/UDPTCP/UDP端口号端口号 端 口 号关 键 字描 述7ECHO回显20FTP-DATA文件传输协议(数据)21FTP文件传输协议(控制)23TELNET终端连接25SMTP简单邮件传输协议53DOMAIN域名服务器(DNS)69TFTP简单文件
22、传输协议80HTTP超文本传输协议(WWW)本讲稿第二十二页,共三十六页扩展扩展ACL配置示例配置示例某企业销售部的网络和财务部的网络通过路由器RTA和RTB相连,整个网络配置RIPv2路由协议,保证网络正常通信。要求在RTA上配置扩展ACL,实现以下4个功能:(1)允许销售部网络172.16.10.0的主机访问WWW Server 192.168.1.10;(2)拒绝销售部网络172.16.10.0的主机访问FTP Server 192.168.1.10;(3)拒绝销售部网络172.16.10.0的主机Telnet路由器RTB;(4)拒绝销售部主机172.16.10.10Ping路由器RTB
23、。图9-7 扩展ACL的配置 本讲稿第二十三页,共三十六页配置方法如下:配置方法如下:RTA(config)#access-list 100 permit tcp 172.16.10.0 0.0.0.255 host 192.168.1.10 eq 80RTA(config)#access-list 100 deny tcp 172.16.10.0 0.0.0.255 host 192.168.1.10 eq 20RTA(config)#access-list 100 deny tcp 172.16.10.0 0.0.0.255 host 192.168.1.10 eq 21RTA(confi
24、g)#access-list 100 deny tcp 172.16.10.0 0.0.0.255 host 12.12.12.2 eq 23RTA(config)#access-list 100 deny tcp 172.16.10.0 0.0.0.255 host 192.168.1.2 eq 23RTA(config)#access-list 100 deny icmp host 172.16.10.10 host 12.12.12.2 RTA(config)#access-list 100 deny icmp host 172.16.10.10 host 192.168.1.2 RTA
25、(config)#access-list 100 permit ip any anyRTA(config)#interface f0/0RTA(config-if)#ip access-group 100 in本讲稿第二十四页,共三十六页9.4 命名的访问控制列表命名的访问控制列表nCisco IOS软件11.2版本中引入了IP命名ACL,命名ACL允许在标准ACL和扩展ACL中使用一个字母数字组合的字符串(名字)代替前面所使用的数字来表示ACL表号。n使用命名ACL有以下的好处:不受99条标准ACL和100条扩展ACL的限制 网络管理员可以方便地对ACL进行修改,而无须删除ACL之后再对其进
26、行重新配置 本讲稿第二十五页,共三十六页n配置命名访问控制列表配置命名访问控制列表步骤一:步骤一:Router(config)#ip access-list extended|standard name步骤二:步骤二:Router(config-std-|ext-nacl)#permit source source-wildcard|any或或Router(config-std-|ext-nacl)#deny source source-wildcard|any 本讲稿第二十六页,共三十六页命名命名ACL配置示例配置示例图9-8 命名ACL网络配置拓扑 本讲稿第二十七页,共三十六页1.配置标准
27、命名配置标准命名ACLACL要求:在路由器RTA上进行配置,以阻塞来自某部门子网192.168.1.0/24的通信流量,而允许转发所有其他部门的通信流量。RTA(config)#ip access-list standard acl_stdRTA(config-std-nacl)#deny 192.168.1.0 0.0.0.255RTA(config-std-nacl)#permit anyRTA(config-std-nacl)#exitRTA(config)#interface f0/0RTA(config-if)#ip access-group acl_std in本讲稿第二十八页,共
28、三十六页2.配置扩展命名配置扩展命名ACLACL 要求:只需拒绝该部门子网中的FTP和Telnet通信流量通过f0/0 RTA(config)#ip acess-list extended acl_extRTA(config-ext-nacl)#deny tcp 192.168.1.0 0.0.0.255 any eq 21RTA(config-ext-nacl)#deny tcp 192.168.1.0 0.0.0.255 any eq 20RTA(config-ext-nacl)#deny tcp 192.168.1.0 0.0.0.255 any eq 23RTA(config-ext-
29、nacl)#permit ip any any RTA(config-ext-nacl)#exitRTA(config)#interface f0/0RTA(config-if)#ip access-group acl_ext in本讲稿第二十九页,共三十六页利用命名利用命名ACL删除指定的语句示例删除指定的语句示例删除指定的语句示例删除指定的语句示例命名ACL允许删除任意指定的语句,但新增的语句只能被放到ACL的结尾处。下面的例子说明了如何删除和新增ACL语句。Router(config)#ip access-list extended testRouter(config-ext-nacl)
30、#permit ip host 1.1.1.1 host 2.2.2.2Router(config-ext-nacl)#permit tcp any host 5.5.5.5 eq wwwRouter(config-ext-nacl)#permit icmp any anyRouter(config-ext-nacl)#permit udp any host 10.10.10.1 eq tftpRouter(config-ext-nacl)#zRouter#show access-listsRouter#configure terminalRouter(config)#ip access-li
31、st extended testRouter(config-ext-nacl)#no permit icmp any anyRouter(config-ext-nacl)#permit tcp any host 10.10.10.5 eq telnetRouter(config-ext-nacl)#zRouter#show access-lists 本讲稿第三十页,共三十六页本章小结本章小结n访问控制列表使用包过滤技术,在路由器上读取第3层或第4层包头中的信息,如源地址、目的地址、源端口、目的端口以及上层协议等,根据预先定义的规则决定哪些数据包可以接收、哪些数据包需要拒绝,从而达到访问控制的目
32、的。n在路由器上实现的访问控制列表是一个连续的条件判断语句的集合,这些语句对数据包的地址或上层协议进行网络通信流量的控制,从而提供基本的网络通信流量过滤的能力,对网络安全起到很好的保护作用。n标准ACL只检查可以被路由的数据包的源地址,从而允许或拒绝基于网络、子网或主机IP地址的某一协议通过路由器出口。n扩展ACL可以基于分组的源地址、目的地址、协议类型、端口号和应用来决定访问是被允许或者拒绝。它比标准ACL功能更强大,使用得更广泛。n命名ACL允许在标准ACL和扩展ACL中使用一个字母数字组合的字符串(名字)代替前面所使用的数字来表示ACL表号。使用命名ACL的优点是不受99条标准ACL和1
33、00条扩展ACL的限制,同时,网络管理员可以方便地对ACL进行修改 本讲稿第三十一页,共三十六页本章习题一、填空题1ACL分为 和 两种类型。2当应用ACL时,以 为参照物区分in 和out的方向。3ACL最后一条隐含 。4标准ACL的编号范围是 ,扩展ACL的编号范围是 。5any的含义是 ,它与 语句等同。6host的含义是 ,它与 语句等同。7如果用户想指定IP地址为从192.168.10.0到192.168.35.0之间的所有子网,则通配符掩码为 。8 利 用 标 准ACL可 以 控 制Telnet会 话,把ACL应 用 到 虚 拟 端 口 上 使 用 的 命 令 是 。本讲稿第三十二
34、页,共三十六页本章习题二、简答题1如何理解ACL的工作过程?2标准ACL和扩展ACL的有何区别和联系?3配置标准ACL和扩展ACL的一般过程是什么?4如何配置标准ACL以控制Telnet会话?本讲稿第三十三页,共三十六页本章实训一、实训目的一、实训目的1.掌握ACL设计原则和工作过程2.掌握配置标准ACL3.掌握配置扩展ACL4.掌握配置命名ACL5.掌握ACL的调试 本讲稿第三十四页,共三十六页本章实训二、实训拓扑二、实训拓扑 图9-9 配置ACL的实验图 本讲稿第三十五页,共三十六页本章实训三、实训内容三、实训内容1.配置标准ACL。要求拒绝PC2所在网段访问路由器RTB,同时只允许主机PC3访问路由器RTB的Telnet服务。整个网络配置EIGRP保证IP的连通性;2.删除内容1所定义的标准ACL,配置扩展ACL。要求只允许PC2所在网段的主机访问路由器RTB的WWW和Telnet服务,并拒绝PC3所在的网段ping路由器RTB;3.用命名ACL来实现(1)和(2)的要求。本讲稿第三十六页,共三十六页