《ccna10访问控制列表》由会员分享,可在线阅读,更多相关《ccna10访问控制列表(29页珍藏版)》请在金锄头文库上搜索。
1、第第7 7章章 访问控制列表访问控制列表访问控制列表概述 标准、扩展及命名的访问控制列表 ACL执行 通配符掩码 配置访问控制列表 控制Telnet会话 ACL指南 验证ACL配置的命令Date1访问控制列表概述访问控制列表概述- -用途q检查和过滤数据包q对数据流进行限制以提高网络性能q限制或减少路由更新的内容q按照优先级或用户队列处理数据包q限制对路由器虚拟终端的访问q定义发起DDR呼叫的数据Date2访问控制列表概述访问控制列表概述- -类型qStandard Checks source address Generally permits or denies entire protoco
2、l suiteqExtended Checks source and destination address Generally permits or denies specific protocolsDate3访问控制列表概述访问控制列表概述- -类型区分qStandard IP lists (1-99) test conditions of all IP packets from source addresses.qExtended IP lists (100-199) test conditions of source and destination addresses, specifi
3、c TCP/IP protocols, and destination ports.qStandard IP lists (1300-1999) (expanded range).qExtended IP lists (2000-2699) (expanded range). qOther access list number ranges test conditions for other networking protocols. Date4标准访问控制列表标准访问控制列表Date5扩展访问控制列表扩展访问控制列表Date6出口出口ACLACL执行执行q如ACL中没有匹配语句,丢弃包(in
4、bound:入站)Date7ACLACL内部执行顺序内部执行顺序Date8通配符掩码通配符掩码( (Wildcard Mask)Wildcard Mask)q通配符掩码为0表示检查数据包的IP地址相对应的比特位 q通配符掩码为1表示不检查数据包的IP地址相对应的比特位 Date9通配符掩码通配符掩码( (Wildcard Mask)Wildcard Mask)q Check all the address bits (match all).qVerify an IP host address, for example:qFor example, 172.30.16.29 0.0.0.0 che
5、cks all the address bits. qAbbreviate this wildcard mask using the IP address preceded by the keyword host (host 172.30.16.29).Date10通配符掩码通配符掩码( (Wildcard Mask)Wildcard Mask)q Ignore all the address bits (match any).qAn IP host address, for example:qAccept any address: anyqAbbreviate the expression
6、using the keyword any.Date11通配符掩码通配符掩码( (Wildcard Mask)Wildcard Mask)qAddress and wildcard mask: 172.30.16.0 0.0.15.255qCheck for IP subnets 172.30.16.0/24 to 172.30.31.0/24.Date12配置访问控制列表配置访问控制列表Step 1: Set parameters for this access list test statement (which can be one of several statements).Step
7、 2: Enable an interface to use the specified access list. Router(config-if)#protocol access-group access-list-number in | out qStandard IP lists (1-99) qExtended IP lists (100-199)qStandard IP lists (1300-1999) (expanded range)qExtended IP lists (2000-2699) (expanded range)Router(config)#access-list
8、 access-list-number permit | deny test conditionsDate13配置访问控制列表配置访问控制列表- -标准标准Router(config-if)#ip access-group access-list-number in | outqSets parameters for this list entryqIP standard access lists use 1 to 99qDefault wildcard mask = 0.0.0.0qno access-list access-list-number removes entire access
9、 listqremark option lets you add a description for the access listRouter(config)#access-list access-list-number permit | deny | remark source maskqActivates the list on an interfaceqSets inbound or outbound testingqDefault = outboundqno ip access-group access-list-number removes access list from the
10、 interfaceDate14配置访问控制列表配置访问控制列表- -标准标准- -例例q 禁止来自外部网络的数据流通过(允许内部主机访 问外网)Date15配置访问控制列表配置访问控制列表- -标准标准- -例例q 禁止来自某台主机的数据流通过(拒绝主机 172.16.4.13访问网络172.16.3.0)Date16配置访问控制列表配置访问控制列表- -标准标准- -例例q 禁止来自某个子网的数据流通过Date17配置访问控制列表配置访问控制列表- -扩展扩展Router(config-if)#ip access-group access-list-number in | outq Act
11、ivates the extended list on an interfaceq Sets parameters for this list entryRouter(config)#access-list access-list-number permit | deny protocol source source-wildcard operator port destination destination-wildcard operator port established logDate18配置访问控制列表配置访问控制列表- -扩展扩展- -例例q 禁止来自子网 172.16.4.0 且
12、前往子网172.16.3.0 的FTP数据流通过接口 E0. q Permit all other traffic.Date19配置访问控制列表配置访问控制列表- -扩展扩展- -例例q 禁止来自特定子网的Telnet数据流通过. q Permit all other traffic.Date20命名的访问控制列表命名的访问控制列表Router(config)#ip access-list standard | extended nameRouter(config std- | ext-nacl)#permit | deny ip access list test conditions per
13、mit | deny ip access list test conditions no permit | deny ip access list test conditions Router(config-if)#ip access-group name in | out qAlphanumeric name string must be unique.qPermit or deny statements have no prepended number. q“no” removes the specific test from the named access list.qActivate
14、s the IP named access list on an interface.Date21命名的访问控制列表命名的访问控制列表Router(config)#ip access-list extended screen Router(config-ext-nacl)#deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 23 Router(config-ext-nacl)#permit ip any any Router(config-ext-nacl)#interface ethernet 0 Router(config-if)#i
15、p access-group outq禁止来自特定子网的Telnet数据流通过的命名扩展访问列表Date22控制控制TelnetTelnet会话会话q物理接口上设置访问控制列表?繁锁q在Telnet所使用的虚拟端口上设置ACLDate23控制控制TelnetTelnet会话会话Router(config-line)#access-class access-list-number in | outRouter(config)#line vty vty# | vty-rangeq进入vty配置模式q使用access-class命令将ACL应用到VTY线路q创建一标准ACL,只允许所希望的主机能Te
16、lnet至路由器Date24控制控制TelnetTelnet会话会话- -例例q 仅允许 192.168.1.0 网络中主机过程登录到路由器access-list 12 permit 192.168.1.0 0.0.0.255 (implicit deny all) ! line vty 0 4access-class 12 inDate25ACLACL指南指南q每个接口、每个方向、每个协议只能有一个ACLqACL中各条件语句的前后顺序很重要。当一个条件匹配 后就不再检查后续的条件。条件严格的语句应放在前面 。qACL里的条件语句不能调整序列。插入的条件语句总是 在最后q除了命名的ACL外,不能单独删除ACL中某个条件语句 。可使用no access-list number删除整个列表q应把标准ACL放在靠近数据目标地址的路由器上,把扩 展ACL放在靠近数据源发地的路由器上。Date26ACLACL指南指南qACL
