收藏
下载资源

配置访问控制列表

上传人:kms****20 文档编号:51567855 上传时间:2018-08-15 格式:PPT 页数:58 大小:890.50KB
返回 下载 相关 举报
配置访问控制列表_第1页
第1页 / 共58页
配置访问控制列表_第2页
第2页 / 共58页
配置访问控制列表_第3页
第3页 / 共58页
配置访问控制列表_第4页
第4页 / 共58页
配置访问控制列表_第5页
第5页 / 共58页
点击查看更多>>
资源描述

《配置访问控制列表》由会员分享,可在线阅读,更多相关《配置访问控制列表(58页珍藏版)》请在金锄头文库上搜索。

1、第6讲 配置访问控制列表概概 述述n nACLACL概述概述n nACLACL的工作过程的工作过程 n nACLACL分类分类 n nACLACL配置配置 n n翻转掩码翻转掩码(wildcard bits(wildcard bits)n n标准标准ACLACL的配置的配置 n n扩展扩展ACLACL的配置的配置 n n标识标识ACL ACL 的配置的配置 n n使用使用ACLACL控制控制VTYVTY的访问的访问 n nACLACL配置要点配置要点6.1 ACL概述1. 为什么要使用ACL随着网络的增长,要求对IP流量进行管理通过在路由器中设置包过滤来管理IP流量6.1 ACL概述2. 什么

2、是ACLACL是一个授权和拒绝条件的序列表基于协议不能过滤本地路由器的流量6.1 ACL概述3. ACL的用途用于各个LAN间的接口,过滤LAN流量用于VTY,过滤Telnet用于Dial-on-demand (DDR)优先级(priority)和队列管理6.1 ACL概述4. ACL的分类入栈ACL:在网络入口处对数据包进行检查,如果被 deny, 则不需要路由,如果包被permits然后进行路由6.1 ACL概述4. ACL的分类出栈ACL:进入路由器的包被路由后进入outbound接 口, 然后进行Outbound访问列表匹配6.1 ACL概述5. ACL的逻辑测试过程6.1 ACL概述

3、5. ACL的逻辑测试过程如果数据包与ACL中某条语句匹配,则列表中其它语 句会被忽略 如果数据包与某个命令不匹配,则继续检查ACL下一 个命令语句 如果到达ACL的最后一条命令仍不匹配,数据包会被 丢弃 6.1 ACL概述5. ACL的逻辑测试过程使用ACL要小心,至少ACL中要有一条允许语句 ACL命令的放置顺序是很重要的 当检测到某个命令条件满足的时候,就不会再检测后 面的指令条件 应该先创建ACL,再将其绑定到入口或者是出口 ACL只能过滤通过路由器的数据流量,不能过滤路由 器本身产生的数据流量 6.1 ACL概述6. ACL举例要求只允许主机192.168.1.1和网络172.16.

4、0.0的数据包 通过 第一条命令: 条件:IP地址192.168.1.1,操作:允许 。第二条命令: 条件:网络地址172.16.0.0,操作:允许 。 6.2 ACL的分类1. ACL的分类标准ACL(standard):(1)检查数据包的源地址 扩展ACL(extended):(1)检查数据包的源地址、目的地址、特定的协议、 端口号码以及其它参数 (2)使用更灵活6.2 ACL的分类2. 标准ACL6.2 ACL的分类2. 标准ACL举例6.2 ACL的分类3. 扩展ACL6.2 ACL的分类3. 扩展ACL举例6.3 ACL的配置1. 配置ACL要点访问列表要指明过滤什么协议;按顺序匹配

5、访问列表;一般限制性的访问列表应该放在前面;在访问列表的最后隐性定义了deny any所以每个访问列表应该 至少包含一条permit声明,否则将过滤掉所有包;先创建访问列表, 后使用;访问列表过滤通过路由器的流量, 但不会应用于源自路由的流量6.3 ACL的配置2. ACL的编号Number Range/IdentifierIP 1-99, 1300-1999 100-199, 2000-2699 Name (Cisco IOS 11.2 and later)800-899 900-999 1000-1099 Name (Cisco IOS 11.2. F and later)Standard

6、 Extended SAP filters NamedStandard Extended NamedAccess List TypeIPX6.3 ACL的配置3. 配置ACL的步骤(1)创建ACLaccess-list access-list-number permit | deny test conditions 6.3 ACL的配置3. 配置ACL的步骤(2)将ACL绑定到接口 protocol access-group access-list-number in | out 6.4 翻转掩码1. 翻转掩码的作用使用IP地址与翻转掩码地址对来定义测试条件简化测试过程,避免额外的输入6.4

7、翻转掩码2. 翻转掩码的格式与子网掩码类似,翻转掩码是由0、1二进制组成的32 位数字,分成4段 6.4 翻转掩码3. 翻转换码的配置规则1意味着忽略0意味着检查6.4 翻转掩码4. 翻转掩码练习检查某个地址是不是10.1.1.1,地址对是多少?检查某个地址是不是来自网络202.19.10.0,地址对是 多少?检查某个地址是不是10.1.0.0,地址对是多少?忽略所有的地址,地址对是多少?6.4 翻转掩码5. Any和hostHost172.30.16.29 0.0.0.0 host 172.30.16.296.4 翻转掩码5. Any和hostAny0.0.0.0 255.255.255.2

8、55 any6.4 翻转掩码6. 复杂一点的例子6.4 翻转掩码6. 练习检查某个地址是不是在10.12.8.0/24-10.12.15.0/24范围 内,地址对是多少?检查某个地址是不是在5.64.0.0/16-5.127.0.0/16,地址 对是多少?检查某个地址是不是在168.100.32.0/24-168.100.63.0/24 ,地址对是多少?6.5 标准ACL的创建1. 创建标准ACLaccess-list access-list-number permit|deny source mask为访问列表条目设置参数:(1)IP标准访问列表使用: 1 99(2)缺省 wildcard

9、mask = 0.0.0.0(3)“no access-list access-list-number”命令删除访问列 表条目6.5 标准ACL的创建2. 绑定ACL到指定的接口ip access-group access-list-number in | out 在接口配置模式激活访问列表:(1)设置inbound或outbound匹配(2)缺省是 Outbound (3)“no ip access-group access-list-number”命令从接口 取消激活访问列表6.5 标准ACL的创建3. 标准ACL举例如何使Ethernet0和Ethernet1端口只允许源地址为 172.

10、16.0.0网络的数据包Outbound?6.5 标准ACL的创建3. 标准ACL举例如何在端口Ethernet0阻塞主机, 阻塞源地址为 172.16.4.13的数据包?6.5 标准ACL的创建3. 标准ACL举例如何在接口Ethernet0阻塞子网, 阻塞源地址为172.16.4.0 的数据包?6.5 标准ACL的创建4. LAB:标准ACLaccess-list ?access-list 号码 permit/deny 源地址 源反转码(根据源 地址进行筛选)6.5 标准ACL的创建4. LAB:标准ACLint e0ip access-group 号码 out/inshow access

11、-listshow run no ip access-group 号码 out/inno access-list 号码6.6 扩展ACL的配置1. 扩展ACL和标准ACL的比较标准扩展基于源地址过滤基于源和目的地址过滤Permit或deny整个 TCP/IP协议族指定TCP/IP中某个协议 和TCP/UDP端口范围100 199范围1 996.6 扩展ACL的配置2. 扩展ACL的配置(创建)access-list access-list-number permit | deny protocol source source-wildcard operator port destination

12、 destination-wildcard operator port established log6.6 扩展ACL的配置2. 扩展ACL的配置Access-list-number: 100 199permit | deny: 指明允许还是阻塞protocol : 允许指定协议(IP, TCP, UDP, ICMP, IGRP)source和destination: 指明源和目的地址6.6 扩展ACL的配置2. 扩展ACL的配置source-wildcard和destination-wildcard operator port: lt, gt, eq, neq(小于, 大于, 等于, 不等

13、于)端 口号Established(既定的): 只用于inbound TCP, 允许TCP建立 连接(例如, ACK被置位)log: 发送logging信息到console6.6 扩展ACL的配置3. 扩展ACL的配置6.6 扩展ACL的配置4. 扩展ACL的配置(绑定)Router(config-if)# ip access-group access-list-number in | out 6.6 扩展ACL的配置4. 扩展ACL的配置举例如何在接口Ethernet0阻塞从subnet 172.16.4.0到subnet 172.16.3.0的FTP数据包, 同时Permit所有其它流量?

14、(阻塞从 接口E1到接口E0的数据包)6.6 扩展ACL的配置4. 扩展ACL的配置举例Deny从subnet 172.16.4.0到subnet 172.16.3.0的数据包( out of E0) Permit所有其它流量6.6 扩展ACL的配置4. 扩展ACL的配置举例如何在Ethernet0只阻塞所有来自subnet 172.16.4.0的 telnet流量?6.6 扩展ACL的配置4. 扩展ACL的配置举例如何在Ethernet0只阻塞所有来自subnet 172.16.4.0的 telnet流量?6.6 扩展ACL的配置4. LAB:扩展ACL的配置access-list 号码 p

15、ermit /deny 协议 源 源反转码 源端口 目的 目的反转码 端口6.7 标识ACL的配置1. 标识ACL使用字符串代替数字,来标识ACL 优点:(1)用有含义的字符串直观标识一个ACL (2)需要的配置超出了99个标准ACL或者100个扩展 ACL时,可以采用命名ACL (3)当修改ACL中的某一条语句时,可以在不删除整 个ACL的情况下修改它 6.7 标识ACL的配置1. 标识ACL注意(1)命名ACL与Cisco IOS 11.2之前的版本不兼容 (2)命名ACL也包含标准和扩展ACL (3)不能为多个ACL使用相同的名字。不同类型的ACL 也不能使用相同的名字6.7 标识ACL

16、的配置2. 标识ACL的配置(创建)ip access-list standard | extended name permit | deny ip access list test conditions 6.7 标识ACL的配置2. 标识ACL的配置(绑定)Router(config-if)# ip access-group name in | out 6.7 标识ACL的配置3. 查看ACL的配置show access-lists access-list number show ip int e06.7使用ACL控制VTY的访问访问1. 概述5个终端lines (0 4)过滤可以访问路由器vty端口的包过滤从路由器通过vty访问其他设备的包6.7使

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 生活休闲 > 科普知识

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号