訪問控制列表

1、Version 2.0訪問控制列表訪問控制列表訪問控制列表訪問控制列表訪問控制列表訪問控制列表ACLACLACLPage 2/45本章目標(biāo)本章目標(biāo)v理解訪問控制列表的工作原理（訪問控制理解訪問控制列表的工作原理（訪問控制列表的作用，列表的作用，路由器對訪問控制列表的處路由器對訪問控制列表的處理過程理過程）v理解訪問控制列表的反碼理解訪問控制列表的反碼v掌握訪問控制列表的種類掌握訪問控制列表的種類v掌握標(biāo)準(zhǔn)和擴展訪問控制列表的配置方法掌握標(biāo)準(zhǔn)和擴展訪問控制列表的配置方法v能夠利用訪問控制列表對網(wǎng)絡(luò)進行控制能夠利用訪問控制列表對網(wǎng)絡(luò)進行控制Page 3/45本章結(jié)構(gòu)本章結(jié)構(gòu)訪問控制列表訪問控制列表

2、訪問控制列表的種類訪問控制列表的種類訪問控制列表的工作原理訪問控制列表的工作原理訪問控制列表的反碼訪問控制列表的反碼訪問控制列表概訪問控制列表概述述擴展訪問控制列擴展訪問控制列表表標(biāo)準(zhǔn)訪問控制列標(biāo)準(zhǔn)訪問控制列表表什么是擴展訪問控制列表什么是擴展訪問控制列表擴展訪問控制列表的應(yīng)用與配置擴展訪問控制列表的應(yīng)用與配置命名訪問控制列表命名訪問控制列表標(biāo)準(zhǔn)訪問控制列表的標(biāo)準(zhǔn)訪問控制列表的應(yīng)用與配置應(yīng)用與配置什么是標(biāo)準(zhǔn)訪問控制什么是標(biāo)準(zhǔn)訪問控制列表列表Page 4/45什么是訪問控制列表什么是訪問控制列表v訪問控制列表（訪問控制列表（ACL） 應(yīng)用于路由器接口的指令列表應(yīng)用于路由器接口的指令列表 ，用于指

3、定哪些數(shù)據(jù)，用于指定哪些數(shù)據(jù)包可以接收轉(zhuǎn)發(fā)，哪些數(shù)據(jù)包需要拒絕包可以接收轉(zhuǎn)發(fā)，哪些數(shù)據(jù)包需要拒絕vACL的工作原理的工作原理 讀取第三層及第四層包頭中的信息讀取第三層及第四層包頭中的信息 根據(jù)預(yù)先定義好的規(guī)則對包進行過濾根據(jù)預(yù)先定義好的規(guī)則對包進行過濾 Page 5/45訪問控制列表的作用訪問控制列表的作用2-1v提供網(wǎng)絡(luò)訪問的基本安全手段提供網(wǎng)絡(luò)訪問的基本安全手段v可用于可用于QoS，控制數(shù)據(jù)流量，控制數(shù)據(jù)流量v控制通信量控制通信量Page 6/45主機主機A主機主機B人力資源網(wǎng)絡(luò)人力資源網(wǎng)絡(luò)研發(fā)網(wǎng)絡(luò)研發(fā)網(wǎng)絡(luò)使用使用ACL阻止某指定網(wǎng)絡(luò)訪問另一指定網(wǎng)絡(luò)阻止某指定網(wǎng)絡(luò)訪問另一指定網(wǎng)絡(luò) 訪問控制

4、列表的作用訪問控制列表的作用2-2Page 7/45v實現(xiàn)訪問控制列表的核心技術(shù)是包過濾實現(xiàn)訪問控制列表的核心技術(shù)是包過濾Internet公司總部公司總部內(nèi)部網(wǎng)絡(luò)內(nèi)部網(wǎng)絡(luò)未授權(quán)用戶未授權(quán)用戶辦事處辦事處訪問控制列表訪問控制列表訪問控制列表工作原理訪問控制列表工作原理2-1Page 8/45v通過分析通過分析IP數(shù)據(jù)包包頭信息，進行判斷（這里數(shù)據(jù)包包頭信息，進行判斷（這里IP所承載的上層協(xié)議為所承載的上層協(xié)議為TCP）訪問控制列表工作原理訪問控制列表工作原理2-2Page 9/45路由器對訪問控制列表的處理過程路由器對訪問控制列表的處理過程Page 10/45訪問控制列表入與出訪問控制列表入與出

5、3-1v使用命令使用命令ip access-group將將ACL應(yīng)用到某一個應(yīng)用到某一個接口上接口上 在接口的一個方向上，只能應(yīng)用一個在接口的一個方向上，只能應(yīng)用一個access-listRouter(config-if)#ip access-group access-list-number in|outPage 11/45訪問控制列表入與出訪問控制列表入與出3-2Page 12/45 訪問控制列表入與出訪問控制列表入與出3-3Page 13/45Deny和和permit命令命令Router(config)#access-list access-list-number permit|deny

6、test conditions允許數(shù)據(jù)包通過應(yīng)允許數(shù)據(jù)包通過應(yīng)用了訪問控制列表用了訪問控制列表的接口的接口拒絕數(shù)據(jù)包通過拒絕數(shù)據(jù)包通過Page 14/45v第一步，創(chuàng)建訪問控制列表第一步，創(chuàng)建訪問控制列表v第二步，應(yīng)用到接口第二步，應(yīng)用到接口e0的出方向上的出方向上 訪問控制列表實例訪問控制列表實例Page 15/45使用通配符使用通配符any和和host 2-1v通配符通配符any可代替可代替 55 Page 16/45使用通配符使用通配符any和和host 2-2vhost表示檢查表示檢查IP地址的所有位地址的所有位 Page 17/45訪問控制列表

7、的種類訪問控制列表的種類v基本類型的訪問控制列表基本類型的訪問控制列表 標(biāo)準(zhǔn)訪問控制列表標(biāo)準(zhǔn)訪問控制列表 擴展訪問控制列表擴展訪問控制列表 v 其他種類的訪問控制列表其他種類的訪問控制列表 基于基于MAC地址的訪問控制列表地址的訪問控制列表 基于時間的訪問控制列表基于時間的訪問控制列表Page 18/45擴展擴展acl標(biāo)準(zhǔn)標(biāo)準(zhǔn)acl路由器路由器B路由器路由器C路由器路由器D路由器路由器AS0S0S1S1E0E0E1E0E0E1應(yīng)用訪問控制列表應(yīng)用訪問控制列表源源目的目的Page 19/45標(biāo)準(zhǔn)訪問控制列表標(biāo)準(zhǔn)訪問控制列表3-1v標(biāo)準(zhǔn)訪問控制列表標(biāo)準(zhǔn)訪問控制列表 根據(jù)數(shù)據(jù)包的源根據(jù)數(shù)據(jù)包的源IP

8、地址來允許或拒絕數(shù)據(jù)包地址來允許或拒絕數(shù)據(jù)包 訪問控制列表號從訪問控制列表號從1到到99Page 20/45標(biāo)準(zhǔn)訪問控制列表標(biāo)準(zhǔn)訪問控制列表3-2v標(biāo)準(zhǔn)訪問控制列表只使用源地址進行過濾，表明標(biāo)準(zhǔn)訪問控制列表只使用源地址進行過濾，表明是允許還是拒絕是允許還是拒絕Page 21/45 標(biāo)準(zhǔn)訪問控制列表標(biāo)準(zhǔn)訪問控制列表3-3Page 22/45標(biāo)準(zhǔn)訪問控制列表的配置標(biāo)準(zhǔn)訪問控制列表的配置v第一步，使用第一步，使用access-list命令創(chuàng)建訪問控制列表命令創(chuàng)建訪問控制列表v第二步，使用第二步，使用ip access-group命令把訪問控制列表命令把訪問控制列表應(yīng)用到某接口應(yīng)用到某接口Router

9、(config)#access-list access-list-number permit | deny source source- wildcard logRouter(config-if)#ip access-group access-list-number in | out Page 23/45標(biāo)準(zhǔn)標(biāo)準(zhǔn)ACL應(yīng)用應(yīng)用1：允許特定源的流量：允許特定源的流量2-1Non-E0E1S03Page 24/45標(biāo)準(zhǔn)標(biāo)準(zhǔn)ACL應(yīng)用：允許特定源的流量應(yīng)用：允許特定源的流量2-2v第一步，創(chuàng)建允許來自第一步，創(chuàng)建允許來自

10、的流量的的流量的ACLv第二步，應(yīng)用到接口第二步，應(yīng)用到接口E0和和E1的出方向上的出方向上 Router(config)#access-list 1 permit 55Router(config)#interface fastethernet 0/0Router(config-if)#ip access-group 1 outRouter(config)#interface fastethernet 0/1Router(config-if)#ip access-group 1 outPage 25/45標(biāo)準(zhǔn)標(biāo)準(zhǔn)ACL應(yīng)用：拒絕特定主

11、機的通信流量應(yīng)用：拒絕特定主機的通信流量v第一步，創(chuàng)建拒絕來自第一步，創(chuàng)建拒絕來自3的流量的的流量的ACLv第二步，應(yīng)用到接口第二步，應(yīng)用到接口E0的出方向的出方向Router(config)#access-list 1 deny host 3 Router(config)#access-list 1 permit 55Router(config)#interface fastethernet 0/0Router(config-if)#ip access-group 1 out Page 26/45標(biāo)準(zhǔn)標(biāo)準(zhǔn)ACL

12、應(yīng)用：拒絕特定子網(wǎng)的流量應(yīng)用：拒絕特定子網(wǎng)的流量v第一步，創(chuàng)建拒絕來自子網(wǎng)第一步，創(chuàng)建拒絕來自子網(wǎng)的流量的的流量的ACLv第二步，應(yīng)用到接口第二步，應(yīng)用到接口E0的出方向的出方向Router(config)#access-list 1 deny 55Router(config)#accesslist 1 permit anyRouter(config)#interface fastethernet 0/0Router（config-if）#ip access-group 1 outPage 27/45擴展訪問控制列表擴展訪問控制列表4-1

13、v擴展訪問控制列表擴展訪問控制列表 基于源和目的地址、傳輸層協(xié)議和應(yīng)用端口號進行過基于源和目的地址、傳輸層協(xié)議和應(yīng)用端口號進行過濾濾 每個條件都必須匹配，才會施加允許或拒絕條件每個條件都必須匹配，才會施加允許或拒絕條件 使用擴展使用擴展ACL可以實現(xiàn)更加精確的流量控制可以實現(xiàn)更加精確的流量控制 訪問控制列表號從訪問控制列表號從100到到199 Page 28/45擴展訪問控制列表擴展訪問控制列表4-2v擴展訪問控制列表使用更多的信息描述數(shù)據(jù)擴展訪問控制列表使用更多的信息描述數(shù)據(jù)包，表明是允許還是拒絕包，表明是允許還是拒絕從從/24來的來的,到到3的，的，

14、使用使用TCP協(xié)議，協(xié)議，利用利用HTTP訪問的訪問的數(shù)據(jù)包可以通過！數(shù)據(jù)包可以通過！路由器路由器Page 29/45擴展訪問控制列表擴展訪問控制列表4-3Page 30/4520FTP-DATA（文件傳輸協(xié)議）（文件傳輸協(xié)議）FTP（數(shù)據(jù)）（數(shù)據(jù)）TCP21FTP（文件傳輸協(xié)議）（文件傳輸協(xié)議）FTPTCP23TELNET終端連接終端連接TCP25SMTP簡單郵件傳輸協(xié)議簡單郵件傳輸協(xié)議TCP42NAMESERVER主機名字服務(wù)器主機名字服務(wù)器UDP53DOMAIN域名服務(wù)器（域名服務(wù)器（DNS)TCP/UDP69TFTP普通文件傳輸協(xié)議（普通文件傳輸協(xié)議（TFTP)UDP80WWW萬維網(wǎng)萬

15、維網(wǎng)TCP擴展訪問控制列表擴展訪問控制列表4-4Page 31/45擴展訪問控制列表的配置擴展訪問控制列表的配置3-1v第一步，使用第一步，使用access-list命令創(chuàng)建擴展訪問控制命令創(chuàng)建擴展訪問控制列表列表Router(config)#access-list access-list-number permit | deny protocol source source-wildcard destination destination-wildcard operator port established logPage 32/45eq portnumber等于端口號等于端口號 portn

16、umbergt portnumber大于端口號大于端口號portnumberlt portnumber小于端口號小于端口號portnumberneq portnumber不等于端口號不等于端口號portnumber擴展訪問控制列表的配置擴展訪問控制列表的配置3-2Page 33/45擴展訪問控制列表的配置擴展訪問控制列表的配置3-3v第二步，使用第二步，使用ip access-group命令將擴展訪問命令將擴展訪問控制列表應(yīng)用到某接口控制列表應(yīng)用到某接口Router（config-if）#ip access-group access-list-number in | out Page 34/4

17、5擴展擴展ACL應(yīng)用應(yīng)用1：拒絕：拒絕ftp流量通過流量通過E0v第一步，創(chuàng)建拒絕來自第一步，創(chuàng)建拒絕來自、去往、去往、ftp流量的流量的ACLv第二步，應(yīng)用到接口第二步，應(yīng)用到接口E0的出方向的出方向Router(config)#access-list 101 deny tcp 55 55 eq 21Router(config)#access-list 101 permit ip any anyRouter(config)#interface fastthernet 0/0Rout

18、er（config-if）#ip access-group 101 outPage 35/45擴展擴展ACL應(yīng)用應(yīng)用2： 拒絕拒絕telnet流量通過流量通過E0v第一步，創(chuàng)建拒絕來自第一步，創(chuàng)建拒絕來自、去往、去往、telnet流量的流量的ACLv第二步，應(yīng)用到接口第二步，應(yīng)用到接口E0的出方向上的出方向上Router(config)#access-list 101 deny tcp 55 55 eq 23Router(config)#access-list 101 permit

19、ip any anyRouter(config)#interface fastethernet 0/0Router（config-if）#ip access-group 101 outPage 36/45命名的訪問控制列表命名的訪問控制列表2-1v標(biāo)準(zhǔn)標(biāo)準(zhǔn)ACL和擴展和擴展ACL中可以使用一個字母數(shù)字組中可以使用一個字母數(shù)字組合的字符串（名字）代替來表示合的字符串（名字）代替來表示ACL的表號的表號 v命名命名IP訪問列表允許從指定的訪問列表刪除單個訪問列表允許從指定的訪問列表刪除單個條目條目v如果添加一個條目到列表中，那么該條目被添加如果添加一個條目到列表中，那么該條目被添加到列表末尾到列表

20、末尾 v不能以同一個名字命名多個不能以同一個名字命名多個ACLv在命名的訪問控制列表下在命名的訪問控制列表下 ，permit和和deny命令的命令的語法格式與前述有所不同語法格式與前述有所不同 Page 37/45命名的訪問控制列表命名的訪問控制列表2-2v第一步，創(chuàng)建名為第一步，創(chuàng)建名為cisco的命名訪問控制列表的命名訪問控制列表v第二步，指定一個或多個第二步，指定一個或多個permit及及deny條件條件 v第三步，應(yīng)用到接口第三步，應(yīng)用到接口E0的出方向的出方向Router（config）#interface fastethernet 0/0Router（config-if）#ip a

21、ccess-group cisco outRouter(config)#ip access-list extended ciscoRouter（config-ext-nacl）# deny tcp 55 55 eq 23Router（config-ext-nacl）# permit ip any anyPage 38/45查看訪問控制列表查看訪問控制列表2-1Router#show ip interface fastethernet 0/0 FastEthernet0/0 is up, line protocol is u

22、p Internet address is /24 Broadcast address is 55 Address determined by setup command MTU is 1500 bytes Helper address is not set Directed broadcast forwarding is disabled Outgoing access list is cisco Inbound access list is not set Proxy ARP is enabled Local Proxy ARP is disa

23、bled Security level is default Split horizon is enabled ICMP redirects are always sent ICMP unreachables are always sent ICMP mask replies are never sent IP fast switching is enabled IP fast switching on the same interface is disabled Page 39/45查看訪問控制列表查看訪問控制列表2-2Router#show access-list Extended IP

24、access list cisco 10 deny tcp 55 55 eq telnet 20 permit ip any anyPage 40/45本章總結(jié)本章總結(jié)訪問控制列表訪問控制列表訪問控制列表的種類訪問控制列表的種類訪問控制列表的工作原理訪問控制列表的工作原理訪問控制列表的反碼訪問控制列表的反碼訪問控制列表概訪問控制列表概述述擴展訪問控制列擴展訪問控制列表表標(biāo)準(zhǔn)訪問控制列標(biāo)準(zhǔn)訪問控制列表表什么是擴展訪問控制列表什么是擴展訪問控制列表擴展訪問控制列表的應(yīng)用與配置擴展訪問控制列表的應(yīng)用與配置命名訪問控制列表命名訪問

25、控制列表標(biāo)準(zhǔn)訪問控制列表的標(biāo)準(zhǔn)訪問控制列表的應(yīng)用與配置應(yīng)用與配置什么是標(biāo)準(zhǔn)訪問控制什么是標(biāo)準(zhǔn)訪問控制列表列表訪問控制列表（訪問控制列表（ACLACL）是應(yīng)用在路由器接是應(yīng)用在路由器接口的指令列表（規(guī)口的指令列表（規(guī)則）則）ACLACL的工作原理：根的工作原理：根據(jù)預(yù)先定義好的規(guī)據(jù)預(yù)先定義好的規(guī)則對包進行過濾，則對包進行過濾，從而達到訪問控制從而達到訪問控制的目的的目的ACLACL的處理過程：若的處理過程：若第一條不匹配，則第一條不匹配，則依次往下進行判斷，依次往下進行判斷，直到有任一條語句直到有任一條語句匹配匹配ACLACL使用反碼來標(biāo)志使用反碼來標(biāo)志一個或幾個地址是一個或幾個地址是被允許還是

26、被拒絕被允許還是被拒絕標(biāo)準(zhǔn)訪問控制列表：檢查被路由的標(biāo)準(zhǔn)訪問控制列表：檢查被路由的數(shù)據(jù)包的源地址。其結(jié)果基于源網(wǎng)數(shù)據(jù)包的源地址。其結(jié)果基于源網(wǎng)絡(luò)絡(luò)/ /子網(wǎng)子網(wǎng)/ /主機主機IPIP地址來決定是允許地址來決定是允許還是拒絕轉(zhuǎn)發(fā)數(shù)據(jù)包。它使用還是拒絕轉(zhuǎn)發(fā)數(shù)據(jù)包。它使用1 1到到9999之間的數(shù)字作為表號之間的數(shù)字作為表號對數(shù)據(jù)包的原地址與目標(biāo)地址均對數(shù)據(jù)包的原地址與目標(biāo)地址均進行檢查。它也能檢查特定的協(xié)進行檢查。它也能檢查特定的協(xié)議、端口號以及其它參數(shù)。它使議、端口號以及其它參數(shù)。它使用用100100到到199199之間的數(shù)字作為表號之間的數(shù)字作為表號應(yīng)用訪問控制列表首先使用應(yīng)用訪問控制列表首先使用access-listaccess-list命令創(chuàng)建訪問控命令創(chuàng)建訪問控制列表，再用制列表，再用ip access-ip access-groupgroup命令把該訪問控制列表命令把該訪問控制列表應(yīng)用到某一接口應(yīng)用到某一接口可以使用一個字母數(shù)字組合的可以使用一個字母數(shù)字組合的字符串（名字）代替前面所使字符串（名字）代替前面所使用的數(shù)字（用的數(shù)字（11991199）