CISCOACL教程_第1頁
CISCOACL教程_第2頁
CISCOACL教程_第3頁
CISCOACL教程_第4頁
CISCOACL教程_第5頁
已閱讀5頁,還剩45頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

1、CISCOACL教程ACL概述 ACL的工作過程 ACL分類 ACL配置 翻轉(zhuǎn)掩碼 標(biāo)準(zhǔn)ACL的配置 擴(kuò)展ACL的配置 命名(Named)ACL的配置 使用ACL控制虛擬終端(VTY)的訪問 訪問控制列表(Access Control List,ACL) 應(yīng)用在路由器接口的指令列表 指定哪些數(shù)據(jù)報(bào)可以接收、哪一些需要拒絕 ACL用途 (1)限制網(wǎng)絡(luò)流量、提高網(wǎng)絡(luò)性能;(2)提供對(duì)通信流量的控制手段;(3)提供網(wǎng)絡(luò)訪問的基本安全手段;(4)在路由器(交換機(jī))接口處,決定哪種類型的通信流量被轉(zhuǎn)發(fā)、哪種被阻塞。 ACL的操作過程 入站訪問控制操作過程 出站訪問控制操作過程 ACL的邏輯測(cè)試過程 相對(duì)

2、網(wǎng)絡(luò)接口來說,從網(wǎng)絡(luò)上流入該接口的數(shù)據(jù)包,為入站數(shù)據(jù)流。 對(duì)入站數(shù)據(jù)流的過濾控制稱為入站訪問控制。 如果一個(gè)入站數(shù)據(jù)包被訪問控制列表禁止(deny),那么該數(shù)據(jù)包被直接丟棄(discard)。 只有那些被ACL允許(permit)的入站數(shù)據(jù)包才進(jìn)行路由查找與轉(zhuǎn)發(fā)處理。 入站訪問控制節(jié)省了那些不必要的路由查找轉(zhuǎn)發(fā)的開銷。 從網(wǎng)絡(luò)接口流出的網(wǎng)絡(luò)數(shù)據(jù)包,稱為出站數(shù)據(jù)流。 出站訪問控制是對(duì)出站數(shù)據(jù)流的過濾控制。 那些被允許的入站數(shù)據(jù)流需要進(jìn)行路由轉(zhuǎn)發(fā)處理。 在轉(zhuǎn)發(fā)之前,交由出站訪問控制進(jìn)行過濾控制操作。 入站接口入站接口數(shù)據(jù)包數(shù)據(jù)包NY數(shù)據(jù)包丟棄桶數(shù)據(jù)包丟棄桶選擇選擇網(wǎng)絡(luò)接口網(wǎng)絡(luò)接口N接口接口是否使用

3、是否使用ACL?路由表路由表是否存在是否存在該路由該路由?Y出站接口出站接口數(shù)據(jù)包數(shù)據(jù)包S0NYN數(shù)據(jù)包數(shù)據(jù)包訪問控制列表訪問控制列表邏輯測(cè)試邏輯測(cè)試是否允許是否允許?YYS0E0入站接口入站接口數(shù)據(jù)包數(shù)據(jù)包路由表路由表是否存在是否存在該路由該路由?選擇選擇網(wǎng)絡(luò)接口網(wǎng)絡(luò)接口接口接口是否使用是否使用ACL?數(shù)據(jù)包丟棄桶數(shù)據(jù)包丟棄桶數(shù)據(jù)包數(shù)據(jù)包出站接口出站接口通知發(fā)送者通知發(fā)送者如果邏輯測(cè)試沒有任何匹配,則丟棄數(shù)據(jù)包如果邏輯測(cè)試沒有任何匹配,則丟棄數(shù)據(jù)包NYNYY丟棄數(shù)據(jù)包丟棄數(shù)據(jù)包N數(shù)據(jù)包數(shù)據(jù)包S0E0入站接口入站接口數(shù)據(jù)包數(shù)據(jù)包路由表路由表是否存在是否存在該路由該路由?選擇選擇網(wǎng)絡(luò)接口網(wǎng)絡(luò)接口

4、接口接口是否使用是否使用ACL?數(shù)據(jù)包丟棄桶數(shù)據(jù)包丟棄桶數(shù)據(jù)包數(shù)據(jù)包出站接口出站接口訪問控制列表訪問控制列表邏輯測(cè)試邏輯測(cè)試是否允許是否允許?數(shù)據(jù)報(bào)文數(shù)據(jù)報(bào)文報(bào)文丟棄桶報(bào)文丟棄桶Y目的接口目的接口DenyDenyY匹配匹配第一條第一條規(guī)則規(guī)則?PermitYDenyDenyYPermitNDenyPermit匹配匹配下一條下一條規(guī)則規(guī)則?YY數(shù)據(jù)報(bào)文數(shù)據(jù)報(bào)文目的接口目的接口報(bào)文丟棄桶報(bào)文丟棄桶匹配匹配第一條第一條規(guī)則規(guī)則?YDenyDenyYPermitNDenyPermitDeny匹配匹配最后一條最后一條規(guī)則規(guī)則?YYNYYPermit數(shù)據(jù)報(bào)文數(shù)據(jù)報(bào)文目的接口目的接口報(bào)文丟棄桶報(bào)文丟棄桶匹配

5、匹配下一條下一條規(guī)則規(guī)則?匹配匹配第一條第一條規(guī)則規(guī)則?YDenyYPermitNDenyPermitDenyYYNYYPermit強(qiáng)制丟棄強(qiáng)制丟棄若無任何匹配若無任何匹配則丟棄則丟棄DenyN數(shù)據(jù)報(bào)文數(shù)據(jù)報(bào)文目的接口目的接口報(bào)文丟棄桶報(bào)文丟棄桶匹配匹配第一條第一條規(guī)則規(guī)則?匹配匹配下一條下一條規(guī)則規(guī)則?匹配匹配最后一條最后一條規(guī)則規(guī)則?范圍范圍/標(biāo)識(shí)標(biāo)識(shí)IP 1-99100-199, 1300-1999, 2000-2699Name (Cisco IOS 11.2 and later)800-899900-9991000-1099Name (Cisco IOS 11.2. F and lat

6、er)StandardExtendedSAP filtersNamedStandardExtendedNamedACL類型類型IPX 標(biāo)準(zhǔn)IP ACL(1到99)根據(jù)IP報(bào)文的源地址測(cè)試 擴(kuò)展IP ACL(100到199)可以測(cè)試IP報(bào)文的源、目的地址、協(xié)議、端口號(hào)源地址源地址段段Segment(例如,例如,TCP首部)首部)數(shù)據(jù)數(shù)據(jù)Data報(bào)文報(bào)文Packet(IP首部)首部)幀幀F(xiàn)rame首部首部(例如,例如,HDLC)DenyPermit 使用使用ACL規(guī)則語句規(guī)則語句1-99 目的地址目的地址源地址源地址協(xié)議(例如協(xié)議(例如TCP)端口號(hào)端口號(hào) 使用使用ACL規(guī)則語句規(guī)則語句100-1

7、99DenyPermit幀幀F(xiàn)rame首部首部(例如,例如,HDLC)報(bào)文報(bào)文Packet(IP首部)首部)段段Segment(例如,例如,TCP首部)首部)數(shù)據(jù)數(shù)據(jù)Data第一步:創(chuàng)建第一步:創(chuàng)建ACLRouter(config)#第二步:第二步:將將ACL綁定到指定接口綁定到指定接口 protocol access-group access-list-number in | out Router(config-if)#access-list access-list-number permit | deny test conditions 0代表檢查對(duì)應(yīng)地址位的值 1代表忽略對(duì)應(yīng)地址位的值d

8、o not check address (ignore bits in octet)=001111111286432168421=00000000=00001111=11111100=11111111ignore last 6 address bitscheck all address bits(match all)ignore last 4 address bitscheck last 2 address bits示例示例 例如: 表示檢查所有的地址位 可以使用關(guān)鍵字host將上語句簡(jiǎn)寫為:測(cè)試條件:檢查所有的地址位(測(cè)試條件:檢查所有的地址位(match all) 9

9、一個(gè)一個(gè)IP host關(guān)鍵字的示例如下:關(guān)鍵字的示例如下:反轉(zhuǎn)掩碼:反轉(zhuǎn)掩碼: 接受任何地址: 可以使用關(guān)鍵字any將上語句簡(jiǎn)寫為:any測(cè)試條件:忽略所有的地址位(測(cè)試條件:忽略所有的地址位(match any)任何任何IP地址地址反轉(zhuǎn)掩碼:反轉(zhuǎn)掩碼:Check for IP subnets /24 to /24.host .00000Wildcard mask: 0 0 0 0 1 1 1 1 | 0 0 0 1 0 0 0 0 = 16 0 0 0 1 0 0 0 1 =17 0 0 0 1 0 0 1 0 =18: : 0 0

10、0 1 1 1 1 1 =31Address and wildcard mask: 通配符掩碼和IP子網(wǎng)的對(duì)應(yīng)access-list access-list-number permit|deny source maskRouter(config)# 為訪問控制列表增加一條測(cè)試語句為訪問控制列表增加一條測(cè)試語句 標(biāo)準(zhǔn)標(biāo)準(zhǔn)IP ACL的參數(shù)的參數(shù)access-list-number 取值范圍從取值范圍從1到到99 “no access-list access-list-number” 命令刪除指定號(hào)碼的命令刪除指定號(hào)碼的ACLaccess-list access-list-number permi

11、t|deny source maskRouter(config)# 在特定接口上啟用ACL 設(shè)置測(cè)試為入站(in)控制還是出站(out)控制 缺省為出站(out)控制 “no ip access-group access-list-number” 命令在特定接口禁用ACLRouter(config-if)#ip access-group access-list-number in | out 為訪問控制列表增加一條測(cè)試語句為訪問控制列表增加一條測(cè)試語句 標(biāo)準(zhǔn)標(biāo)準(zhǔn)IP ACL的參數(shù)的參數(shù)access-list-number 取值范圍從取值范圍從1到到99 “no access-list acce

12、ss-list-number” 命令刪除指定號(hào)碼的命令刪除指定號(hào)碼的ACLE0S0E1Non- (implicit deny all - not visible in the list)(access-list 1 deny 55)只允許本機(jī)所在網(wǎng)絡(luò)訪問 (implicit deny all - not visible in the list)(access-list 1 deny 55)interface ethernet 0ip access-group 1 outinterface ethernet 1i

13、p access-group 1 outE0S0E1Non-拒絕特定主機(jī)的訪問E0S0E1Non-access-list 1 deny 3 E0S0E1Non-access-list 1 deny 3 access-list 1 permit (implicit deny all)(access-list 1 deny 55)拒絕特定主機(jī)的訪問拒絕特定主機(jī)的訪問access-list 1 deny 3 access-list 1

14、permit (implicit deny all)(access-list 1 deny 55)interface ethernet 0ip access-group 1 outE0S0E1Non-拒絕特定主機(jī)的訪問拒絕特定主機(jī)的訪問拒絕特定子網(wǎng)的訪問E0S0E1Non-access-list 1 deny access-list 1 permit any(implicit deny all)(access-list 1 deny 55)access-list 1 den

15、y access-list 1 permit any(implicit deny all)(access-list 1 deny 55)interface ethernet 0ip access-group 1 outE0S0E1Non-拒絕特定子網(wǎng)的訪問拒絕特定子網(wǎng)的訪問Router(config)#為擴(kuò)展IP ACL增加一條測(cè)試語句Eq-等于 lt-小于 gt-大于 neq-不等于Establisted 用與TCP入站訪問控制列表,意義在于允許TCP報(bào)文在建立了一個(gè)確定的連接后,后繼報(bào)文可以通過Log 向控制臺(tái)發(fā)送一條規(guī)則匹配

16、的日志信息access-list access-list-number permit | deny protocol source source-wildcard operator port destination destination-wildcard operator port established logRouter(config-if)# ip access-group access-list-number in | out Router(config)# access-list access-list-number permit | deny protocol source so

17、urce-wildcard operator port destination destination-wildcard operator port established log為擴(kuò)展IP ACL增加一條測(cè)試語句在特定接口上啟用擴(kuò)展ACL禁止子網(wǎng)中任何主機(jī)訪問上的ftp服務(wù) 允許其他任何服務(wù)E0S0E1Non-access-list 101 55 55 eq 21access-list 101 deny tcp 55 55 eq 20E0S0E1Non-access-li

18、st 101 55 55 eq 21access-list 101 deny tcp 55 55 eq 20access-list 101 permit ip any any(implicit deny all)(access-list 101 deny ip 55 55)禁止子網(wǎng)中任何主機(jī)訪問上的禁止子網(wǎng)中任何主機(jī)訪問上的ftp服務(wù)服務(wù) 允許其他任何服務(wù)允許其他任何服務(wù)access-lis

19、t 101 55 55 eq 21access-list 101 deny tcp 55 55 eq 20access-list 101 permit ip any any(implicit deny all)(access-list 101 deny ip 55 55)interface ethernet 0ip access-group 101 outE0S0E1Non-禁止子網(wǎng)中任何主

20、機(jī)訪問上的禁止子網(wǎng)中任何主機(jī)訪問上的ftp服務(wù)服務(wù) 允許其他任何服務(wù)允許其他任何服務(wù)禁止網(wǎng)段的主機(jī)遠(yuǎn)程登錄(telnet)到網(wǎng)段的任何機(jī)器 允許其他任何數(shù)據(jù)通過E0S0E1Non-access-list 101 deny tcp 55 any eq 23E0S0E1Non-access-list 101 deny tcp 55 any eq 23access-list 101 permit ip any any(implicit deny all)禁止網(wǎng)段的主機(jī)遠(yuǎn)程登錄(禁止網(wǎng)段的主機(jī)遠(yuǎn)程登錄(telnet)到網(wǎng)段的任何機(jī)

21、器到網(wǎng)段的任何機(jī)器 允許其他任何數(shù)據(jù)通過允許其他任何數(shù)據(jù)通過access-list 101 deny tcp 55 any eq 23access-list 101 permit ip any any(implicit deny all)interface ethernet 0ip access-group 101 outE0S0E1Non-禁止網(wǎng)段的主機(jī)遠(yuǎn)程登錄(禁止網(wǎng)段的主機(jī)遠(yuǎn)程登錄(telnet)到網(wǎng)段的任何機(jī)器到網(wǎng)段的任何機(jī)器 允許其他任何數(shù)據(jù)通過允許其他任何數(shù)據(jù)通過Router(config)#ip access-list standard | e

22、xtended name Cisco IOS Release 11.2以后的新增特性以后的新增特性 字符串名稱必須唯一字符串名稱必須唯一Router(config)#ip access-list standard | extended name permit | deny ip access list test conditions permit | deny ip access list test conditions no permit | deny ip access list test conditions Router(config std- | ext-nacl)# 配置配置per

23、mit和和deny語句的時(shí)候不需在前面指定語句的時(shí)候不需在前面指定ACL號(hào)碼號(hào)碼 “no”命令刪除指定的命名命令刪除指定的命名ACL測(cè)試語句測(cè)試語句 Cisco IOS Release 11.2以后的新增特性以后的新增特性 字符串名稱必須唯一字符串名稱必須唯一Router(config)# ip access-list standard | extended nameRouter(config std- | ext-nacl)# permit | deny ip access list test conditions permit | deny ip access list test cond

24、itions no permit | deny ip access list test conditions Router(config-if)# ip access-group name in | out 在特定接口上啟用命名在特定接口上啟用命名ACL Cisco IOS Release 11.2以后的新增特性以后的新增特性 字符串名稱必須唯一字符串名稱必須唯一 配置配置permit和和deny語句的時(shí)候不需在前面指定語句的時(shí)候不需在前面指定ACL號(hào)碼號(hào)碼 “no”命令刪除指定的命名命令刪除指定的命名ACL測(cè)試語句測(cè)試語句 在靠近源地址的網(wǎng)絡(luò)接口上設(shè)置擴(kuò)展ACL 在靠近目的地址的網(wǎng)絡(luò)接口上設(shè)

25、置標(biāo)準(zhǔn)ACLE0E0E1S0To0S1S0S1E0E0TokenRing建議:建議:wg_ro_a#show ip int e0Ethernet0 is up, line protocol is up Address determined by setup command MTU is 1500 bytes Helper address is not set Directed broadcast forwarding is disabled Outgoing access list is not set Inbound access list is 1 Proxy ARP is enabled

26、 Security level is default Split horizon is enabled ICMP redirects are always sent ICMP unreachables are always sent ICMP mask replies are never sent IP fast switching is enabled IP fast switching on the same interface is disabled IP Feature Fast switching turbo vector IP multicast fast switching is enabled IP multicast distributed fast switching is disabled wg_ro_a#show access-lists Standard IP access list 1Extended IP access list 101 permit tcp

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

最新文檔

評(píng)論

0/150

提交評(píng)論