訪問控制列表

訪問控制列表第一頁(yè)，共四十四頁(yè)，編輯于2023年，星期五本章目標(biāo)理解訪問控制列表的工作原理（訪問控制列表的作用，路由器對(duì)訪問控制列表的處理過程）理解訪問控制列表的反碼掌握訪問控制列表的種類掌握標(biāo)準(zhǔn)和擴(kuò)展訪問控制列表的配置方法能夠利用訪問控制列表對(duì)網(wǎng)絡(luò)進(jìn)行控制第二頁(yè)，共四十四頁(yè)，編輯于2023年，星期五本章結(jié)構(gòu)訪問控制列表訪問控制列表的種類訪問控制列表的工作原理訪問控制列表的反碼訪問控制列表概述擴(kuò)展訪問控制列表標(biāo)準(zhǔn)訪問控制列表什么是擴(kuò)展訪問控制列表擴(kuò)展訪問控制列表的應(yīng)用與配置命名訪問控制列表標(biāo)準(zhǔn)訪問控制列表的應(yīng)用與配置什么是標(biāo)準(zhǔn)訪問控制列表第三頁(yè)，共四十四頁(yè)，編輯于2023年，星期五什么是訪問控制列表訪問控制列表（ACL）應(yīng)用于路由器接口的指令列表，用于指定哪些數(shù)據(jù)包可以接收轉(zhuǎn)發(fā)，哪些數(shù)據(jù)包需要拒絕ACL的工作原理讀取第三層及第四層包頭中的信息根據(jù)預(yù)先定義好的規(guī)則對(duì)包進(jìn)行過濾第四頁(yè)，共四十四頁(yè)，編輯于2023年，星期五訪問控制列表的作用2-1提供網(wǎng)絡(luò)訪問的基本安全手段可用于QoS，控制數(shù)據(jù)流量控制通信量第五頁(yè)，共四十四頁(yè)，編輯于2023年，星期五主機(jī)A主機(jī)B人力資源網(wǎng)絡(luò)研發(fā)網(wǎng)絡(luò)使用ACL阻止某指定網(wǎng)絡(luò)訪問另一指定網(wǎng)絡(luò)訪問控制列表的作用2-2第六頁(yè)，共四十四頁(yè)，編輯于2023年，星期五實(shí)現(xiàn)訪問控制列表的核心技術(shù)是包過濾Internet公司總部?jī)?nèi)部網(wǎng)絡(luò)未授權(quán)用戶辦事處訪問控制列表訪問控制列表工作原理2-1第七頁(yè)，共四十四頁(yè)，編輯于2023年，星期五通過分析IP數(shù)據(jù)包包頭信息，進(jìn)行判斷（這里IP所承載的上層協(xié)議為TCP）IP報(bào)頭TCP報(bào)頭數(shù)據(jù)源地址目的地址源端口目的端口訪問控制列表利用這4個(gè)元素定義的規(guī)則訪問控制列表工作原理2-2第八頁(yè)，共四十四頁(yè)，編輯于2023年，星期五匹配下一步拒絕允許允許允許到達(dá)訪問控制組接口的數(shù)據(jù)包匹配第一步目的接口隱含的拒絕丟棄YYYYYYNNN路由器對(duì)訪問控制列表的處理過程匹配下一步拒絕拒絕拒絕第九頁(yè)，共四十四頁(yè)，編輯于2023年，星期五訪問控制列表入與出3-1使用命令ipaccess-group將ACL應(yīng)用到某一個(gè)接口上在接口的一個(gè)方向上，只能應(yīng)用一個(gè)access-listRouter(config-if)#ipaccess-groupaccess-list-number{in|out}第十頁(yè)，共四十四頁(yè)，編輯于2023年，星期五進(jìn)入數(shù)據(jù)包源地址匹配嗎？有更多條目嗎？應(yīng)用條件拒絕允許路由到接口查找路由表是是否是否Icmp消息轉(zhuǎn)發(fā)數(shù)據(jù)包接口上有訪問控制列表嗎？列表中的下一個(gè)條目否訪問控制列表入與出3-2第十一頁(yè)，共四十四頁(yè)，編輯于2023年，星期五外出數(shù)據(jù)包查找路由表接口上有訪問控制列表嗎？源地址匹配嗎？拒絕允許列表中的下一個(gè)條目是是轉(zhuǎn)發(fā)數(shù)據(jù)包Icmp消息否否否

有更多條目嗎？訪問控制列表入與出3-3應(yīng)用條件是第十二頁(yè)，共四十四頁(yè)，編輯于2023年，星期五Deny和permit命令Router(config)#access-listaccess-list-number{permit|deny}{testconditions}允許數(shù)據(jù)包通過應(yīng)用了訪問控制列表的接口拒絕數(shù)據(jù)包通過第十三頁(yè)，共四十四頁(yè)，編輯于2023年，星期五第一步，創(chuàng)建訪問控制列表第二步，應(yīng)用到接口e0的出方向上

Router(config)#access-list1deny3Router(config)#access-list1permit55Router(config)#access-list1permit55Router(config)#interfacefastethernet0/0Router（config-if）#ipaccess-group1out訪問控制列表實(shí)例第十四頁(yè)，共四十四頁(yè)，編輯于2023年，星期五使用通配符any和host2-1通配符any可代替55

Router(config)#access-list1permit55Router(config)#access-list1permitany第十五頁(yè)，共四十四頁(yè)，編輯于2023年，星期五使用通配符any和host2-2host表示檢查IP地址的所有位

Router(config)#access-list1permit9Router(config)#access-list1permithost9第十六頁(yè)，共四十四頁(yè)，編輯于2023年，星期五訪問控制列表的種類基本類型的訪問控制列表標(biāo)準(zhǔn)訪問控制列表擴(kuò)展訪問控制列表

其他種類的訪問控制列表基于MAC地址的訪問控制列表基于時(shí)間的訪問控制列表第十七頁(yè)，共四十四頁(yè)，編輯于2023年，星期五擴(kuò)展acl標(biāo)準(zhǔn)acl路由器B路由器C路由器D路由器AS0S0S1S1E0E0E1E0E0E1應(yīng)用訪問控制列表源目的第十八頁(yè)，共四十四頁(yè)，編輯于2023年，星期五標(biāo)準(zhǔn)訪問控制列表3-1標(biāo)準(zhǔn)訪問控制列表根據(jù)數(shù)據(jù)包的源IP地址來允許或拒絕數(shù)據(jù)包訪問控制列表號(hào)從1到99第十九頁(yè)，共四十四頁(yè)，編輯于2023年，星期五標(biāo)準(zhǔn)訪問控制列表3-2標(biāo)準(zhǔn)訪問控制列表只使用源地址進(jìn)行過濾，表明是允許還是拒絕從/24來的數(shù)據(jù)包可以通過！從/24來的數(shù)據(jù)包不能通過！路由器第二十頁(yè)，共四十四頁(yè)，編輯于2023年，星期五如果在訪問控制列表中有的話應(yīng)用條件拒絕允許更多條目？列表中的下一個(gè)條目否

有訪問控制列表嗎？源地址不匹配是匹配是否Icmp消息轉(zhuǎn)發(fā)數(shù)據(jù)包標(biāo)準(zhǔn)訪問控制列表3-3第二十一頁(yè)，共四十四頁(yè)，編輯于2023年，星期五標(biāo)準(zhǔn)訪問控制列表的配置第一步，使用access-list命令創(chuàng)建訪問控制列表第二步，使用ipaccess-group命令把訪問控制列表應(yīng)用到某接口Router(config)#access-listaccess-list-number{permit|deny}source[

source-wildcard][log]Router(config-if)#ipaccess-groupaccess-list-number

{in|out}第二十二頁(yè)，共四十四頁(yè)，編輯于2023年，星期五標(biāo)準(zhǔn)ACL應(yīng)用1：允許特定源的流量2-1Non-E0E1S03第二十三頁(yè)，共四十四頁(yè)，編輯于2023年，星期五標(biāo)準(zhǔn)ACL應(yīng)用：允許特定源的流量2-2第一步，創(chuàng)建允許來自的流量的ACL第二步，應(yīng)用到接口E0和E1的出方向上Router(config)#access-list1permit55Router(config)#interfacefastethernet0/0Router(config-if)#ipaccess-group1outRouter(config)#interfacefastethernet0/1Router(config-if)#ipaccess-group1out第二十四頁(yè)，共四十四頁(yè)，編輯于2023年，星期五標(biāo)準(zhǔn)ACL應(yīng)用：拒絕特定主機(jī)的通信流量第一步，創(chuàng)建拒絕來自3的流量的ACL第二步，應(yīng)用到接口E0的出方向Router(config)#access-list1denyhost3Router(config)#access-list1permit55Router(config)#interfacefastethernet0/0Router(config-if)#ipaccess-group1outany第二十五頁(yè)，共四十四頁(yè)，編輯于2023年，星期五標(biāo)準(zhǔn)ACL應(yīng)用：拒絕特定子網(wǎng)的流量第一步，創(chuàng)建拒絕來自子網(wǎng)的流量的ACL第二步，應(yīng)用到接口E0的出方向Router(config)#access-list1deny55Router(config)#access—list1permitanyRouter(config)#interfacefastethernet0/0Router（config-if）#ipaccess-group1out55第二十六頁(yè)，共四十四頁(yè)，編輯于2023年，星期五擴(kuò)展訪問控制列表4-1擴(kuò)展訪問控制列表基于源和目的地址、傳輸層協(xié)議和應(yīng)用端口號(hào)進(jìn)行過濾每個(gè)條件都必須匹配，才會(huì)施加允許或拒絕條件使用擴(kuò)展ACL可以實(shí)現(xiàn)更加精確的流量控制訪問控制列表號(hào)從100到199

第二十七頁(yè)，共四十四頁(yè)，編輯于2023年，星期五擴(kuò)展訪問控制列表4-2擴(kuò)展訪問控制列表使用更多的信息描述數(shù)據(jù)包，表明是允許還是拒絕從/24來的,到3的，使用TCP協(xié)議，利用HTTP訪問的數(shù)據(jù)包可以通過！路由器第二十八頁(yè)，共四十四頁(yè)，編輯于2023年，星期五有訪問控制列表嗎？源地址目的地址協(xié)議協(xié)議任選項(xiàng)應(yīng)用條件拒絕允許更多條目？列表中的下一個(gè)條目不匹配否是匹配匹配匹配匹配是否Icmp消息轉(zhuǎn)發(fā)數(shù)據(jù)包如果在訪問控制列表中有的話擴(kuò)展訪問控制列表4-3不匹配不匹配不匹配第二十九頁(yè)，共四十四頁(yè)，編輯于2023年，星期五端口號(hào)關(guān)鍵字描述TCP/UDP20FTP-DATA（文件傳輸協(xié)議）FTP（數(shù)據(jù)）TCP21FTP（文件傳輸協(xié)議）FTPTCP23TELNET終端連接TCP25SMTP簡(jiǎn)單郵件傳輸協(xié)議TCP42NAMESERVER主機(jī)名字服務(wù)器UDP53DOMAIN域名服務(wù)器（DNS)TCP/UDP69TFTP普通文件傳輸協(xié)議（TFTP)UDP80WWW萬維網(wǎng)TCP擴(kuò)展訪問控制列表4-4第三十頁(yè)，共四十四頁(yè)，編輯于2023年，星期五擴(kuò)展訪問控制列表的配置3-1第一步，使用access-list命令創(chuàng)建擴(kuò)展訪問控制列表Router(config)#access-listaccess-list-number{permit|deny}protocol

[sourcesource-wildcarddestinationdestination-wildcard][operatorport][established][log]第三十一頁(yè)，共四十四頁(yè)，編輯于2023年，星期五擴(kuò)展訪問控制列表操作符的含義操作符及語(yǔ)法意義eqportnumber等于端口號(hào)portnumbergtportnumber大于端口號(hào)portnumberltportnumber小于端口號(hào)portnumberneqportnumber不等于端口號(hào)portnumber擴(kuò)展訪問控制列表的配置3-2第三十二頁(yè)，共四十四頁(yè)，編輯于2023年，星期五擴(kuò)展訪問控制列表的配置3-3第二步，使用ipaccess-group命令將擴(kuò)展訪問控制列表應(yīng)用到某接口Router（config-if）#ipaccess-groupaccess-list-number{in|out}第三十三頁(yè)，共四十四頁(yè)，編輯于2023年，星期五擴(kuò)展ACL應(yīng)用1：拒絕ftp流量通過E0第一步，創(chuàng)建拒絕來自、去往、ftp流量的ACL第二步，應(yīng)用到接口E0的出方向Router(config)#access-list101denytcp5555eq21Router(config)#access-list101permitipanyanyRouter(config)#interfacefastthernet0/0Router（config-if）#ipaccess-group101out第三十四頁(yè)，共四十四頁(yè)，編輯于2023年，星期五擴(kuò)展ACL應(yīng)用2：拒絕telnet流量通過E0第一步，創(chuàng)建拒絕來自、去往、telnet流量的ACL第二步，應(yīng)用到接口E0的出方向上Router(config)#access-list101denytcp5555eq23Router(config)#access-list101permitipanyanyRouter(config)#interfacefastethernet0/0Router（config-if）#ipaccess-group101out第三十五頁(yè)，共四十四頁(yè)，編輯于2023年，星期五命名的訪問控制列表2-1標(biāo)準(zhǔn)ACL和擴(kuò)展ACL中可以使用一個(gè)字母數(shù)字組合的字符串（名字）代替來表示ACL的表號(hào)命名IP訪問列表允許從指定的訪問列表刪除單個(gè)條目如果添加一個(gè)條目到列表中，那么該條目被添加到列表末尾不能以同一個(gè)名字命名多個(gè)ACL在命名的訪問控制列表下，permit和deny命令的語(yǔ)法格式與前述有所不同第三十六頁(yè)，共四十四頁(yè)，編輯于2023年，星期五命名的訪問控制列表2-2第一步，創(chuàng)建名為cisco的命名訪問控制列表第二步，指定一個(gè)或多個(gè)permit及deny條件第三步，應(yīng)用到接口E0的出方向Router（config）#interfacefastethernet0/0Router（config-if）#ipaccess-groupciscooutRouter(config)#ipaccess-listextendedciscoRouter（config-ext-nacl）#denytcp5555eq23Router（config-ext-nacl）#permitipanyany第三十七頁(yè)，共四十四頁(yè)，編輯于2023年，星期五查看訪問控制列表2-1Router#showipinterfacefastethernet0/0FastEthernet0/0isup,lineprotocolisupInternetaddressis/24Broadcastaddressis55AddressdeterminedbysetupcommandMTUis1500bytesHelperaddressisnotsetDirectedbroadcastforwardingisdisabledOutgoingaccesslistisciscoInboundaccesslistisnotsetProxyARPisenabledLocalProxyARPisdisabledSecuritylevelisdefaultSplithorizonisenabledICMPredirectsarealwayssentICMPunreachablesarealwayssentICMPmaskrepliesareneversentIPfastswitchingisenabledIPfastswitchingonthesameinterfaceisdisabled……第三十八頁(yè)，共四十四頁(yè)，編輯于2023年，星期五查看訪問控制列表2-2Router#showaccess-listExtendedIPaccesslistcisco10denytcp5555eqtelnet20permitipanyany第三十九頁(yè)，共四十四頁(yè)，編輯于2023年，星期五本章總結(jié)訪問控制列表訪問控制列表的種類訪問控制列表的工作原理訪問控制列表的反碼訪問控制列表概述擴(kuò)展訪問控制列表標(biāo)準(zhǔn)訪問控制列表什么是擴(kuò)展訪問控制列表擴(kuò)展訪問控制列表的應(yīng)用與配置命名訪問控制列表標(biāo)準(zhǔn)訪問控制列表的應(yīng)用與配置什么是標(biāo)準(zhǔn)訪問控制列表訪問控制列表（ACL）是應(yīng)用在路由器接口的指令列表（規(guī)則）ACL的工作原理：根據(jù)預(yù)先定義好的規(guī)則對(duì)包進(jìn)行過濾，從而達(dá)到訪問控制的目的ACL的處理過程：若第一條不匹配，則依次往下進(jìn)行判斷，直到有任一條語(yǔ)句匹配ACL使用反碼來標(biāo)志一個(gè)或幾個(gè)地址是被允許還是被拒絕標(biāo)準(zhǔn)訪問控制列表：檢查被路由的數(shù)據(jù)包的源地址。其結(jié)果基于源網(wǎng)絡(luò)/子網(wǎng)/主機(jī)IP地址來決定是允許還是拒絕轉(zhuǎn)發(fā)數(shù)據(jù)包。它使用1到99之間的數(shù)字作為表號(hào)對(duì)數(shù)據(jù)包的原地址與目標(biāo)地址均進(jìn)行檢查。它也能檢查特定的協(xié)議、端口號(hào)以及其它參數(shù)。它使用100到199之間的數(shù)字作為表號(hào)應(yīng)用訪問控制列表首先使用access-list命令創(chuàng)建訪問控制列表，再用ipaccess-group命令把該訪問控制列表應(yīng)用到某一接口可以使用一個(gè)字母數(shù)字組合的字符串（名字