網(wǎng)絡(luò)互聯(lián)技術(shù)-第07章訪問(wèn)控制列表ppt課件

1、 【教學(xué)目的】：通過(guò)本章的學(xué)習(xí)，讓學(xué)生知道訪問(wèn)控制列表的功能和實(shí)現(xiàn)機(jī)制、訪問(wèn)控制列表的分類(lèi)、命名訪問(wèn)控制列表的配置和應(yīng)用、基于時(shí)間的訪問(wèn)控制列表的使用；掌握訪問(wèn)控制列表的定義和應(yīng)用、標(biāo)準(zhǔn)訪問(wèn)控制列表的配置、擴(kuò)展訪問(wèn)控制列表的配置、訪問(wèn)控制列表的工作過(guò)程。能為簡(jiǎn)單的網(wǎng)絡(luò)根據(jù)用戶的要求設(shè)置訪問(wèn)控制列表來(lái)實(shí)現(xiàn)公司網(wǎng)絡(luò)的內(nèi)部管理、流量控制和安全控制。 【重點(diǎn)難點(diǎn)】 重點(diǎn)：標(biāo)準(zhǔn)訪問(wèn)控制列表的配置和應(yīng)用；擴(kuò)展訪問(wèn)控制列表的配置和應(yīng)用。 難點(diǎn)：基于時(shí)間的訪問(wèn)控制列表的理解和配置第七章：訪問(wèn)控制列表第七章：訪問(wèn)控制列表 【教學(xué)內(nèi)容】 訪問(wèn)控制列表定義 訪問(wèn)控制列表功能 訪問(wèn)控制列表實(shí)現(xiàn)機(jī)制 訪問(wèn)控制列表的工作

2、過(guò)程分析 訪問(wèn)控制列表的分類(lèi) 標(biāo)準(zhǔn)訪問(wèn)控制列表的配置和應(yīng)用 擴(kuò)展訪問(wèn)控制列表的配置和應(yīng)用 命名訪問(wèn)控制列表的配置和應(yīng)用 基于時(shí)間的訪問(wèn)控制列瑤的配置和應(yīng)用第七章：訪問(wèn)控制列表第七章：訪問(wèn)控制列表【教學(xué)方法】教學(xué)方式：多媒體教學(xué)教學(xué)方法：案例分析+視頻教學(xué)通過(guò)對(duì)比分析讓學(xué)生徹底掌握標(biāo)準(zhǔn)訪問(wèn)控制列表和擴(kuò)展訪問(wèn)控制列表的區(qū)別。利用視頻教學(xué)資料，使學(xué)生在任何時(shí)間和地點(diǎn)能重溫教學(xué)內(nèi)容，盡一步掌握標(biāo)準(zhǔn)擴(kuò)展訪問(wèn)控制列表的配置和實(shí)際應(yīng)用。通過(guò)上機(jī)實(shí)驗(yàn)讓學(xué)生在boson模擬器的支持下完成標(biāo)準(zhǔn)訪問(wèn)控制列表和擴(kuò)展訪問(wèn)控制列表的配置和應(yīng)用。第七章：訪問(wèn)控制列表第七章：訪問(wèn)控制列表 第一部分：訪問(wèn)控制列表概述第一部分：

3、訪問(wèn)控制列表概述一、數(shù)據(jù)包過(guò)濾技術(shù)一、數(shù)據(jù)包過(guò)濾技術(shù) 數(shù)據(jù)包過(guò)濾是指路由器對(duì)需要轉(zhuǎn)發(fā)的數(shù)據(jù)包，數(shù)據(jù)包過(guò)濾是指路由器對(duì)需要轉(zhuǎn)發(fā)的數(shù)據(jù)包，先獲取報(bào)頭信息，然后將其和設(shè)定的規(guī)則進(jìn)行比先獲取報(bào)頭信息，然后將其和設(shè)定的規(guī)則進(jìn)行比較，根據(jù)比較的結(jié)果對(duì)數(shù)據(jù)包進(jìn)行轉(zhuǎn)發(fā)或丟棄。較，根據(jù)比較的結(jié)果對(duì)數(shù)據(jù)包進(jìn)行轉(zhuǎn)發(fā)或丟棄。實(shí)現(xiàn)包過(guò)濾的核心技術(shù)是訪問(wèn)控制列表實(shí)現(xiàn)包過(guò)濾的核心技術(shù)是訪問(wèn)控制列表(Access (Access Control List,Control List,簡(jiǎn)稱簡(jiǎn)稱ACL)ACL)。 第一部分：訪問(wèn)控制列表概述第一部分：訪問(wèn)控制列表概述二、訪問(wèn)控制列表的定義二、訪問(wèn)控制列表的定義 訪問(wèn)控制列表訪問(wèn)控制

4、列表Access Control ListAccess Control List，ACLACL是是用于控制和過(guò)濾通過(guò)路由器的不同接口去往不同方向用于控制和過(guò)濾通過(guò)路由器的不同接口去往不同方向的信息流的一種機(jī)制，這種機(jī)制允許用戶使用訪問(wèn)控的信息流的一種機(jī)制，這種機(jī)制允許用戶使用訪問(wèn)控制列表來(lái)管理信息流，以制作公司內(nèi)部網(wǎng)絡(luò)的相關(guān)策制列表來(lái)管理信息流，以制作公司內(nèi)部網(wǎng)絡(luò)的相關(guān)策略。略。 ACL ACL根據(jù)指定的條件來(lái)檢測(cè)通過(guò)路由器的每個(gè)數(shù)根據(jù)指定的條件來(lái)檢測(cè)通過(guò)路由器的每個(gè)數(shù)據(jù)包，從而決定是轉(zhuǎn)發(fā)還是丟棄該數(shù)據(jù)包。據(jù)包，從而決定是轉(zhuǎn)發(fā)還是丟棄該數(shù)據(jù)包。ACLACL中的中的條件，既可以是數(shù)據(jù)包的源地址，

5、也可以是目的地址，條件，既可以是數(shù)據(jù)包的源地址，也可以是目的地址，還可以是上層協(xié)議或其他因素。還可以是上層協(xié)議或其他因素。 通過(guò)靈活地增加訪問(wèn)控制列表通過(guò)靈活地增加訪問(wèn)控制列表, ,可以把可以把ACLACL當(dāng)作一當(dāng)作一種網(wǎng)絡(luò)控制的有利工具種網(wǎng)絡(luò)控制的有利工具, ,用來(lái)過(guò)濾流入、流出路由器用來(lái)過(guò)濾流入、流出路由器接口的數(shù)據(jù)包。接口的數(shù)據(jù)包。 第一部分：訪問(wèn)控制列表概述第一部分：訪問(wèn)控制列表概述三、訪問(wèn)控制列表的實(shí)現(xiàn)機(jī)制三、訪問(wèn)控制列表的實(shí)現(xiàn)機(jī)制 （1 1首先根據(jù)用戶需求定義一組用于控制和首先根據(jù)用戶需求定義一組用于控制和過(guò)濾數(shù)據(jù)包的訪問(wèn)控制列表。過(guò)濾數(shù)據(jù)包的訪問(wèn)控制列表。 （2 2然后再將其應(yīng)用

6、在路由器的不同接口的然后再將其應(yīng)用在路由器的不同接口的不同方向上。不同方向上。 （3 3如果指定接口該接口已應(yīng)用指定的訪如果指定接口該接口已應(yīng)用指定的訪問(wèn)控制列表指定方向該方向上已應(yīng)用指定的問(wèn)控制列表指定方向該方向上已應(yīng)用指定的訪問(wèn)控制列表上有數(shù)據(jù)包通過(guò)時(shí)，路由器將根訪問(wèn)控制列表上有數(shù)據(jù)包通過(guò)時(shí)，路由器將根據(jù)設(shè)定的訪問(wèn)控制列表的規(guī)則逐條進(jìn)行匹配，據(jù)設(shè)定的訪問(wèn)控制列表的規(guī)則逐條進(jìn)行匹配，如果規(guī)則中上一條語(yǔ)句匹配，則下面所有的語(yǔ)句如果規(guī)則中上一條語(yǔ)句匹配，則下面所有的語(yǔ)句將被忽略對(duì)數(shù)據(jù)包進(jìn)行過(guò)濾，從而確定哪些數(shù)將被忽略對(duì)數(shù)據(jù)包進(jìn)行過(guò)濾，從而確定哪些數(shù)據(jù)包可以接收，哪些數(shù)據(jù)包需要拒絕。據(jù)包可以接收，

7、哪些數(shù)據(jù)包需要拒絕。 第一部分：訪問(wèn)控制列表概述第一部分：訪問(wèn)控制列表概述四、訪問(wèn)控制列表的功能四、訪問(wèn)控制列表的功能 （1 1）、數(shù)據(jù)包過(guò)濾）、數(shù)據(jù)包過(guò)濾 （2 2）、限制網(wǎng)絡(luò)流量）、限制網(wǎng)絡(luò)流量 （3 3）、提高網(wǎng)絡(luò)性能）、提高網(wǎng)絡(luò)性能 （4 4）、提高網(wǎng)絡(luò)安全）、提高網(wǎng)絡(luò)安全 由于由于ACLACL訪問(wèn)控制列表是使用包過(guò)濾技術(shù)來(lái)實(shí)訪問(wèn)控制列表是使用包過(guò)濾技術(shù)來(lái)實(shí)現(xiàn)的，過(guò)濾的依據(jù)又僅僅只是第三層和第四層包現(xiàn)的，過(guò)濾的依據(jù)又僅僅只是第三層和第四層包頭中的部分信息，這種技術(shù)具有一些固有的局限頭中的部分信息，這種技術(shù)具有一些固有的局限性，如無(wú)法識(shí)別到具體的人，無(wú)法識(shí)別到應(yīng)用內(nèi)性，如無(wú)法識(shí)別到具體的

8、人，無(wú)法識(shí)別到應(yīng)用內(nèi)部的權(quán)限級(jí)別等。因此，要達(dá)到端到端的權(quán)限控部的權(quán)限級(jí)別等。因此，要達(dá)到端到端的權(quán)限控制目的，需要和系統(tǒng)級(jí)及應(yīng)用級(jí)的訪問(wèn)權(quán)限控制制目的，需要和系統(tǒng)級(jí)及應(yīng)用級(jí)的訪問(wèn)權(quán)限控制結(jié)合使用。結(jié)合使用。 第一部分：訪問(wèn)控制列表概述第一部分：訪問(wèn)控制列表概述五、訪問(wèn)控制列表的分類(lèi)：主要分為標(biāo)準(zhǔn)訪問(wèn)控五、訪問(wèn)控制列表的分類(lèi)：主要分為標(biāo)準(zhǔn)訪問(wèn)控制列表和擴(kuò)展訪問(wèn)控制列表。制列表和擴(kuò)展訪問(wèn)控制列表。 第一部分：訪問(wèn)控制列表概述第一部分：訪問(wèn)控制列表概述六、訪問(wèn)控制列表工作過(guò)程分析六、訪問(wèn)控制列表工作過(guò)程分析 第二部分：標(biāo)準(zhǔn)訪問(wèn)控制列表第二部分：標(biāo)準(zhǔn)訪問(wèn)控制列表一、定義標(biāo)準(zhǔn)一、定義標(biāo)準(zhǔn)IPIP訪問(wèn)控

9、制列表訪問(wèn)控制列表（1 1語(yǔ)法：語(yǔ)法：Router(config)# access-list Router(config)# access-list list list numberpermit|denyhost/anysourcesournumberpermit|denyhost/anysourcesource-wildcardmaskLogce-wildcardmaskLog（2 2功能：只能根據(jù)數(shù)據(jù)幀的源地址進(jìn)行過(guò)濾，功能：只能根據(jù)數(shù)據(jù)幀的源地址進(jìn)行過(guò)濾，而不能根據(jù)數(shù)據(jù)幀的目的地址進(jìn)行數(shù)據(jù)過(guò)濾；只而不能根據(jù)數(shù)據(jù)幀的目的地址進(jìn)行數(shù)據(jù)過(guò)濾；只能拒絕或允許整個(gè)協(xié)議族的數(shù)據(jù)包，而不能根據(jù)能拒絕或

10、允許整個(gè)協(xié)議族的數(shù)據(jù)包，而不能根據(jù)具體的協(xié)議對(duì)數(shù)據(jù)包進(jìn)行過(guò)濾。具體的協(xié)議對(duì)數(shù)據(jù)包進(jìn)行過(guò)濾。（3 3位置：由于不能根據(jù)數(shù)據(jù)幀的目標(biāo)地址進(jìn)行位置：由于不能根據(jù)數(shù)據(jù)幀的目標(biāo)地址進(jìn)行過(guò)濾，而只能根據(jù)數(shù)據(jù)幀的源地址進(jìn)行過(guò)濾，因過(guò)濾，而只能根據(jù)數(shù)據(jù)幀的源地址進(jìn)行過(guò)濾，因此最好將標(biāo)準(zhǔn)訪問(wèn)控制列表放置離目標(biāo)主機(jī)或此最好將標(biāo)準(zhǔn)訪問(wèn)控制列表放置離目標(biāo)主機(jī)或目標(biāo)網(wǎng)絡(luò)最近的位置。目標(biāo)網(wǎng)絡(luò)最近的位置。 第二部分：標(biāo)準(zhǔn)訪問(wèn)控制列表第二部分：標(biāo)準(zhǔn)訪問(wèn)控制列表（4參數(shù)說(shuō)明：定義訪問(wèn)控制列表必須在路由器的全局配置模式下進(jìn)行l(wèi)ist number：訪問(wèn)控制列表號(hào)的范圍，標(biāo)準(zhǔn)IP訪問(wèn)控制列表的列表號(hào)標(biāo)識(shí)是從 1 到 99 。per

11、mit/deny ：關(guān)鍵字 permit 和 deny 用來(lái)表示滿足訪問(wèn)列表項(xiàng)的報(bào)文是允許通過(guò)接口，還是要過(guò)濾掉。permit 表示允許“滿足訪問(wèn)列表項(xiàng)的報(bào)文通過(guò)接口 deny 表示禁止“滿足訪問(wèn)列表項(xiàng)的報(bào)文通過(guò)接口 source：源地址，對(duì)于標(biāo)準(zhǔn)的IP訪問(wèn)控制列表，源地址可以是：host、any、具體主機(jī)IP地址或具體網(wǎng)絡(luò)地址host 用于指定某個(gè)具體主機(jī)。any 用于指定所有主機(jī)。source-wi1dcardmask ：源地址通配符屏蔽碼 第二部分：標(biāo)準(zhǔn)訪問(wèn)控制列表第二部分：標(biāo)準(zhǔn)訪問(wèn)控制列表二、二、hosthost參數(shù)講解參數(shù)講解 host host表示一種精確的匹配，其屏蔽碼為表示一種

12、精確的匹配，其屏蔽碼為 host host 是是 0.0.0.O 0.0.0.O 通配符屏蔽碼的簡(jiǎn)通配符屏蔽碼的簡(jiǎn)寫(xiě)）。寫(xiě)）。 例如，假定我們希望允許從例如，假定我們希望允許從 5 5 來(lái)的報(bào)文，則應(yīng)該制定如下標(biāo)準(zhǔn)來(lái)的報(bào)文，則應(yīng)該制定如下標(biāo)準(zhǔn)IPIP訪問(wèn)控制列表訪問(wèn)控制列表語(yǔ)句：語(yǔ)句： access-list 44 permit 5 access-list 44 permit 5 如果采用關(guān)鍵字如果采用關(guān)鍵字 host host，則也可以用下面的語(yǔ)，

13、則也可以用下面的語(yǔ)句來(lái)代替：句來(lái)代替： access-list 44 permit host 5 access-list 44 permit host 5 第二部分：標(biāo)準(zhǔn)訪問(wèn)控制列表第二部分：標(biāo)準(zhǔn)訪問(wèn)控制列表三、三、anyany參數(shù)講解參數(shù)講解 any any 是源地證通配符屏蔽碼是源地證通配符屏蔽碼 “0.O.O.O “0.O.O.O 55” 55” 的簡(jiǎn)寫(xiě)。的簡(jiǎn)寫(xiě)。 假定我們要拒絕從源地址假定我們要拒絕從源地址 5 5 來(lái)來(lái)的報(bào)文，并且要允許從其他源地

14、址來(lái)的報(bào)文，則的報(bào)文，并且要允許從其他源地址來(lái)的報(bào)文，則應(yīng)制定如下標(biāo)準(zhǔn)應(yīng)制定如下標(biāo)準(zhǔn)IPIP訪問(wèn)控制列表語(yǔ)句：訪問(wèn)控制列表語(yǔ)句： access-list 55 deny host 5 access-list 55 deny host 5 access-list 55 permit access-list 55 permit 5555 上述命令可以進(jìn)行如下簡(jiǎn)寫(xiě)：上述命令可以進(jìn)行如下簡(jiǎn)寫(xiě)： access-list 55 deny host 5 acc

15、ess-list 55 deny host 5 access-list 55 permit any access-list 55 permit any 第二部分：標(biāo)準(zhǔn)訪問(wèn)控制列表第二部分：標(biāo)準(zhǔn)訪問(wèn)控制列表四、標(biāo)準(zhǔn)訪問(wèn)控制列表常見(jiàn)錯(cuò)誤分析四、標(biāo)準(zhǔn)訪問(wèn)控制列表常見(jiàn)錯(cuò)誤分析（1 1）、標(biāo)準(zhǔn)訪問(wèn)控制列表中語(yǔ)句順序錯(cuò)誤：）、標(biāo)準(zhǔn)訪問(wèn)控制列表中語(yǔ)句順序錯(cuò)誤：access-list 66 permit anyaccess-list 66 permit anyaccess-list 66 deny host 5access-list 66 deny host 192

16、.168.5.25（2 2）、標(biāo)準(zhǔn)訪問(wèn)控制列表中列表號(hào)錯(cuò)誤）、標(biāo)準(zhǔn)訪問(wèn)控制列表中列表號(hào)錯(cuò)誤access-list 166 deny host 5access-list 166 deny host 5access-list 166 permit anyaccess-list 166 permit any（3 3不需要在標(biāo)準(zhǔn)訪問(wèn)控制列表的最后添加不需要在標(biāo)準(zhǔn)訪問(wèn)控制列表的最后添加“deny any ”“deny any ”語(yǔ)句語(yǔ)句access-list 66 permit host 5access-list 66 permit ho

17、st 5access-list 66 deny anyaccess-list 66 deny any（4 4）、忘記在標(biāo)準(zhǔn)訪問(wèn)控制列表的最后添加）、忘記在標(biāo)準(zhǔn)訪問(wèn)控制列表的最后添加“permit any ”“permit any ”語(yǔ)句語(yǔ)句access-list 66 deny host 5access-list 66 deny host 5 第二部分：標(biāo)準(zhǔn)訪問(wèn)控制列表第二部分：標(biāo)準(zhǔn)訪問(wèn)控制列表五、五、permit permit 和和 deny deny 應(yīng)用的規(guī)則應(yīng)用的規(guī)則（1 1最終目標(biāo)是盡量讓訪問(wèn)控制中的條目少一些。最終目

18、標(biāo)是盡量讓訪問(wèn)控制中的條目少一些。另外，訪問(wèn)控制列表是自上而下逐條對(duì)比，所以另外，訪問(wèn)控制列表是自上而下逐條對(duì)比，所以一定要把條件嚴(yán)格的列表項(xiàng)語(yǔ)句放在上面，然后一定要把條件嚴(yán)格的列表項(xiàng)語(yǔ)句放在上面，然后再將條件稍嚴(yán)格的列表選項(xiàng)放在其下面，最后放再將條件稍嚴(yán)格的列表選項(xiàng)放在其下面，最后放置條件寬松的列表選項(xiàng)，還要注意，一般情況下，置條件寬松的列表選項(xiàng)，還要注意，一般情況下，拒絕應(yīng)放在允許上面。拒絕應(yīng)放在允許上面。（2 2如果拒絕的條目少一些，這樣可以用如果拒絕的條目少一些，這樣可以用 DENY DENY，但一定要在最后一條加上允許其它通過(guò)，否則所但一定要在最后一條加上允許其它通過(guò)，否則所有的數(shù)據(jù)

19、包將不能通過(guò)。有的數(shù)據(jù)包將不能通過(guò)。（3 3如果允許的條目少一些，這樣可以用如果允許的條目少一些，這樣可以用 PERMITPERMIT，后面不用加拒絕其它系統(tǒng)默認(rèn)會(huì)添加，后面不用加拒絕其它系統(tǒng)默認(rèn)會(huì)添加 deny anydeny any）。）。（4 4最后，用戶可以根據(jù)實(shí)際情況，靈活應(yīng)用最后，用戶可以根據(jù)實(shí)際情況，靈活應(yīng)用 deny deny 和和 permit permit 語(yǔ)句?？傊?dāng)訪問(wèn)控制列表中語(yǔ)句?？傊?dāng)訪問(wèn)控制列表中有拒絕條目時(shí)，在最后面一定要有允許，因?yàn)橛芯芙^條目時(shí)，在最后面一定要有允許，因?yàn)锳CLACL中系統(tǒng)默認(rèn)最后一條是拒絕所有。中系統(tǒng)默認(rèn)最后一條是拒絕所有。 第二部分：

20、標(biāo)準(zhǔn)訪問(wèn)控制列表第二部分：標(biāo)準(zhǔn)訪問(wèn)控制列表六、應(yīng)用標(biāo)準(zhǔn)訪問(wèn)控制列表六、應(yīng)用標(biāo)準(zhǔn)訪問(wèn)控制列表 在定義了訪問(wèn)控制列表后，還必須將訪問(wèn)控在定義了訪問(wèn)控制列表后，還必須將訪問(wèn)控制列表應(yīng)用到路由器的某一個(gè)接口中。制列表應(yīng)用到路由器的某一個(gè)接口中。（1 1語(yǔ)法格式語(yǔ)法格式 Router(config-if)# ip access-group Router(config-if)# ip access-group access-list-number in | out access-list-number in | out （2 2參數(shù)說(shuō)明參數(shù)說(shuō)明必須先進(jìn)入路由器的某一個(gè)接口，再使用必須先進(jìn)入路由器的某一個(gè)接

21、口，再使用“ip “ip access-groupaccess-group命令，將指定的訪問(wèn)控制列表應(yīng)命令，將指定的訪問(wèn)控制列表應(yīng)用到當(dāng)前路由器接口中。用到當(dāng)前路由器接口中。參數(shù)參數(shù) in in 和和 out out 表示訪問(wèn)控制列表作用在接口上表示訪問(wèn)控制列表作用在接口上的方向。（這里的的方向。（這里的 in in 和和 out out 是以當(dāng)前路由器本是以當(dāng)前路由器本身為參照點(diǎn)的，控制數(shù)據(jù)包由外向內(nèi)進(jìn)入當(dāng)前路身為參照點(diǎn)的，控制數(shù)據(jù)包由外向內(nèi)進(jìn)入當(dāng)前路由器指定接口為由器指定接口為 “in” “in”；控制數(shù)據(jù)包由內(nèi)向外流；控制數(shù)據(jù)包由內(nèi)向外流出當(dāng)前路由器指定接口為出當(dāng)前路由器指定接口為 “o

22、ut” “out”）。）。 第二部分：標(biāo)準(zhǔn)訪問(wèn)控制列表第二部分：標(biāo)準(zhǔn)訪問(wèn)控制列表七、標(biāo)準(zhǔn)訪問(wèn)控制列表例題一：七、標(biāo)準(zhǔn)訪問(wèn)控制列表例題一：inin方向控制方向控制Router(config)# access-list 66 deny host Router(config)# access-list 66 deny host 55Router(config)# access-list 66 permit anyRouter(config)# access-list 66 permit anyRouter(config)# interface ethern

23、et 0/0Router(config)# interface ethernet 0/0Router(config-if)# ip access-group 66 inRouter(config-if)# ip access-group 66 in 第二部分：標(biāo)準(zhǔn)訪問(wèn)控制列表第二部分：標(biāo)準(zhǔn)訪問(wèn)控制列表八、標(biāo)準(zhǔn)訪問(wèn)控制列表例題二：八、標(biāo)準(zhǔn)訪問(wèn)控制列表例題二：outout方向控制方向控制Router(config)# access-list 77 deny host Router(config)# access-list 77 deny host 55R

24、outer(config)# access-list 77 deny Router(config)# access-list 77 deny 55 55 Router(config)# access-list 77 permit anyRouter(config)# access-list 77 permit anyRouter(config)# interface ethernet 0/1Router(config)# interface ethernet 0/1Router(config-if)# ip acces

25、s-group 77 outRouter(config-if)# ip access-group 77 out 第二部分：標(biāo)準(zhǔn)訪問(wèn)控制列表第二部分：標(biāo)準(zhǔn)訪問(wèn)控制列表九、下面圖示中，誰(shuí)可以與主機(jī)九、下面圖示中，誰(shuí)可以與主機(jī)A A通信？通信？ 第二部分：標(biāo)準(zhǔn)訪問(wèn)控制列表第二部分：標(biāo)準(zhǔn)訪問(wèn)控制列表十、虛擬終端訪問(wèn)控制十、虛擬終端訪問(wèn)控制 標(biāo)準(zhǔn)訪問(wèn)列表和控制訪問(wèn)列表不會(huì)拒絕來(lái)自標(biāo)準(zhǔn)訪問(wèn)列表和控制訪問(wèn)列表不會(huì)拒絕來(lái)自路由器虛擬終端的訪問(wèn)，基于安全考慮，對(duì)路由路由器虛擬終端的訪問(wèn)，基于安全考慮，對(duì)路由器虛擬終端的訪問(wèn)和來(lái)自路由器虛擬終端的訪問(wèn)器虛擬終端的訪問(wèn)和來(lái)自路由器虛擬終端的訪問(wèn)都應(yīng)該被拒絕，以下設(shè)置

26、：只允許都應(yīng)該被拒絕，以下設(shè)置：只允許 網(wǎng)段內(nèi)的主機(jī)訪問(wèn)路由器的虛擬端口。網(wǎng)段內(nèi)的主機(jī)訪問(wèn)路由器的虛擬端口。 第三部分：擴(kuò)展訪問(wèn)控制列表第三部分：擴(kuò)展訪問(wèn)控制列表一、擴(kuò)展訪問(wèn)控制列表簡(jiǎn)介一、擴(kuò)展訪問(wèn)控制列表簡(jiǎn)介 顧名思義，擴(kuò)展的顧名思義，擴(kuò)展的IPIP訪問(wèn)控制列表用于擴(kuò)展訪問(wèn)控制列表用于擴(kuò)展報(bào)文過(guò)濾能力。一個(gè)擴(kuò)展的報(bào)文過(guò)濾能力。一個(gè)擴(kuò)展的IPIP訪問(wèn)控制列表允許訪問(wèn)控制列表允許用戶根據(jù)如下內(nèi)容過(guò)濾報(bào)文用戶根據(jù)如下內(nèi)容過(guò)濾報(bào)文: :源地址、目的地址、源地址、目的地址、協(xié)議類(lèi)型、源端口、目的端口以及在特定報(bào)文字協(xié)議類(lèi)型、源端口、目的端口以及在特定報(bào)文

27、字段中允許進(jìn)行特殊位比較等等。例如，通過(guò)擴(kuò)展段中允許進(jìn)行特殊位比較等等。例如，通過(guò)擴(kuò)展IPIP訪問(wèn)控制列表用戶可以實(shí)現(xiàn)：允許外部訪問(wèn)控制列表用戶可以實(shí)現(xiàn)：允許外部WEBWEB通信通信量通過(guò)，而拒絕外來(lái)的量通過(guò)，而拒絕外來(lái)的FTPFTP和和TelnetTelnet通信量。通信量。 擴(kuò)展擴(kuò)展ACLACL既檢查數(shù)據(jù)包的源地址，也檢查數(shù)據(jù)既檢查數(shù)據(jù)包的源地址，也檢查數(shù)據(jù)包的目的地址。此外，還可以檢查數(shù)據(jù)包特定的包的目的地址。此外，還可以檢查數(shù)據(jù)包特定的協(xié)議類(lèi)型、端口號(hào)等。這種擴(kuò)展后的特性給管理協(xié)議類(lèi)型、端口號(hào)等。這種擴(kuò)展后的特性給管理員帶來(lái)了更大的靈活性，可以靈活多變地設(shè)置員帶來(lái)了更大的靈活性，可以靈

28、活多變地設(shè)置ACLACL的測(cè)試條件。數(shù)據(jù)包是否被允許通過(guò)出口，既可的測(cè)試條件。數(shù)據(jù)包是否被允許通過(guò)出口，既可以基于它的源地址，也可以基于它的目的地址。以基于它的源地址，也可以基于它的目的地址。 第三部分：擴(kuò)展訪問(wèn)控制列表第三部分：擴(kuò)展訪問(wèn)控制列表二、擴(kuò)展訪問(wèn)控制列表的定義二、擴(kuò)展訪問(wèn)控制列表的定義（1 1語(yǔ)法格式：語(yǔ)法格式：Router(config)# access-list Router(config)# access-list access-list-number | permit |deny | access-list-number | permit |deny | protocol

29、source source-wildcardmask protocol source source-wildcardmask destination desitination-wildcardmask destination desitination-wildcardmask operator portoperator port（2 2參數(shù)說(shuō)明參數(shù)說(shuō)明list numberlist number：擴(kuò)展：擴(kuò)展IPIP訪問(wèn)控制列表的表號(hào)標(biāo)識(shí)從訪問(wèn)控制列表的表號(hào)標(biāo)識(shí)從l00l00到到199 199 。protocolprotocol：定義了需要被過(guò)濾的協(xié)議，例如：定義了需要被過(guò)濾的協(xié)議，例如IPIP

30、、TCPTCP、UDPUDP、ICMP.ICMP.源端口號(hào)和目的端口號(hào)：源端口號(hào)可以用幾種不源端口號(hào)和目的端口號(hào)：源端口號(hào)可以用幾種不同的方法來(lái)指定。它可以顯式地指定，使用一個(gè)同的方法來(lái)指定。它可以顯式地指定，使用一個(gè)數(shù)字或者使用一個(gè)可識(shí)別的助記符。例如，我們數(shù)字或者使用一個(gè)可識(shí)別的助記符。例如，我們可以使用可以使用8080或者或者h(yuǎn)ttphttp來(lái)指定來(lái)指定WebWeb的超文本傳輸協(xié)議。的超文本傳輸協(xié)議。目的端口號(hào)的指定方法與源端口號(hào)的指定方法相目的端口號(hào)的指定方法與源端口號(hào)的指定方法相同。同。 第三部分：擴(kuò)展訪問(wèn)控制列表第三部分：擴(kuò)展訪問(wèn)控制列表三、常用的服務(wù)端口號(hào)三、常用的服務(wù)端口號(hào)文件

31、傳輸服務(wù)（文件傳輸服務(wù)（ FTP FTP ）使用的默認(rèn)端口號(hào)為）使用的默認(rèn)端口號(hào)為 20 20、2121其中數(shù)據(jù)傳輸使用端口其中數(shù)據(jù)傳輸使用端口 20 20 、控制命令的傳、控制命令的傳輸使用端口輸使用端口 21 21） Telnet Telnet 遠(yuǎn)程登錄服務(wù)使用的默認(rèn)端口號(hào)為遠(yuǎn)程登錄服務(wù)使用的默認(rèn)端口號(hào)為 23 23 簡(jiǎn)單郵件服務(wù)（簡(jiǎn)單郵件服務(wù)（ SMTP SMTP ）使用的默認(rèn)端口號(hào)為）使用的默認(rèn)端口號(hào)為 25 25 簡(jiǎn)單文件傳輸服務(wù)（簡(jiǎn)單文件傳輸服務(wù)（ TFTP TFTP ）使用的默認(rèn)端口號(hào)）使用的默認(rèn)端口號(hào)為為 69 69 域名服務(wù)（域名服務(wù)（ DNS DNS ）使用的默認(rèn)端口號(hào)為）

32、使用的默認(rèn)端口號(hào)為 53 53 WEBWEB服務(wù)（服務(wù)（ ）使用的默認(rèn)端口號(hào)為）使用的默認(rèn)端口號(hào)為 80 80 第三部分：擴(kuò)展訪問(wèn)控制列表第三部分：擴(kuò)展訪問(wèn)控制列表四、擴(kuò)展訪問(wèn)控制列表應(yīng)用一：四、擴(kuò)展訪問(wèn)控制列表應(yīng)用一：Router(config)# access-list 116 deny ip Router(config)# access-list 116 deny ip host 1 55host 1 55Router(config)# access-list 116

33、permit ip Router(config)# access-list 116 permit ip any anyany anyRouter(config)# interface ethernet 0/0Router(config)# interface ethernet 0/0Router(config-if)# ip access-group 116 inRouter(config-if)# ip access-group 116 in目的：拒絕主機(jī) 1 對(duì) 網(wǎng)絡(luò)內(nèi)任何主機(jī)的任何訪問(wèn)。 由于可根據(jù)目標(biāo)IP地址對(duì)數(shù)據(jù)包進(jìn)行過(guò)濾，因此原則上擴(kuò)展

34、訪問(wèn)控制列表應(yīng)放置離源主機(jī)最近的位置。這樣可減少無(wú)用數(shù)據(jù)飯的傳遞，從而減少網(wǎng)絡(luò)流量。 第三部分：擴(kuò)展訪問(wèn)控制列表第三部分：擴(kuò)展訪問(wèn)控制列表五、擴(kuò)展訪問(wèn)控制列表應(yīng)用二：五、擴(kuò)展訪問(wèn)控制列表應(yīng)用二：Router(config)# access-list 118 permit tcp Router(config)# access-list 118 permit tcp 55 any eq www 55 any eq wwwRouter(config)# access-list 118 permit tcp Router(con

35、fig)# access-list 118 permit tcp 55 any eq 21 55 any eq 21Router(config)# access-list 118 permit tcp Router(config)# access-list 118 permit tcp 55 any eq 20 55 any eq 20Router(config)# interface ethernet 0/0Router(config)# int

36、erface ethernet 0/0Router(config-if)# ip access-group 118 in Router(config-if)# ip access-group 118 in 目的：不允許目的：不允許網(wǎng)段的用戶訪問(wèn)網(wǎng)絡(luò)網(wǎng)段的用戶訪問(wèn)網(wǎng)絡(luò)內(nèi)除內(nèi)除WEBWEB、FTPFTP服務(wù)以外的其他服務(wù)。（由于默認(rèn)服務(wù)以外的其他服務(wù)。（由于默認(rèn)禁止了禁止了ICMPICMP數(shù)據(jù)包，因此，雖然數(shù)據(jù)包，因此，雖然網(wǎng)網(wǎng)絡(luò)內(nèi)的主機(jī)可以絡(luò)內(nèi)的主機(jī)可以WEBWEB、FTPFTP方式訪問(wèn)指定的主機(jī)，方式訪問(wèn)指

37、定的主機(jī)，但無(wú)法但無(wú)法pingping通提供通提供WEBWEB、FTPFTP服務(wù)的主機(jī)：服務(wù)的主機(jī)：、） 第三部分：擴(kuò)展訪問(wèn)控制列表第三部分：擴(kuò)展訪問(wèn)控制列表六、擴(kuò)展訪問(wèn)控制列表應(yīng)用三：六、擴(kuò)展訪問(wèn)控制列表應(yīng)用三：Router(config)# access-list 128 permit tcp any Router(config)# access-list 128 permit tcp any host eq wwwhost eq wwwRouter(co

38、nfig)# access-list 128 permit tcp any Router(config)# access-list 128 permit tcp any host eq 21host eq 21Router(config)# access-list 128 permit tcp any Router(config)# access-list 128 permit tcp any host eq 20host eq 20Router(config)# interface etherne

39、t 0/1Router(config)# interface ethernet 0/1Router(config-if)# ip access-group 128 outRouter(config-if)# ip access-group 128 out目的：只允許所有主機(jī)訪問(wèn)目的：只允許所有主機(jī)訪問(wèn) 服務(wù)器提供的服務(wù)器提供的WEBWEB和和 FTP FTP服務(wù)。服務(wù)。 第三部分：擴(kuò)展訪問(wèn)控制列表第三部分：擴(kuò)展訪問(wèn)控制列表七、擴(kuò)展訪問(wèn)控制列表應(yīng)用四：七、擴(kuò)展訪問(wèn)控制列表應(yīng)用四：Router(config)# access-list 101 deny

40、tcp Router(config)# access-list 101 deny tcp 55 55 eq 55 55 eq 2121Router(config)# access-list 101 permit ip any Router(config)# access-list 101 permit ip any anyanyRouter(config)# interface ethernet 0Router(config)# interface e

41、thernet 0Router(config-if)# ip access-group 101 outRouter(config-if)# ip access-group 101 out目的：目的：（1 1拒絕網(wǎng)絡(luò)拒絕網(wǎng)絡(luò) 的的FTPFTP通通信流量通過(guò)信流量通過(guò)e0e0E0E1/24/24/243 第三部分：擴(kuò)展訪問(wèn)控制列表第三部分：擴(kuò)展訪問(wèn)控制列表八、擴(kuò)展訪問(wèn)控制列表應(yīng)用五：八、擴(kuò)展訪問(wèn)控制列表應(yīng)用五：Router(config)# access-list 101 pe

42、rmit tcp any Router(config)# access-list 101 permit tcp any 55 eq 25 55 eq 25Router(config)# interface ethernet 1Router(config)# interface ethernet 1Router(config-if)# ip access-group 101 outRouter(config-if)# ip access-group 101 out目的：目的：（1 1只允許外部網(wǎng)絡(luò)的只允許外部網(wǎng)絡(luò)的SMTPSM

43、TP通信流量通過(guò)通信流量通過(guò)e1 e1 E0E1/24/24/243 第四部分：命名訪問(wèn)控制列表第四部分：命名訪問(wèn)控制列表一、命名訪問(wèn)控制列表簡(jiǎn)介一、命名訪問(wèn)控制列表簡(jiǎn)介 命名命名ACLACL允許在標(biāo)準(zhǔn)允許在標(biāo)準(zhǔn)ACLACL和擴(kuò)展和擴(kuò)展ACLACL中使用一個(gè)中使用一個(gè)字母數(shù)字組合的字符串來(lái)替代前面所使用的數(shù)字字母數(shù)字組合的字符串來(lái)替代前面所使用的數(shù)字來(lái)表示來(lái)表示ACLACL表號(hào)。表號(hào)。 在使用列表號(hào)表示的在使用列表號(hào)表示的“標(biāo)準(zhǔn)標(biāo)準(zhǔn)IPIP訪問(wèn)控制列表訪問(wèn)控制列表和和“擴(kuò)展擴(kuò)

44、展IPIP訪問(wèn)控制列表訪問(wèn)控制列表中，如果輸入的語(yǔ)中，如果輸入的語(yǔ)句出現(xiàn)錯(cuò)誤，用戶不能方便地進(jìn)行修改，而必須句出現(xiàn)錯(cuò)誤，用戶不能方便地進(jìn)行修改，而必須先將整個(gè)先將整個(gè)ACLACL列表刪除后，再重新創(chuàng)建。而在使用列表刪除后，再重新創(chuàng)建。而在使用名字表示的名字表示的“標(biāo)準(zhǔn)標(biāo)準(zhǔn)IPIP訪問(wèn)控制列表訪問(wèn)控制列表和和“擴(kuò)展擴(kuò)展IPIP訪問(wèn)控制列表訪問(wèn)控制列表中，用戶可以方便地對(duì)中，用戶可以方便地對(duì)ACLACL語(yǔ)句進(jìn)語(yǔ)句進(jìn)行修改。行修改。 另外，在設(shè)計(jì)命名的控制列表時(shí)，應(yīng)該注意：另外，在設(shè)計(jì)命名的控制列表時(shí)，應(yīng)該注意：（1 1）、）、11.2 11.2 以前的版本的以前的版本的 Cisco IOS Cis

45、co IOS 不支持命不支持命名的名的 ACL ACL。（2 2）、不能以同一個(gè)名字來(lái)命名多個(gè)）、不能以同一個(gè)名字來(lái)命名多個(gè) ACL ACL 。 第四部分：命名訪問(wèn)控制列表第四部分：命名訪問(wèn)控制列表二、定義和應(yīng)用命名標(biāo)準(zhǔn)訪問(wèn)控制列表二、定義和應(yīng)用命名標(biāo)準(zhǔn)訪問(wèn)控制列表（1 1定義標(biāo)準(zhǔn)命名訪問(wèn)控制列表名稱：定義標(biāo)準(zhǔn)命名訪問(wèn)控制列表名稱：Router(config)# ip access-list standard Router(config)# ip access-list standard access-list-nameaccess-list-name（2 2應(yīng)用標(biāo)準(zhǔn)命名訪問(wèn)控制列表到路由器指

46、定端口應(yīng)用標(biāo)準(zhǔn)命名訪問(wèn)控制列表到路由器指定端口的指定方向上的指定方向上Router(config-if)# ip access-group access-Router(config-if)# ip access-group access-list-name in | out list-name in | out 三、定義和應(yīng)用命名擴(kuò)展訪問(wèn)控制列表三、定義和應(yīng)用命名擴(kuò)展訪問(wèn)控制列表（1 1定義擴(kuò)展命名訪問(wèn)控制列表名稱：定義擴(kuò)展命名訪問(wèn)控制列表名稱：Router(config)# ip access-list extended Router(config)# ip access-list exte

47、nded access-list-name access-list-name （2 2應(yīng)用擴(kuò)展命名訪問(wèn)控制列表到路由器指定端口應(yīng)用擴(kuò)展命名訪問(wèn)控制列表到路由器指定端口的指定方向上的指定方向上Router(config-if)# ip access-group access-Router(config-if)# ip access-group access-list-name in | out list-name in | out 第四部分：命名訪問(wèn)控制列表第四部分：命名訪問(wèn)控制列表四、命名標(biāo)準(zhǔn)訪問(wèn)控制列表實(shí)例四、命名標(biāo)準(zhǔn)訪問(wèn)控制列表實(shí)例（1 1功能實(shí)現(xiàn)：禁止源地址為功能實(shí)現(xiàn)：禁止源地址為 19

48、5 5 的數(shù)的數(shù)據(jù)包流入路由器的據(jù)包流入路由器的 E 0/0 E 0/0 接口，其實(shí)就是禁止了接口，其實(shí)就是禁止了 5 5 主機(jī)的對(duì)外訪問(wèn)。主機(jī)的對(duì)外訪問(wèn)。（2 2拓樸結(jié)構(gòu)拓樸結(jié)構(gòu) 第四部分：命名訪問(wèn)控制列表第四部分：命名訪問(wèn)控制列表3、定義標(biāo)準(zhǔn)命名訪問(wèn)控制列表Router(config)# ip access-list standard block25 Router(config-std-nacl)# deny host 5 Router(config-std-nacl)# permit

49、 any Router(config-std-nacl)# exit4、應(yīng)用標(biāo)準(zhǔn)命名訪問(wèn)控制列表到路由器指定接口的指定方向上Router(config)# interface ethernet 0/0 Router(config-if)# ip access-group block25 in 第五部分：時(shí)間訪問(wèn)控制列表第五部分：時(shí)間訪問(wèn)控制列表一、基于時(shí)間的訪問(wèn)控制列表一、基于時(shí)間的訪問(wèn)控制列表 基于時(shí)間的訪問(wèn)控制列表可以根據(jù)一天中的不同時(shí)間，或基于時(shí)間的訪問(wèn)控制列表可以根據(jù)一天中的不同時(shí)間，或者根據(jù)一星期中的不同日期，或二者相結(jié)合來(lái)控制網(wǎng)絡(luò)數(shù)據(jù)包者根據(jù)一星期中的不同日期，或二者相結(jié)合來(lái)控制網(wǎng)

50、絡(luò)數(shù)據(jù)包的轉(zhuǎn)發(fā)。這種基于時(shí)間的訪問(wèn)列表，就是在原來(lái)的標(biāo)準(zhǔn)訪問(wèn)列的轉(zhuǎn)發(fā)。這種基于時(shí)間的訪問(wèn)列表，就是在原來(lái)的標(biāo)準(zhǔn)訪問(wèn)列表和擴(kuò)展訪問(wèn)列表中，加入有效的時(shí)間范圍來(lái)更合理有效地控表和擴(kuò)展訪問(wèn)列表中，加入有效的時(shí)間范圍來(lái)更合理有效地控制網(wǎng)絡(luò)。配置基于時(shí)間的訪問(wèn)控制列表之前，必須正確配置路制網(wǎng)絡(luò)。配置基于時(shí)間的訪問(wèn)控制列表之前，必須正確配置路由器的時(shí)間由器的時(shí)間: : 配置時(shí)間語(yǔ)法：配置時(shí)間語(yǔ)法：#clock set hh:mm:ss MONTH #clock set hh:mm:ss MONTH 第五部分：時(shí)間訪問(wèn)控制列表第五部分：時(shí)間訪問(wèn)控制列表二、定義時(shí)間名稱二、定義時(shí)間名稱Router(confi

51、g)# time-range time-range-name Router(config)# time-range time-range-name time-rangetime-range：用來(lái)定義時(shí)間范圍：用來(lái)定義時(shí)間范圍time-range-nametime-range-name：時(shí)間范圍名稱，以便在后面的訪問(wèn)控制列表：時(shí)間范圍名稱，以便在后面的訪問(wèn)控制列表中引用中引用三、定義時(shí)間名稱所指向的具體時(shí)間范圍三、定義時(shí)間名稱所指向的具體時(shí)間范圍（1 1定義絕對(duì)時(shí)間范圍定義絕對(duì)時(shí)間范圍Router(config-time-range)# absolute start hh:mm Router(c

52、onfig-time-range)# absolute start hh:mm MONTH end hh:mm month MONTH end hh:mm month 該命令用來(lái)指定絕對(duì)時(shí)間范圍。它后面緊跟該命令用來(lái)指定絕對(duì)時(shí)間范圍。它后面緊跟startstart和和 end end兩兩個(gè)關(guān)鍵字。在兩個(gè)關(guān)鍵字后面的時(shí)間要以個(gè)關(guān)鍵字。在兩個(gè)關(guān)鍵字后面的時(shí)間要以2424小時(shí)制和小時(shí)制和“hh: mm“hh: mm小時(shí)：分鐘）小時(shí)：分鐘）”表示，日期要按照表示，日期要按照“日日/ /月月/ /年年形式表示。形式表示。 第五部分：時(shí)間訪問(wèn)控制列表第五部分：時(shí)間訪問(wèn)控制列表（2 2定義相對(duì)時(shí)間范圍定義相

53、對(duì)時(shí)間范圍 Router(config-time-range)# periodic Router(config-time-range)# periodic 星期幾英文）星期幾英文） hh:mm to hh:mmhh:mm to hh:mm 主要以星期為參數(shù)來(lái)定義時(shí)間范圍。它的參數(shù)主要有主要以星期為參數(shù)來(lái)定義時(shí)間范圍。它的參數(shù)主要有MondayMonday、TuesdayTuesday、WednesdayWednesday、ThursdayThursday、FridayFriday、SaturdaySaturday、SundaySunday中的一個(gè)或者幾個(gè)的組合，也可以是中的一個(gè)或者幾個(gè)的組合，

54、也可以是dailydaily每天）、每天）、weekdayweekday周一到周五或者周一到周五或者weekendweekend周末）。周末）。 基于時(shí)間訪問(wèn)列表的設(shè)計(jì)中，用基于時(shí)間訪問(wèn)列表的設(shè)計(jì)中，用time-range time-range 命令來(lái)指定時(shí)命令來(lái)指定時(shí)間范圍的名稱，然后用間范圍的名稱，然后用 absolute absolute 命令，或者一個(gè)或多個(gè)命令，或者一個(gè)或多個(gè) periodic periodic 命令來(lái)具體定義時(shí)間范圍。但兩者不能同時(shí)使用，否命令來(lái)具體定義時(shí)間范圍。但兩者不能同時(shí)使用，否則配置會(huì)失效。則配置會(huì)失效。 第五部分：時(shí)間訪問(wèn)控制列表第五部分：時(shí)間訪問(wèn)控制列表

55、四、將時(shí)間范圍名稱作用到指定的訪問(wèn)控制列表中四、將時(shí)間范圍名稱作用到指定的訪問(wèn)控制列表中 Router(config)# access-list Router(config)# access-list 列表編號(hào)列表編號(hào) deny|permit deny|permit ip ip 源源ip ip 源掩碼源掩碼 目標(biāo)目標(biāo)ip ip 目標(biāo)掩碼目標(biāo)掩碼 time-range time-range- time-range time-range-namename Router(config)# access-list as Router(config)# access-list permit any any permit any any五、將訪問(wèn)控制列表添加到指定接口的指定方向五、將訪問(wèn)控制列表添加到指定接口的指定方向Router(config)# interface fastethernet Router(config)# interface fastethernet 模塊模塊/ /接口接口Router(config-if)# ip access-gr