第八章使用訪問控制列表

第八章使用訪問控制列表第一頁，共五十二頁，2022年，8月28日本章目標:

通過本章的學(xué)習(xí),學(xué)員能夠掌握訪問控制列表的功能,IP訪問控制列表的類型和IP訪問列表的配置.最后可以根據(jù)網(wǎng)絡(luò)環(huán)境區(qū)分哪些是合法用戶,怎么拒絕非法用戶;以及非法流量的入侵.訪問列表可被配置成過濾器來測試數(shù)據(jù)包,以決定是向前傳遞到它們的目的地還是將他們丟棄.第二頁，共五十二頁，2022年，8月28日本章的重,難點分析:掌握標準訪問列表的實例配置:掌握擴展訪問列表的實例配置:難點如何根據(jù)網(wǎng)絡(luò)需求進行具體的配置.第三頁，共五十二頁，2022年，8月28日本章內(nèi)容:第一節(jié)訪問控制列表的基本知識第二節(jié)如何操作訪問控制列表第三節(jié)配置IP標準訪問控制列表第四節(jié)配置IP擴展訪問控制列表第五節(jié)控制VTY訪問控制第六節(jié)用NAT和PAT擴展網(wǎng)絡(luò)第四頁，共五十二頁，2022年，8月28日

8.1訪問控制列表第五頁，共五十二頁，2022年，8月28日8.1.1什么是訪問列表

OutgoingPacketE0S0IncomingPacketAccessListProcessesPermit?Sourceand

DestinationProtocol標準的檢驗源地址一般允許或者禁止整個協(xié)議棧擴展的檢查源和目的地址通常允許或者禁止某個具體的協(xié)議訪問控制列表要綁定到路由器的接口的輸入或輸出方向上第六頁，共五十二頁，2022年，8月28日8.1.2為什么使用訪問列表Internet管理IP網(wǎng)絡(luò)資源過濾通過路由器的數(shù)據(jù)包第七頁，共五十二頁，2022年，8月28日8.1.3訪問控制列表的類型標準型訪問控制列表擴展型訪問控制列表第八頁，共五十二頁，2022年，8月28日8.2如何操作訪問控制列表第九頁，共五十二頁，2022年，8月28日8.2.1訪問列表作用方向入站訪問列表

出站訪問列表

第十頁，共五十二頁，2022年，8月28日8.2.2訪問控制列表的作用允許或者阻止某些通過路由器的包允許或禁止遠程登錄到路由器沒有訪問控制列表所有的包將通過路由器Virtualterminallineaccess(IP)Transmissionofpacketsonaninterface第十一頁，共五十二頁，2022年，8月28日8.2.2訪問控制列表的作用（續(xù)）路由過濾Routing

TableQueue

List優(yōu)先極和定制隊列的應(yīng)用按需撥號路由訪問控制列表的應(yīng)用很廣第十二頁，共五十二頁，2022年，8月28日8.2.3出站訪問列表NotifySender如果沒有匹配的訪問控制列表，將丟棄這個包

NY包丟棄桶ChooseInterface

RoutingTable

Entry

?NYTestAccessListStatementsPermit

?YAccessList

?DiscardPacketNOutbound

InterfacesPacketPacketS0E0Inbound

InterfacePackets第十三頁，共五十二頁，2022年，8月28日8.2.4測試清單：拒絕或允許進入端口的包包丟棄桶Y接口目的地DenyYMatchFirstTest?PermitNDenyPermitMatchNextTest(s)?DenyMatchLastTest

?YYNYYPermitImplicitDeny如果不匹配所有的規(guī)則，則丟棄DenyN第十四頁，共五十二頁，2022年，8月28日8.3訪問列表配置指南訪問控制列表的編號標明哪個協(xié)議是被過濾的每個接口，每個協(xié)議，每個方向上可以有一個訪問控制列表訪問控制列表的順序決定被檢驗的順序最特殊的規(guī)則應(yīng)該被放到訪問控制列表的前面在訪問控制列表的最后有隱含的規(guī)則“禁止所有的”訪問控制列表應(yīng)綁定到端口上訪問控制列表過濾通過路由器的包；但是不能過濾由路由器自身產(chǎn)生的包第十五頁，共五十二頁，2022年，8月28日8.3.1如何標識訪問列表號碼范圍/標志IP

1-99100-199Name(CiscoIOS11.2andlater)800-899900-9991000-1099Name(CiscoIOS11.2.Fandlater)標準的擴展的SAP過濾的名字的標準的擴展的名字的訪問控制列表類型IPX標準的訪問控制列表(1to99)檢驗所有從源地址產(chǎn)生的IP包擴展訪問控制列表(100to199)檢驗源和目的地址，具體的TCP/IP協(xié)議和目的端口其他的訪問控制列表檢驗其他的網(wǎng)絡(luò)協(xié)議第十六頁，共五十二頁，2022年，8月28日8.3.2配置IP訪問控制列表第十七頁，共五十二頁，2022年，8月28日

訪問列表命令概述第一步：設(shè)置訪問控制列表測試語句（一個列表可以由一條或多條語句組成）Router(config)#第二步：在接口上啟用特定的訪問控制列表{protocol}access-groupaccess-list-number{in|out}

Router(config-if)#access-listaccess-list-number{permit|deny}{testconditions}第十八頁，共五十二頁，2022年，8月28日

配置標準IP訪問列表access-listaccess-list-number{permit|deny}source[mask]Router(config)#把列表應(yīng)用到端口上設(shè)置進入方向還是出去方向的檢驗?zāi)J的是出去方向的檢驗“noipaccess-groupaccess-list-number”將從端口上刪除這個訪問控制列表Router(config-if)#ipaccess-groupaccess-list-number{in|out}標準的訪問控制列表用1to99默認的通配符“noaccess-listaccess-list-number”刪除整個訪問控制列表第十九頁，共五十二頁，2022年，8月28日

標準IP訪問列表示例1只允許訪問一個網(wǎng)段

(implicitdenyall-notvisibleinthelist)(access-list1deny55)interfaceethernet0ipaccess-group1outinterfaceethernet1ipaccess-group1outE0S0E1Non-第二十頁，共五十二頁，2022年，8月28日

標準IP訪問列表示例2access-list1deny3access-list1permit(implicitdenyall)(access-list1deny55)interfaceethernet0ipaccess-group1outE0S0E1Non-只拒絕一個具體的主機第二十一頁，共五十二頁，2022年，8月28日

標準IP訪問列表示例3access-list1denyaccess-list1permitany(implicitdenyall)

(access-list1deny55)interfaceethernet0ipaccess-group1outE0S0E1Non-只拒絕一個具體的子網(wǎng)第二十二頁，共五十二頁，2022年，8月28日

擴展IP訪問列表配置Router(config-if)#ipaccess-groupaccess-list-number{in|out}

將訪問控制列表應(yīng)用到端口上設(shè)置訪問控制列表Router(config)#access-listaccess-list-number

{permit|deny}protocolsourcesource-wildcard[operatorport]

destinationdestination-wildcard[operatorport][established][log]第二十三頁，共五十二頁，2022年，8月28日

擴展訪問列表示例1

5555eq21access-list101denytcp5555eq20access-list101permitipanyany(implicitdenyall)(access-list101denyip5555)interfaceethernet0ipaccess-group101out禁止從子網(wǎng)

到子網(wǎng)從E0出去的 FTP服務(wù)允許所有其他的包E0S0E1Non-第二十四頁，共五十二頁，2022年，8月28日

擴展訪問列表示例2access-list101denytcp55anyeq23access-list101permitipanyany(implicitdenyall)interfaceethernet0ipaccess-group101out禁止網(wǎng)絡(luò)從E0出去的telnet允許其他所有的IP包E0S0E1Non-第二十五頁，共五十二頁，2022年，8月28日

標準和擴展訪問列表對比標準的擴展的只過濾源過濾源或者目的地址允許或者禁止整個TCP/IP協(xié)議允許或者禁止一個具體協(xié)議和端口號.范圍是從100到199.范圍是從1到99第二十六頁，共五十二頁，2022年，8月28日

實際應(yīng)用步驟第1步:創(chuàng)建一個訪問控制列表第2步:指定接口第3步:定義方向第二十七頁，共五十二頁，2022年，8月28日8.4如何控制vty訪問01234虛擬端口(vty0到4)物理端口(Telnet)設(shè)置IP地址過濾，需用標準的訪問控制列表用線模式并且使用access-class命令在所有vty上設(shè)置統(tǒng)一的過濾Router#e0第二十八頁，共五十二頁，2022年，8月28日8.4.1過濾到路由器的虛擬終端(vty)訪問五個虛擬通道(0到4)過濾哪些地址能登錄到路由器上過濾路由器能登錄到哪些設(shè)備上01234虛擬端口(vty0到4)物理端口e0(遠程登錄)完全控制端口（直連的）)完全控制e0第二十九頁，共五十二頁，2022年，8月28日8.4.1虛擬終端的line命令進入遠程訪問的線模式應(yīng)用訪問控制列表限制進入或者出去方向

access-classaccess-list-number{in|out}

linevty#{vty#|vty-range}Router(config)#Router(config-line)#第三十頁，共五十二頁，2022年，8月28日8.4.2虛擬終端訪問示例

只允許網(wǎng)段的主機遠程登錄到路由器上!linevty04access-class12in第三十一頁，共五十二頁，2022年，8月28日8.5使用名稱IP訪問列表Router(config)#ipaccess-list{standard|extended}nameRouter(config{std-|ext-}nacl)#{permit|deny}

{ipaccesslisttestconditions}{permit|deny}{ipaccesslisttestconditions}no{permit|deny}{ipaccesslisttestconditions}Router(config-if)#ipaccess-groupname{in|out}適用于CiscoIOS11.2版本或者以后的允許或者禁止的聲明沒有預(yù)先約定說明的數(shù)字“no”是從訪問控制列表刪除具體的某一項檢驗將名字的訪問控制列表應(yīng)用到端口上第三十二頁，共五十二頁，2022年，8月28日8.6驗證訪問控制列表wg_ro_a#showipinte0Ethernet0isup,lineprotocolisupAddressdeterminedbysetupcommandMTUis1500bytesHelperaddressisnotsetDirectedbroadcastforwardingisdisabled

OutgoingaccesslistisnotsetInboundaccesslistis1ProxyARPisenabledSecuritylevelisdefaultSplithorizonisenabledICMPredirectsarealwayssentICMPunreachablesarealwayssentICMPmaskrepliesareneversent<textommitted>第三十三頁，共五十二頁，2022年，8月28日8.6驗證訪問控制列表（續(xù)）wg_ro_a#showaccess-listsStandardIPaccesslist1ExtendedIPaccesslist101permittcphostanyeqtelnetpermittcphostanyeqftppermittcphostanyeqftp-datawg_ro_a#showaccess-lists{access-listnumber}wg_ro_a#show{protocol}access-list{access-listnumber}第三十四頁，共五十二頁，2022年，8月28日8.7用NAT來縮放網(wǎng)絡(luò)第三十五頁，共五十二頁，2022年，8月28日8.7.1NAT技術(shù)的定義NAT英文全稱是NetworkAddressTranslation，稱是網(wǎng)絡(luò)地址轉(zhuǎn)換，它是一個IETF標準，允許一個機構(gòu)以一個地址出現(xiàn)在Internet上。NAT將每個局域網(wǎng)節(jié)點的地址轉(zhuǎn)換成一個IP地址，反之亦然。

第三十六頁，共五十二頁，2022年，8月28日8.7.2NAT技術(shù)的基本原理和類型在內(nèi)部網(wǎng)絡(luò)中使用內(nèi)部地址，通過NAT把內(nèi)部地址翻譯成合法的IP地址在Internet上使用，其具體的做法是把IP包內(nèi)的地址用合法的IP地址來替換。NAT有三種類型：靜態(tài)NAT(StaticNAT)動態(tài)地址NAT(PooledNAT)網(wǎng)絡(luò)地址端口轉(zhuǎn)換PAT第三十七頁，共五十二頁，2022年，8月28日8.7.4NAT的配置

1、靜態(tài)轉(zhuǎn)換設(shè)置：ipnatinsidesourcestaticinside-local-addressinside-global-address第三十八頁，共五十二頁，2022年，8月28日8.7.4NAT的配置（續(xù)）2、動態(tài)轉(zhuǎn)換的設(shè)置①ipnatpoolpool-name

first-addresslast-address{netmasknetmask|prefix-lengthprefix-length}②access-listaccess-list-numberpermitsource-ipsource-wildcard③ipnatinsidesourcelistaccess-list-numberpoolpoolname

第三十九頁，共五十二頁，2022年，8月28日8.7.4NAT的配置（續(xù)）3、過載（PAT）過載的配置與動態(tài)轉(zhuǎn)換的配置相似，只是在ipnatinside命令中加上overload選項。ipnatinsidesourcelistaccess-list-numberpoolpool-nameoverload第四十頁，共五十二頁，2022年，8月28日公網(wǎng)內(nèi)網(wǎng)防火墻典型應(yīng)用第四十一頁，共五十二頁，2022年，8月28日2.1隱藏NAT源IP-目端口-1058目標端口-80源IP-目標IP-源端口-1037目標端口-80源IP-目標IP-源端口-1037目標端口-80源IP-目標IP-源端口-1158目標端口-80源IP-目標IP-源端口-1037目標端口-80源IP-目標IP-源端口-1258目標端口-80外網(wǎng)IP-內(nèi)網(wǎng)IP-服務(wù)器IP-端口-80防火墻端口內(nèi)網(wǎng)IP內(nèi)網(wǎng)端口10581037防火墻端口內(nèi)網(wǎng)IP內(nèi)網(wǎng)端口1058103711581037防火墻端口內(nèi)網(wǎng)IP內(nèi)網(wǎng)端口105810371158103712581037第四十二頁，共五十二頁，2022年，8月28日

注意：

所有的內(nèi)部IP主機都“隱藏”在單一的IP地址后面。

這個單一的IP地址可以是防火墻的，也可以是其他合法的IP地址。

不允許生成任何入站會話。

通過防火墻時，源端口隨機改變。第四十三頁，共五十二頁，2022年，8月28日2.2靜態(tài)NAT源IP-目標IP-源端口-1037目標端口-80源IP-目標IP-源端口-1037目標端口-80IP-端口-80外網(wǎng)IP1-外網(wǎng)IP2-內(nèi)網(wǎng)IP-IP-端口-80內(nèi)網(wǎng)主機IP公網(wǎng)IP第四十四頁，共五十二頁，2022年，8月28