網(wǎng)絡(luò)互聯(lián)技術(shù)9- 訪問控制列表.ppt

1、網(wǎng)絡(luò)互聯(lián)技術(shù),第9章訪問控制列表,提升網(wǎng)絡(luò)技術(shù)打造未來世界,9.1 訪問列表概述,9.1.1 ACL簡介 ACL適用于所有被路由協(xié)議，如IP、IPX等。 ACL通過在路由器接口處控制路由數(shù)據(jù)包是被轉(zhuǎn)發(fā)還是被阻塞來過濾網(wǎng)絡(luò)通信流量。 ACL的檢測條件：源地址、目的地址、上層協(xié)議及端口號。,網(wǎng)絡(luò)互聯(lián)技術(shù),提升網(wǎng)絡(luò)技術(shù)打造未來世界,9.1 訪問列表概述,主機A,主機B,人力資源網(wǎng)絡(luò),研發(fā)網(wǎng)絡(luò),第9章訪問控制列表,網(wǎng)絡(luò)互聯(lián)技術(shù),提升網(wǎng)絡(luò)技術(shù)打造未來世界,9.1 訪問列表概述,9.1.2 ACL工作過程,可路由嗎？,入站,N,Y,路由表？,N,Y,選擇接口,ACL,N,Y,允許？,Y,N,出站,第9章訪

2、問控制列表,網(wǎng)絡(luò)互聯(lián)技術(shù),提升網(wǎng)絡(luò)技術(shù)打造未來世界,9.1 訪問列表概述,9.1.3 ACL檢查過程,匹配第一步？,接口數(shù)據(jù)包,匹配下一步？,匹配最后一步？,允許？,Y,Y,Y,N,N,N,N,Y,第9章訪問控制列表,網(wǎng)絡(luò)互聯(lián)技術(shù),提升網(wǎng)絡(luò)技術(shù)打造未來世界,9.2 訪問列表配置,9.2.1 配置ACL的基本步驟 1、定義訪問控制列表 Router(config)#access-list access-list-number permit | deny test-conditions 其中：access-list-number:表號(1-99)、(100-199) permit :允許滿足測試條

3、件的數(shù)據(jù)包。 deny:拒絕滿足測試條件的數(shù)據(jù)包。 test-conditions:測試條件,第9章訪問控制列表,網(wǎng)絡(luò)互聯(lián)技術(shù),提升網(wǎng)絡(luò)技術(shù)打造未來世界,9.2 訪問列表配置,取消定義的訪問控制列表 Router(config)#no access-list access-list-number 注意：要修改列表的條目必須要先刪除列表，然后再重新 建立新的列表。,第9章訪問控制列表,網(wǎng)絡(luò)互聯(lián)技術(shù),提升網(wǎng)絡(luò)技術(shù)打造未來世界,9.2 訪問列表配置,例： 定義訪問控制列表 Router(config )#access-list 1 permit 55 Rout

4、er(config )#access-list 2 deny 55,第9章訪問控制列表,網(wǎng)絡(luò)互聯(lián)技術(shù),提升網(wǎng)絡(luò)技術(shù)打造未來世界,9.2 訪問列表配置,2、將訪問控制列表應(yīng)用到某一接口上 Router(config-if)#protocl access-group Access-list-number in |out 其中：IN 或OUT 表示作用在接口的方向,第9章訪問控制列表,網(wǎng)絡(luò)互聯(lián)技術(shù),提升網(wǎng)絡(luò)技術(shù)打造未來世界,9.2 訪問列表配置,例：應(yīng)用訪問控制列表 Router(config-if)#ip access-group 1 out Router(

5、config-if)#ip access-group 2 in,第9章訪問控制列表,網(wǎng)絡(luò)互聯(lián)技術(shù),提升網(wǎng)絡(luò)技術(shù)打造未來世界,9.2 訪問列表配置,IN,OUT,第9章訪問控制列表,網(wǎng)絡(luò)互聯(lián)技術(shù),提升網(wǎng)絡(luò)技術(shù)打造未來世界,9.2 訪問列表配置,3、訪問控制列表的表號 1-99：IP 標準訪問控制列表 100-199：IP擴展訪控制問列表 600-699：APPLETALK 800-899：IPX,第9章訪問控制列表,網(wǎng)絡(luò)互聯(lián)技術(shù),提升網(wǎng)絡(luò)技術(shù)打造未來世界,9.2 訪問列表配置,4、通配符掩碼 0：表示檢查相應(yīng)位 1：表示不檢查相應(yīng)位 表示檢查所有位 55

6、 表示忽略所有位 55 表示只檢查前24位，忽略后8位,第9章訪問控制列表,網(wǎng)絡(luò)互聯(lián)技術(shù),提升網(wǎng)絡(luò)技術(shù)打造未來世界,9.2 訪問列表配置,0表示檢查相應(yīng)的地址比特 1表示不檢查相應(yīng)的地址比特,0,0,0,0,0,0,0,0,第9章訪問控制列表,網(wǎng)絡(luò)互聯(lián)技術(shù),提升網(wǎng)絡(luò)技術(shù)打造未來世界,9.2 訪問列表配置,5、通配符掩碼中的縮寫字 ANY ：表示所有地址 HOST：表示一個特定主機地址 以下語句功能相同： Router(config)#access-list 1 permit 55 Router(config)# access-list 1

7、 permit any,第9章訪問控制列表,網(wǎng)絡(luò)互聯(lián)技術(shù),提升網(wǎng)絡(luò)技術(shù)打造未來世界,9.2 訪問列表配置,以下語句功能相同： Router(config)#access-list 2 permit Router(config)# access-list 2 permit host ,第9章訪問控制列表,網(wǎng)絡(luò)互聯(lián)技術(shù),提升網(wǎng)絡(luò)技術(shù)打造未來世界,9.3 標準訪問列表,9.3.1 標準ACL工作原理和配置命令 只是對源地址進行控制 1、用途： 阻止來自某一個網(wǎng)絡(luò)的所有通信流量 允許來自某一個特定網(wǎng)絡(luò)的所有通信流量 想要拒絕某一協(xié)議簇的所有通

8、信流量,第9章訪問控制列表,網(wǎng)絡(luò)互聯(lián)技術(shù),提升網(wǎng)絡(luò)技術(shù)打造未來世界,9.3 標準訪問列表,2、配置實例： 定義一個標準ACL允許處于三個不同網(wǎng)絡(luò)上相應(yīng)的主機進行訪問 Router(config)#access-list 1 permit 55 Router(config)#access-list 1 permit 55 Router(config)#access-list 1 permit 55 Router(config )#int s0 Router(config if

9、)#ip access-group 1 in,第9章訪問控制列表,網(wǎng)絡(luò)互聯(lián)技術(shù),提升網(wǎng)絡(luò)技術(shù)打造未來世界,9.3 標準訪問列表,主機A 4.3,主機B 4.4,,,Fa0,Fa1,第9章訪問控制列表,網(wǎng)絡(luò)互聯(lián)技術(shù),提升網(wǎng)絡(luò)技術(shù)打造未來世界,9.3 標準訪問列表,允許一個網(wǎng)段上的通信流量通過 只允許的網(wǎng)絡(luò)通信流量通過，而阻止其它所有的通信流量 Router(config)#access-list 1 permit 55 Router(config)#int fa 0 Router(config i

10、f)#ip access-group 1 out Router(config)#int fa 1 Router(config-if)#ip access-group 1 out,第9章訪問控制列表,網(wǎng)絡(luò)互聯(lián)技術(shù),提升網(wǎng)絡(luò)技術(shù)打造未來世界,9.3 標準訪問列表,拒絕一個特定主機的通信流量通過 阻止特定主機的通信流量通過，而允許其它所有的通信流量 Router(config)#access-list 1 deny host Router(config)#access-list 1 permit any Router(config)#int fa 0 Rou

11、ter(config-if)#ip access-group 1 out,第9章訪問控制列表,網(wǎng)絡(luò)互聯(lián)技術(shù),提升網(wǎng)絡(luò)技術(shù)打造未來世界,9.3 標準訪問列表,拒絕一個特定子網(wǎng)的通信流量通過 阻止特定子網(wǎng)的通信流量通過，而允許其它所有的通信流量 Router(config)#access-list 1 deny 55 Router(config)#access-list 1 permit any Router(config)#int fa 0 Router(config-if)#ip access-group 1 out,第9章訪問控制列表,

12、網(wǎng)絡(luò)互聯(lián)技術(shù),提升網(wǎng)絡(luò)技術(shù)打造未來世界,9.4 擴展訪問列表,1、擴展ACL工作原理和配置命令 檢查條件： 數(shù)據(jù)包的源地址、目的地址、協(xié)議類型及端口號等。 ACL編號：100-199,第9章訪問控制列表,網(wǎng)絡(luò)互聯(lián)技術(shù),提升網(wǎng)絡(luò)技術(shù)打造未來世界,9.4 擴展訪問列表,主機A,主機B,人力資源網(wǎng)絡(luò),研發(fā)網(wǎng)絡(luò),允許E-mail信息通過,拒絕telnet信息通過,第9章訪問控制列表,網(wǎng)絡(luò)互聯(lián)技術(shù),提升網(wǎng)絡(luò)技術(shù)打造未來世界,9.4 擴展訪問列表,常用端口號： 文件傳輸協(xié)議(FTP)數(shù)據(jù) 21 文件傳輸協(xié)議(FTP)程序 23 TELNET TFTP WWW,第9章訪問控制列表,網(wǎng)絡(luò)互聯(lián)技術(shù),提升網(wǎng)絡(luò)技術(shù)

13、打造未來世界,9.4 擴展訪問列表,Access-list 格式： Router(config)#access- list access-list-number permit|deny protocol source source-wildcard Destination destination-wildcard operator port 其中： Access-list-number:訪問控制列表表號 Permit /deny：條件滿足時的操作 Protocal:協(xié)議類型，如：IP 、TCP、 UDP、 ICMP等,第9章訪問控制列表,網(wǎng)絡(luò)互聯(lián)技術(shù),提升網(wǎng)絡(luò)技術(shù)打造未來世界,9.4 擴展訪問

14、列表,Source /destination:源地址、目標地址 wildcard ：通配符 Operator:lt ,gt,eq,neq(小于、大于、等于、不等于) Port:端口號,第9章訪問控制列表,網(wǎng)絡(luò)互聯(lián)技術(shù),提升網(wǎng)絡(luò)技術(shù)打造未來世界,9.4 擴展訪問列表,2、擴展ACL配置實例 （1）只允許WWW的通信流量 只允許網(wǎng)絡(luò)的WWW通信流量到達網(wǎng)絡(luò) ，其它流量全部拒絕。 Router(config)#access-list 101 permit tcp 55 55 eq 80 R

15、outer(config)#int fa 0 Router(config-if)#ip access-group 101 out,第9章訪問控制列表,網(wǎng)絡(luò)互聯(lián)技術(shù),提升網(wǎng)絡(luò)技術(shù)打造未來世界,9.4 擴展訪問列表,(2) 拒絕通過fa 0的FTP通信流量 拒絕FTP通信流量通過FA0 Router(config)#access-list 101 deny tcp 55 55 eq 21 Router(config)#access-list 101 permit ip 55 any Router(config)#int fa 0 Router(config-if)#ip access-group 101 out,第9章訪問控制列表,網(wǎng)絡(luò)互聯(lián)技術(shù),提升網(wǎng)絡(luò)技術(shù)打造未來世界,9.4 擴展訪問列表,(3) 只拒絕通過fa 0的Telnet通信流量 只拒絕從通過FA0發(fā)往別處的Telnet 流量，而 允許所有其它來源的通信流量。 Router(config)#access-list 101 deny tcp 55 ANY eq 23 Router(config)#access-list 101 permit ip an