第13章 标准IP访问控制列表配置
标准IP访问控制列表的配置及应用
标准IP访问控制列表的配置及应用一、拓扑结构图;二、访问控制列表的概念;1.访问控制列表(Access Control List,ACL)是应用在路由器(或三层交换机)端口上的控制列表。
ACL可以允许(permit)或拒绝(deny)进入或离开路由器的数据包(分组),通过设置可以允许或拒绝网络用户使用路由器的某些端口,对网络系统起到安全保护作用。
访问控制列表(ACL)实际上是一系列允许和拒绝匹配准则的集合。
2.IP访问控制列表可以分为两大类:标准IP访问控制列表,只对数据包的源IP地址进行检查。
其列表号为1~99或者1300~1999。
扩展IP访问控制列表,对数据包的源和目标IP地址、源和目标端口号等进行检查,可以允许或拒绝部分协议。
其列表号为100~199或2000~2699。
3.访问控制列表对每个数据包都以自上向下的顺序进行匹配。
如果数据包满足第一个匹配条件,那么路由器就按照该条语句所规定的动作决定是拒绝还是允许;如果数据包不满足第一个匹配条件,则继续检测列表的下一条语句,以此类推。
数据包在访问控制列表中一旦出现了匹配,那么相应的操作就会被执行,并且对此数据包的检测到此为止。
后面的语句不可能推翻前面的语句,因此访问控制列表的过滤规则的放置顺序是很讲究的,不同的放置顺序会带来不同的效果。
三、技术原理;假设某公司的经理部,销售部和财务部分别属于不同的网段,出于安全考虑,公司要求经理部的网络可以访问财务部,而销售部无法访问财务部的网络,其他网络之间都可以实现互访。
访问控制列表一般是布局于需要保护的网络与其他网络联接的路由器中,即为距离被保护网络最接近的路由器上。
配置标准IP访问控制列表:1.定义标准IP访问控制列表;Router (config)#access-list access-list-number deny/permit source-address source-wildcard/*source-wildcard为数据包源地址的通配符掩码。
标准IP访问控制列表配置
查看ACL。
R2#show access-lists1
关于配置标准IP访问控制列表,采用命名的标准ACL
R2(config)#ip access-list standard aa
R2(config-std-nacl)#permit192.168.1.00.0.0.255
R1(config-router)#network192.168.1.0
R1(config-router)#network192.168.2.0
R1(config-router)#network192.168.12.0
R1(config-router)#no auto-summary
在路由器R2上开启RIP协议
验证:
在PC上测试网络的连通性。
C:\>ping 192.168.3.10
!从PC1 Ping PC3,可以ping通
C:\>ping 192.168.3.10
!从PC2 Ping PC3,可以ping通
关于配置标准IP访问控制列表,采用编号的标准ACL
R2(config)#access-list1 deny192.168.2.00.0.0.255
C:\>ping 192.168.3.10
!从PC2 Ping PC3,不能ping通
!允许来自192.168.1.0网段的流量通过
R2(config-std-nacl)#deny192.168.2.00.0.0.255
!拒绝来自192.168.2.0网段的流量通过
R2(config-std-nacl)#exit
R2(config)#interface fa1/0
访问控制列表(ACL)总结配置与应用
三、 命名访问控制列表
命名访问控制列表允许在标准和扩展访问控制列表中使用名称代替表号。 1、 命名访问控制列表的配置 Router(config)#ip access-list {standard | extended} access-list-name
扩展 ACL 配置实例
如图:配置允许主机 PC 访问 WEB 服务的 WWW 服务,而禁止主机 PC 访问 WEB 的其他 服务。
1、 分析哪个接口应用标准 ACL
应用在入站还是出站接口。 与标准 ACL 一样,应该尽量把 ACl 应用到入站方向
应用在哪台路由器上。 由于扩展 ACL 可以根据源 IP 地址。目的 IP 地址、指定协议、端口等过滤数据包,
3、 将 ACL 应用于接口
创建 ACL 后,只有将 ACL 应用于接口,ACL 才会生效。 Router(config)#ip access-group access-list-number {in | out }
参数 in|out 用来指示该 ACL 是应用到入站接口(in),还是初战接口(out)。 在接口上取消 ACL 的应用 Router(config)#no ip access-group acess-list-number (in | out)
access-llist-number:访问控制列表表号,对于扩展 ACL 来书是 100-199; permit | deny:如果满足条件,则允许|拒绝该流量; protocol:用于指定协议类型,如 IP、TCP、UDP、ICMP 等; source、destination:源和目的,分别用来表示源地址和目的地址; source-wildcard、destination-wildcard:反码。源地址和目标地址的反码; operator operan:lt(小于)、gt(大于)、eq(等于)、neq(不等于)和一个 端口。
标准访问控制列表的配置
对于TCP,可以使用以下句法:
deny tcp source source-mask [operator port] destination destination-
mask [operator port ] [established] [precedence precedence] [tos tos] [log]
4. CR-V35FC 一条
5. 网线
两条
4、 实验拓扑
5、 实验要求
ROUTER-A
S1/1 (DCE) 192.168.1.1/24
F0/0
192.168.0.1/24
PC-A
IP 192.168.0.2/24
网关 192.168.0.1
Байду номын сангаас
ROUTER-B
S1/0 (DTE) 192.168.1.2/24
VRF ID: 0
S 192.168.0.0/24 C 192.168.1.0/24 C 192.168.2.0/24
[1,0] via 192.168.1.1 is directly connected, Serial1/0 is directly connected, FastEthernet0/0
制数。
使用关键字any作为0.0.0.0 0.0.0.0的目标和目
标掩码的缩写。
destination- 目标地址网络掩码。使用关键字any作为
mask
0.0.0.0 0.0.0.0的目标地址和目标地址掩码缩
写。
precedence (可选)包可以由优先级过滤,用0到7的数字
precedence 指定。
Router-B#sh ip route Codes: C - connected, S - static, R - RIP, B - BGP, BC - BGP connected
访问控制列表(ACL)的配置
1.4 标准访问控制列表在路由接口应用 ACL的实例
2、验证标准ACL 配置完IP访问控制列表后,如果想知道是否正确,可以使用 show access-lists、show ip interface等命令进行验证。
2、验证标准ACL
①show access-lists命令 该命令用来查看所有访问控制列表的内容。 RTB# show access-lists Standard ip access list 1 10 permit 172.16.10.20 20 deny 172.16.10.0, wildcard bits 0.0.0.255 (16 matches) 30 permit any (18 matches)
对于标准个之准acl来说是一个从1到99或1300到1999之间的数字deny如果满足测试条件则拒绝从该入口来的通信流量permit如果满足测试条件则允许从该入口来的通信量source数据包的源地址可以是网络地址或是主机ip地址sourcewildcard可选项通配符掩码又称反掩码用来跟源地址一起决定哪些位需要匹配log可选项生成相应的日志消息用来记录经过acl入口的数据包的情况三在通配符掩码中有两种比较特殊分别是any和hostany可以表示任何ip地址例如
1.6 实训1 配置标准ACL
一、实训目的
掌握ACL设计原则和工作过程;掌握配置标准ACL; 掌握配置命名ACL; 掌握ACL的调试
二、实训任务
配置标准ACL。要求拒绝PC2所在网段访问路由器RTB,同时只允许主机 PC3访问路由器RTB的Telnet服务。整个网络配置EIGRP保证IP的连通性。 删除内容1所定义的标准ACL,配置扩展ACL。要求只允许PC2所在网段的 主机访问路由器RTB的WWW和Telnet服务,并拒绝PC3所在的网段ping路 由器RTB。 用命名ACL来实现(1)和(2)的要求。
访问控制列表(ACL)的配置
目录
• ACL的基本概念 • ACL的配置步骤 • ACL的常见应用场景 • ACL配置的注意事项 • ACL的发展趋势与未来展望 • 案例分析
01 ACL的基本概念
定义与作用
定义
访问控制列表(ACL)是一种安全机制 ,用于对网络设备的数据包进行过滤 ,以控制对网络资源的访问。
网络设备访问控制
路由器访问控制
通过ACL配置,可以限制对路由器特定端口的访问,保护路 由器免受非法访问和恶意攻击。
交换机端口访问控制
在交换机上配置ACL,可以限制特定MAC地址或IP地址的计算 机访问特定的端口,防止未经授权的设备接入网络。
服务器资源保护
文件服务器保护
通过ACL配置,可以限制用户对服务器上特定文件夹或文件的访问,确保敏感数据不被非法获取或篡 改。
规则的冗余与冲突
要点一
总结词
避免规则的冗余和冲突是ACL配置的重要考虑因素。
要点二
详细描述
在配置ACL时,需要避免规则的冗余和冲突。冗余的规则 会增加配置的复杂性和维护成本,而冲突的规则会导致数 据包的处理结果不确定。为了避免冗余和冲突,需要对每 一条规则进行仔细的审查和测试,确保其作用明确且不会 与其他规则产生冲突。同时,可以采用一些工具和技术来 检测和解决规则的冗余和冲突问题。
05 ACL的发展趋势与未来展 望
ACL技术的演进
传统ACL
基于端口和IP地址的访问控制,适用于简单的网络环 境。
扩展ACL
增加了协议和端口的匹配,能够实现更精细的访问控 制。
基于上下文的ACL
结合网络流量的上下文信息,实现更智能的访问控制。
ACL在云计算中的应用
01
路由器访问控制列表设置指南
路由器访问控制列表设置指南为了使家庭网络更加安全,许多人已经开始在家庭使用路由器的设备中添加访问控制。
这种方法可以控制网络上所使用的设备。
通过授权访问的设备可以按照其工作需要正常访问互联网,而无法访问该设备的设备则无法接入互联网。
然而,许多人对如何设置路由器的访问控制列表不是很清楚。
下面是一些有关路由器访问控制列表设置的指南。
1. 登录到路由器首先需要登录到你的路由器管理界面。
在浏览器中输入路由器的IP 地址,并输入管理员帐号和密码,就可以进入路由器的管理页面。
一般情况下,路由器的IP地址为192.168.1.1。
如果你不知道路由器的IP 地址,可以在路由器的说明书中找到。
2. 导航到访问控制列表页面在路由器管理页面中,找到“访问控制列表”选项。
根据不同的路由器型号,该选项的位置可能会有所不同。
你需要在路由器管理页面中查找菜单选项。
3. 启用访问控制启用访问控制功能前,需要找到“启用访问控制列表功能”的选项,并点击“启用访问控制列表”来开启该功能。
4. 添加设备添加设备的方式各个路由器的型号可能会略有不同。
在一些路由器中,您可以通过MAC地址来控制设备的数量。
您可以添加需要授权访问的设备的MAC地址,以便仅允许授权设备访问网络。
5. 授权或限制对设备的访问在添加设备后,就可以选择授权或限制该设备对互联网的访问权限。
您可以选择全天授权或在指定的时间段内授权,以便为授权设备设置更加严格的网络访问控制。
6. 保存设置并重启路由器在完成所有授权和限制操作后,可以保存设置并重新启动路由器,以使设置生效。
总结在家庭网络保护方面,配置路由器访问控制列表是一种聪明而重要的措施。
通过限制网络访问从而提高网络安全性,您能够确保家庭用户仅能使用授权的设备进行访问,从而保护您的设备和家庭网络的安全。
如果您的路由器只支持WPA / WPA2的加密,建议更换为支持WPA3加密的路由器,以获得更高级别的网络保护。
希望本篇文章对路由器访问控制列表的设置有所帮助。
IP访问控制列表
S0
S0
?
N
是否允许 ?
N
Y
IP ACL的基本准则
一切未被允许的就是禁止的
定义访问控制列表规则时,最终的缺省规则是拒绝所 有数据包通过
按规则链来进行匹配
使用源地址、目的地址、源端口、目的端口、协议、 时间段进行匹配
规则匹配原则
从头到尾,至顶向下的匹配方式
匹配成功马上停止
立刻使用该规则的“允许/拒绝……”
什么是访问列表
IP Access-list:IP访问列表或访问控制列表,简称IP ACL
ACL就是对经过网络设备的数据包根据一定的规则进行数据包的过滤
√
ISPBiblioteka 访问列表访问控制列表的作用:
内网布署安全策略,保证内网安全权限的资源访问
内网访问外网时,进行安全的数据过滤
防止常见病毒、木马、攻击对用户的破坏
2.
出栈应用(out)
• 设备从某接口向外发送数据时进行安全规则过滤
一个接口在一个方向只能应用一组访问控制列表
IN OUT
F1/0
F1/1
访问列表的入栈应用
查找路由表 进行选路转发
是否应用 访问列表 ?
Y
N
是否允许 ?
N
Y
以ICMP信息通知源发送方
访问列表的出栈应用
Y 路由表中是 否存在记录
选择出口 S0 查看访问列表 的陈述 是否应用 N 访问列表 ?
一个访问列表多条过滤规则
是否匹配 规则条件1
Y? N
Y
拒绝 拒绝
Y 规则条件2 Y
?
是否匹配
允许 允许
N
拒绝
Y 是否匹配 Y
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
第13章标准IP访问控制列表配置
实验目标:
理解标准IP访问控制列表的原理及功能
掌握编号的标准IP访问控制列表的配置方法
实验背景:
你是公司的网管,公司的经理部、财务部和销售部分别属于不通的3个网段,三部门之间用路由器进行信息传递,为了安全起见,公司领导要求销售部门不能对财务部进行访问,但经理部可以对财务部进行访问。
PC1代表经理部的主机,PC2代表销售部的主机,PC3代表财务部的主机。
技术原理
ACLs的全称为接入控制列表(Access Control Lists),也称为访问列表(Access Lists),俗称防火墙,在有的文档中还称之为包过滤。
ACLs通过定义一些规则对网络设备接口上的数据报文进行控制:允许通过或丢弃,从而提高网络可管理性和安全性。
IP ACL分为两种:标准IP访问列表和扩展IP访问列表,编号范围分别为1~99、1300~1999,100~199、2000~2699。
标准IP访问列表可以根据数据包的源IP地址定义规则,进行数据包的过滤。
扩展IP访问列表可以根据数据包的源IP、目的IP、源端口、目的端口、协议来定义规则,进行数据包的过滤。
IP ACL基于接口进行规则的应用,分为:入栈应用和出栈应用。
实验步骤
新建Packet Tracer拓扑图(如下图)
(1)路由器之间通过V.35电缆通过串口连接,DCE段连接在R1上,配置其时钟频率64000;主机与路由器通过交叉线连接。
(2)配置路由器接口IP地址。
(3)在路由器上配置静态路由协议,让三台PC能相互ping通,因为只有在互通的前提下才能涉及到访问控制列表。
(4)在R1上配置编号的IP标准访问控制列表。
(5)将标准IP访问列表应用到接口上。
(6)验证主机之间的互通性。
路由器0:
Router>en
Router#conf t
Router(config)#int f 0/0
Router(config-if)#ip address 172.16.1.1 255.255.255.0
Router(config-if)#no shut
Router(config-if)#exit
Router(config)#int f 1/0
Router(config-if)#ip address 172.16.2.1 255.255.255.0
Router(config-if)#no shut
Router(config-if)#exit
Router(config)#int s 2/0
Router(config-if)#ip address 172.16.3.1 255.255.255.0
Router(config-if)#no shut
Router(config-if)#clock rate 64000
Router(config-if)#exit
Router(config)#ip route 172.16.4.0 255.255.255.0 172.16.3.2 Router(config)#end
Router#show ip route
172.16.0.0/24 is subnetted, 4 subnets
C 172.16.1.0 is directly connected, FastEthernet0/0
C 172.16.2.0 is directly connected, FastEthernet1/0
C 172.16.3.0 is directly connected, Serial2/0
S 172.16.4.0 [1/0] via 172.16.3.2
路由器1:
Router>en
Router#conf t
Router(config)#int s 2/0
Router(config-if)#ip address 172.16.3.2 255.255.255.0
Router(config-if)#no shut
Router(config-if)# exit
Router(config)#int f 0/0
Router(config-if)#ip address 172.16.4.1 255.255.255.0
Router(config-if)#no shut
Router(config-if)#exit
Router(config)#ip route 0.0.0.0 0.0.0.0 172.16.3.1
Router(config)#end
Router#show ip route
172.16.0.0/24 is subnetted, 2 subnets
C 172.16.3.0 is directly connected, Serial2/0
C 172.16.4.0 is directly connected, FastEthernet0/0
S* 0.0.0.0/0 [1/0] via 172.16.3.1
测试:
经理PC:
ping 172.16.2.2(通)
ping 172.16.4.2(通)
配置IP访问控制列表:
路由器0:
Router#conf t
Router(config)#ip access-list ?
extended Extended Access List
standard Standard Access List
Router(config)#ip access-list standard ?
<1-99> Standard IP access-list number
WORD Access-list name
Router(config)#ip access-list standard senge
Router(config-std-nacl)#permit 172.16.1.0 ?
A.B.C.D Wildcard bits
<cr>
Router(config-std-nacl)#permit 172.16.1.0 0.0.0.255
Router(config-std-nacl)#deny 172.16.2.0 0.0.0.255
Router(config-std-nacl)#end
Router#conf t
Router(config)#int s 2/0
Router(config-if)#ip access-group ?
<1-199> IP access list (standard or extended) WORD Access-list name
Router(config-if)#ip access-group senge ?
in inbound packets
out outbound packets
Router(config-if)#ip access-group senge out Router(config-if)#end
Router#
测试
销售PC:
ping 172.16.4.2(不通)。