8 标准访问控制列表
标准IP访问控制列表的配置及应用
标准IP访问控制列表的配置及应用一、拓扑结构图;二、访问控制列表的概念;1.访问控制列表(Access Control List,ACL)是应用在路由器(或三层交换机)端口上的控制列表。
ACL可以允许(permit)或拒绝(deny)进入或离开路由器的数据包(分组),通过设置可以允许或拒绝网络用户使用路由器的某些端口,对网络系统起到安全保护作用。
访问控制列表(ACL)实际上是一系列允许和拒绝匹配准则的集合。
2.IP访问控制列表可以分为两大类:标准IP访问控制列表,只对数据包的源IP地址进行检查。
其列表号为1~99或者1300~1999。
扩展IP访问控制列表,对数据包的源和目标IP地址、源和目标端口号等进行检查,可以允许或拒绝部分协议。
其列表号为100~199或2000~2699。
3.访问控制列表对每个数据包都以自上向下的顺序进行匹配。
如果数据包满足第一个匹配条件,那么路由器就按照该条语句所规定的动作决定是拒绝还是允许;如果数据包不满足第一个匹配条件,则继续检测列表的下一条语句,以此类推。
数据包在访问控制列表中一旦出现了匹配,那么相应的操作就会被执行,并且对此数据包的检测到此为止。
后面的语句不可能推翻前面的语句,因此访问控制列表的过滤规则的放置顺序是很讲究的,不同的放置顺序会带来不同的效果。
三、技术原理;假设某公司的经理部,销售部和财务部分别属于不同的网段,出于安全考虑,公司要求经理部的网络可以访问财务部,而销售部无法访问财务部的网络,其他网络之间都可以实现互访。
访问控制列表一般是布局于需要保护的网络与其他网络联接的路由器中,即为距离被保护网络最接近的路由器上。
配置标准IP访问控制列表:1.定义标准IP访问控制列表;Router (config)#access-list access-list-number deny/permit source-address source-wildcard/*source-wildcard为数据包源地址的通配符掩码。
路由器访问控制列表(ACL)
从PC0访问服务器210.31.224.11上运行的Telnet服务,无法访问
从PC2访问服务器210.31.224.11上运行的Telnet服务
从PC0访问服务器210.31.224.11上运行的WWW服务,结果正常
从PC2访问服务器210.31.224.11上运行的WWW服务,结果正常
access-list 101 deny ip any any
除以上语句规定外的所有数据包都被被禁止(丢弃)。
interface FastEthernet0/0
进入接口配置模式。
ip access-group 101 out
定义访问控制组命令,将定义好的101号访问控制列表应用到路由器Router1的以太网接口FastEthernet0/0,对输出的数据包进行过滤。
允许源自210.31.255.0/24网段的、以TCP协议方式访问服务器210.31.224.11上运行的Telnet服务。
access-list 101 permit tcp 210.31.226.00.0.0.255 host 210.31.224.11 eq WWW
或:access-list 101 permit tcp 210.31.255.00.0.0.255 host 210.31.224.11 eq 80
8、在Router0的全局配置模式下输入访问控制列表命令:access-list 1 deny any,禁止所有其他主机。
9、在Router0的全局配置模式下输入命令:int f0/0,进入接口配置模式下。
10、在Router0的接口配置模式下输入访问控制组命令:ip access-group1 in,设置在接口FastEthernet0/0的入站方向按1号访问控制列表对数据包进行过滤。
标准访问控制列表配置
标准访问控制列表配置当网络管理员想要阻止某一网络的所有通信流量时,或者允许来自某一特定网络的所有通信流量时,或者想要拒绝某一协议簇的所有通信流量时,可以使用标准访问控制列表实现这一目标。
标准ACL检查可以过滤被路由的数据包的源地址、从而允许或拒绝基于网络、子网或主机IP地址的某一协议簇通过路由器出口。
一、实验内容1、在路由器的 E 0/0 口添加“ACL 访问控制列表6”并对转出(从路由器端口出来转向交换机或主机)的数据包进行过滤,实现功能:禁止将 HostC、HostD 的数据包通过路由器 E 0/0 口转发到 HostA、HostB 。
其结果是:(对于 TCP 数据包来说,访问是双向的,只要 A 不能访问 B ,则 B 也将不能访问 A)●HostA和HostB之间可以通信,但无法访问HostC、HostD。
●HostC和HostD之间可以通信,但无法访问 HostA、HostB。
2、在路由器的 E 0/1 口添加“ACL 访问控制列表10”并对转出(从路由器端口出来转向交换机或主机)的数据包进行过滤,实现功能:禁止 HostA 、HostC 访问 Server E 服务器。
由于标准ACL访问控制列表只能根据数据包的源地址来过滤通信流量,因此,应该将ACL访问控制列表放置离目标地址最近的地方。
二、实验目的1、掌握标准访问控制列表的原理2、掌握标准访问控制列表的配置三、网络拓朴五、实验过程(需要将相关命令写入实验报告)1、根据上述图示进行交换机、路由器、主机的连接2、设置主机的IP地址、子网掩码和默认网关3、配置路由器接口Router> enableRouter# configure terminalRouter(config)# interface ethernet 0/0Router(config-if)# ip address 192.168.1.1 255.255.255.0Router(config-if)# no shutdownRouter(config-if)# exitRouter(config)# interface ethernet 0/1Router(config-if)# ip address 192.168.3.1 255.255.255.0Router(config-if)# no shutdownRouter(config-if)# exitRouter(config)# interface ethernet 0/2Router(config-if)# ip address 192.168.2.1 255.255.255.0Router(config-if)# no shutdownRouter(config-if)#exit4、配置访问控制列表6并将之添加到 Ethernet 0/0接口的out方向上Router(config)# access-list 6 deny 192.168.2.0 0.0.0.255Router(config)# access-list 6 permit anyRouter(config)# interface ethernet 0/0Router(config-if)# ip access-group 6 outRouter(config-if)# exit5、配置访问控制列表10并将之添加到 Ethernet 0/1接口的out方向上Router(config)# access-list 10 deny host 192.168.1.2Router(config)# access-list 10 deny host 192.168.2.2Router(config)# access-list 10 permit anyRouter(config)# interface ethernet 0/1Router(config-if)# ip access-group 10 outRouter(config-if)# exit6、查看设置的访问控制列表信息Router# show access-lists7、查看e 0/0 接口上设置的访问控制列表信息Router# show ip interface e 0/08、查看e 0/1 接口上设置的访问控制列表信息Router# show ip interface e 0/1。
访问控制列表(ACL)总结配置与应用
三、 命名访问控制列表
命名访问控制列表允许在标准和扩展访问控制列表中使用名称代替表号。 1、 命名访问控制列表的配置 Router(config)#ip access-list {standard | extended} access-list-name
扩展 ACL 配置实例
如图:配置允许主机 PC 访问 WEB 服务的 WWW 服务,而禁止主机 PC 访问 WEB 的其他 服务。
1、 分析哪个接口应用标准 ACL
应用在入站还是出站接口。 与标准 ACL 一样,应该尽量把 ACl 应用到入站方向
应用在哪台路由器上。 由于扩展 ACL 可以根据源 IP 地址。目的 IP 地址、指定协议、端口等过滤数据包,
3、 将 ACL 应用于接口
创建 ACL 后,只有将 ACL 应用于接口,ACL 才会生效。 Router(config)#ip access-group access-list-number {in | out }
参数 in|out 用来指示该 ACL 是应用到入站接口(in),还是初战接口(out)。 在接口上取消 ACL 的应用 Router(config)#no ip access-group acess-list-number (in | out)
access-llist-number:访问控制列表表号,对于扩展 ACL 来书是 100-199; permit | deny:如果满足条件,则允许|拒绝该流量; protocol:用于指定协议类型,如 IP、TCP、UDP、ICMP 等; source、destination:源和目的,分别用来表示源地址和目的地址; source-wildcard、destination-wildcard:反码。源地址和目标地址的反码; operator operan:lt(小于)、gt(大于)、eq(等于)、neq(不等于)和一个 端口。
第八讲 访问控制列表
➢使用最多的是希望控制的IP地址和通配符掩码
➢IP地址可以是子网、一组地址或单一节点地址
➢路由器使用通配符掩码来决定检查地址的哪些
位
IP地址 通配符掩码
Lab-A(config)#access-list 1 deny 192.5.5.10 0.0.0.0
第16页
通配符掩码
➢通配符掩码指定了路由器在匹配地址时检查哪些 位忽略哪些位
– 掩码为255.255.255.192的192.5.5.64子网的控制第IP21页地址
通配符掩码练习
– 掩码为255.255.128.0的172.16.128.0子网的控制IP 地址和通配符掩码?
– 答案: 172.16.128.0 0.0.127.255 – 掩码为255.255.252.0的172.16.16.0子网的控制IP地
第27页
host命令
– 众多情况下,网络管理员需要在ACL处 理单独节点的情况,可以使用两种命令:
– Lab-A(config)#access-list 1 permit 192.5.5.10 0.0.0.0
将最严格的语句放在列表顶部, 最不严格的语句 放在列表底部 • 如果ACL中没有找到匹配项, 则执行隐性拒绝语 句 • 每个接口的每个方向只能应用一个IP ACL。
第11页
ACL分类
• 标准访问控制列表: 只对数据包中源地址 进行检查。
• 扩展访问控制列表: 即检查源地址,也检 查目标地址,以及数据包的上层协议。
– 为了控制网络中一部分节点往往需要在二 进制方式下进行计算
– 例如:学生使用192.5.5.1到192.5.5.127地址 范围,教师使用192.5.5.128到192.5.5.254地 址范围。这些地址处在相同的网络中 192.5.5.0/24
标准访问控制列表
No
Deny 匹配最后一条规则
Permit
通过
No
Default Deny
Default Permit
检查默认规则设定
数据包出站ACL的概念ACL的分类 标准ACL的配置
过渡页
Transition Page
标准访问控制列表的配置
• 创建标准ACL • 在接口上应用访问列表 • 标准IP ACL应用
18
创建标准ACL
ACL的概念 ACL的分类 标标准准AACCLL的的配配置置
• 创建标准ACL • 全局视图
Router(config)#access-list access-list-number deny/permit remark source-address [source-wildcard] [log]
• 通过分析IP数据包包头信息,进行判断(这里IP所承载的 上层协议为TCP)
IP报头
TCP报头
数据
源地址 目的地址
源端口 目的端口
访问控制列表利用这4个元素 定义的规则
基于ACL的包过滤技术
ACL的概念 ACL的分类 标准ACL的配置
• 对进出的数据包逐个过滤,丢弃或允许通过 • ACL应用于接口上,每个接口的出入双向分别过滤 • 仅当数据包经过一个接口时,才能被此接口的此方向的ACL过滤
主机A
人力资源网络
使用ACL阻止某指定网络访问另一指定网络
主机B 研发网络
访问控制列表工作原理2-1
标准访问控制列表的配置
对于TCP,可以使用以下句法:
deny tcp source source-mask [operator port] destination destination-
mask [operator port ] [established] [precedence precedence] [tos tos] [log]
4. CR-V35FC 一条
5. 网线
两条
4、 实验拓扑
5、 实验要求
ROUTER-A
S1/1 (DCE) 192.168.1.1/24
F0/0
192.168.0.1/24
PC-A
IP 192.168.0.2/24
网关 192.168.0.1
Байду номын сангаас
ROUTER-B
S1/0 (DTE) 192.168.1.2/24
VRF ID: 0
S 192.168.0.0/24 C 192.168.1.0/24 C 192.168.2.0/24
[1,0] via 192.168.1.1 is directly connected, Serial1/0 is directly connected, FastEthernet0/0
制数。
使用关键字any作为0.0.0.0 0.0.0.0的目标和目
标掩码的缩写。
destination- 目标地址网络掩码。使用关键字any作为
mask
0.0.0.0 0.0.0.0的目标地址和目标地址掩码缩
写。
precedence (可选)包可以由优先级过滤,用0到7的数字
precedence 指定。
Router-B#sh ip route Codes: C - connected, S - static, R - RIP, B - BGP, BC - BGP connected
新版第26讲实验12-标准访问控制列表(-A-C-L)课件.ppt
Outgoing Packet
S0/0
精选
18
ACL分类
扩展ACL
– 检查源和目的地址
– 通常允许或拒绝特定的协议 为了更加精确的数据流过滤,需要扩展ACL。扩展
ACL检查源地址和目标地址,以及TCP或UDP端口号。 还可以指定扩展ACL针对特定的协议的进行操作。 扩展ACL使用的数字范围是:100-199。
并写出现的问题的解决的方案
精选
6
教学目标
Access Control List 访问列表(ACL)的作用 访问列表的分类 标准访问列表的应用及配置 扩展访问列表的应用及配置
应用ACL控制和管理通信流量
精选
7
访问列表的概念
访问列表的定义
是一系列运用网络地址或者上层协议上的允许或拒 绝指令的集合
这些指令将运用到网络地址或者上层协议上
这些指令告诉路由器接受哪些数据报而拒绝哪些数 据报。
ACL使得用户能够管理数据流,检测特定的数据报。
接受或者拒绝根据一定的规则进行,如源地址,目 标地址,端口号等。
路由器将根据ACL中指定的条件,对经过路由器端 口的数据报进行检查。
ACL可以基于所有的Routed Protocols,如IP, IPX,对经过路由器的数据报进行过滤。
如果有,根据ACL中的条件指令,检查这个数据报。
如果数据报是被允许的,就查询路由表,决定数据 报的目标端口。
路由器检查目标端口是否存在ACL控制流出的 数据报
不存在,这个数据报就直接发送到目标端口。
如果存在,就再根据ACL进行取舍。
精选
15
ACL的工作流程
精选
16
ACL条件顺序
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
Router(config-if)#
ip access-group access-list-number { in | out }
– – – –
在端口上应用访问列表 指明是进方向还是出方向 缺省 = 出方向 “no ip access-group access-list-number” 命令在端口上删除访问列表
访问列表的其它应用
优先级判断
Queue List
基于数据包检测的特殊数据通讯应用
访问列表的其它应用
优先级判断
Queue List
按需拨号
基于数据包检测的特殊数据通讯应用
访问列表的其它应用
优先级判断
Queue List
按需拨号
路由表过滤 Routing Table
基于数据包检测的特殊数据通讯应用
access-list 1 deny 172.16.4.13 0.0.0.0
拒绝一个特殊的主机
标准访问列表举例 2
172.16.3.0
Non172.16.0.0 S0 E0 E1 172.16.4.0 172.16.4.13
access-list 1 deny 172.16.4.13 0.0.0.0 access-list 1 permit 0.0.0.0 255.255.255.255 (implicit deny all) (access-list 1 deny 0.0.0.0 255.255.255.255)
例3:拒绝一个特定子网的通信流量 设计一个ACL,拒绝来自子网172.16.4.0的数据通过f0/0接 口转出,允许来自网络211.81.192.0的数据从f0/0接口 转出。禁止其他数据从该接口转出。 Router(config)# access-list 1 deny 172.16.4.0 0.0.0.255 Router(config)# access-list 1 permit 211.81.192.0 0.0.0.255 Router(config)# access-list 1 deny 0.0.0.0 255.255.255.255 =any Router(config)#interface Fastethernet 0/0 Router(config-if)#ip access-group 1 out
访问控制列表
广西交通职业技术学院 2010.9
访问控制列表概述
网络管理员经常面临必须设法拒绝那些不希望的访问连接, 同时又要允许那些正常的访问连接的问题。 访问控制列表(Access control list,缩写ACL,以下简写) 通过在路由器接口处控制路由数据包是被转发还是被阻塞 来过滤网络通信流量。路由器根据ACL中指定的条件来检 测通过路由器的每个数据包,从而决定是转发还是丢弃该 数据包。 ACL的定义是基于所有协议的,如IP、IPX等,换言之,如 果想控制某种协议的通信数据流,那么必须要对该接口处 的这种协议定义单独的ACL。例如,路由器接口配置成3种 协议,那么至少要定义3个访问控制列表(ACL)。IP ACL 只过滤IP报文;同样,IPX ACL只过滤IPX报文。
是有名字的访问列表吗?
IP标准
199
13001999
是
Extended IP(扩展)
100199
是
20002699
AplleTalk IPX标准 600699 800899 是
Extended IPX(扩展)
IPX service advertising protocol
900999
10001099
Source and Destination Protocol Permit?
Outgoing Packet
S0
• 标准 – 检查源地址
– 通常允许、拒绝的是完整的协议
• 扩展 – 检查源地址和目的地址
– 通常允许、拒绝的是某个特定的协议
什么是访问列表
E0
Incoming Packet
Access List PFra bibliotekocesses
标准ACl参数
参数 Access-list-number Deny Permit Source-address 参数说明 访问控制列表表号,用来指出入口属于那一个访问控制列表(对于标准 ACL来说,是从1到99或从1300到1999的一个十进制数字) 如果满足测试条件,则拒绝从该入口来的通信流量 如果满足测试条件,则允许该入口来的通信流量 数据包的源地址,可以是主机IP地址,也可以是网络地址。可以有两种 不同的方式来指定数据包的源地址:采用十进制的32比特位数字表示, 每8位为一组,中间用点号“.”隔开。如166.123.23.221■使用关键字any 作为一个源地址和源地址通配符(如0.0.0.0 255.255.255.255)的缩写字 (可选项)用来跟源地址一起决定哪些位需要进行匹配操作。有两种方 式来指定source-wildcard: (可选项)用来跟源地址一起决定哪些位需要进行匹配操作。有两种方 式来指定source-wildcard:采用十进制的32比特位数字表示,每8位为一 组,中间用点号“.”隔开。如果某位为1,表明这一们不需要进行匹配操 作;如果某个位为0则表明这一位需要严格地匹配。使用关键字any作为 一个源地址和源地址通配符(如0.0.0.0 255.255.255.255)的缩写字 log (可选项)生成相应的日志信息,用来记录经过ACL入口的数据包的有 关情况(日志信息的等级由命令Logging console来控制)。
标准IP访问列表的配置
Router(config)#
access-list access-list-number {permit|deny} source [mask]
• 为访问列表设置参数 • IP 标准访问列表编号 1 到 99
• 缺省的通配符掩码 = 0.0.0.0
• “no access-list access-list-number” 命令删除访问列表
标准IP ACL的定义
(2)应用到接口 Access-group命令可以把某个现存的访问控制列表域某个 接口联系起来。在每个端口、每个协议、每个方向上只能 有一个访问控制列表。Access-group命令的语法格式如下: Router(config-if)# ip Access-group access-list-number {in|out} 其中:access-list-number:访问控制列表表号,用来指出 链接到这一接口的ACL表号。in|out:用来指示该ACL是被 应用到流入接口(in),还是流出接口(out)。如果In和 Out都没有指定,那么缺省地被认为为Out。 删除:首先输入“no access-group”命令,并带有他的全部 设定参数,然后再输入“no access-list”命令,并带有 access-list-number。
标准访问列表举例 1
172.16.3.0
Non172.16.0.0 S0 E0 E1 172.16.4.0 172.16.4.13
access-list 1 permit 172.16.0.0 0.0.255.255 (implicit deny all - not visible in the list) (access-list 1 deny 0.0.0.0 255.255.255.255)
什么是访问列表--标准
E0
Incoming Packet
Access List Processes
Source Permit?
Outgoing Packet
S0
• 标准 – 检查源地址
– 通常允许、拒绝的是完整的协议
什么是访问列表--扩展
E0
Incoming Packet
Access List Processes
Source and Destination Protocol Permit?
Outgoing Packet
S0
• 标准 – 检查源地址
– 通常允许、拒绝的是完整的协议
• 扩展 – 检查源地址和目的地址;检查源端口和目的端口
– 通常允许、拒绝的是某个特定的协议
• 进方向和出方向
协议
ACL表号的范围
标准IP ACL的定义
(1)定义 使用全局配置命令Access-list来定义一个标准的访问控 制列表,并给它分配一个数字表号。Access-list在全局 配置命令模式下运行。 Router(config)#access-list access-list-number {perrmit|deny} source-address [source-wildcard] [log] access-list命令参数的详细说明: 在全局模式下采用no access-list access-list-number 可以 删除访问控制列表。
例2:拒绝一个特定主机的通信流量 设计一个ACL,拒绝主机172.16.4.110访问网络 172.16.3.0,但允许所有其他的数据从快速以太 网口f0/0接口转发出去。 Router(config)# access-list 1 deny host 172.16.4.110 Router(config)# access-list 1 permit 0.0.0.0 255.255.255.255 =any Router(config)#interface Fastethernet 0/0 Router(config-if)#ip access-group 1 out
Source-wildcard
标准IP ACL应用
如图所示为一个路由器连接两个子网所组成的网络实例。
Non-172.16.0.0 172.16.3.0
172.16.4.0
S0/0 172.16.4.110 F0/0 F0/1
标准ACL应用