标准ACL
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
17
4. 配置标准ACL
①只允许主机192.168.1.3来的数据包到达网络200.2.2.0
❖RouterB(config)#access-list 1 permit 192.168.1.3 0.0.0.0
❖RouterB(config)# int gi0/0
❖RouterB(config-if)# ip access-group 1 out
192.168.1.1/24
192.168.2.0/24
192.168.3.0/24
2
为什么使用访问控制列表?
172.16.0.0
Token Ring
Internet
FDDI
管理IP网络流量
172.17.0.0
当数据包经过Router时,对数据进பைடு நூலகம்筛选
❖ 允许、拒绝数据包通过路由器
❖ 允许、拒绝Telnet会话的建立
13
五、验证访问控制列表
router#show access-lists {access-list number}
router#show access-lists Standard IP access list 1
permit 10.2.2.1 permit 10.3.3.1 permit 10.4.4.1 permit 10.5.5.1 Extended IP access list 101 permit tcp host 10.22.22.1 any eq telnet permit tcp host 10.33.33.1 any eq ftp permit tcp host 10.44.44.1 any eq ftp-data
14
实验目的
1. 理解访问控制列表的作用及工作过程 2. 掌握标准访问控制列表的配置 3. 初步学会设计访问控制列表规则
15
实验拓扑
16
实验步骤
1. 配置各主机IP地址与默认网关(注意不同网 段主机IP)
2. 启用路由器各接口并配置局域网接口与广域 网接口地址(注意区分DTE与DCE)
3. 配置RIP路由协议(命令略),使得全网连通
router# show ip interface f0/0
Ethernet0 is up, line protocol is up Internet address is 10.1.1.11/24 Broadcast address is 255.255.255.255 Address determined by setup command MTU is 1500 bytes Helper address is not set Directed broadcast forwarding is disabled
Y Match Y Last
Permit
Interface(s)
Test
?
N Implicit
Deny
Deny
如果没有匹配项, 则拒绝
6
出端口方向上的访问列表
Inbound Interface Packets
Choose Interface
Y
Routing Table Entry
?
N
Access N List ?
7
在哪里放置访问控制列表
E0 E0
S0
B
A
To0
Token Ring
S0
C
E0
D E0 E1
注意:
❖ 将标准访问控制列表靠近目的地址 ❖ 将扩展访问控制列表靠近源地址
8
四、标准ACL的配置与应用
Step 1:设置访问列表语句的参数
Router(config)# access-list access-list-number { permit | deny } { test conditions }
Step2:
interface ethernet 1 ip access-group 1 out
Permit 只允许本地网络的访问
interface ethernet 0
ip access-group 1 out
10
配置标准访问控制列表Example 2
172.16.3.0 E0
Non-
172.16.0.0 172.16.4.0
S0 E1
172.16.4.13
Step 1: access-list 1 deny 172.16.4.13 0.0.0.0 access-list 1 permit 0.0.0.0 255.255.255.255// access-list 1 permit any (implicit deny all) (access-list 1 deny 0.0.0.0 255.255.255.255) Step 2:
5
访问列表的测试:允许和拒绝
Packets to Interface(s) in the Access Group
Deny Deny
Deny
Packet Discard Bucket
Match First Test Y ?Y
N
Y
Match Next
Y
Test(s)
?
N
Permit Permit
Destination
19
❖查看ACL配置
RouterB#sh access-list RouterB#sh ip int gi0/0
Outgoing access list is not set Inbound access list is 1
Proxy ARP is enabled Security level is default Split horizon is enabled ICMP redirects are always sent ICMP unreachables are always sent ICMP mask replies are never sent IP fast switching is enabled IP fast switching on the same interface is disabled IP Feature Fast switching turbo vector IP multicast fast switching is enabled IP multicast distributed fast switching is disabled <text ommitted>
Non-
172.16.0.0 172.16.4.0
S0 E1
172.16.4.13
Step 1:
access-list 1 permit 172.16.0.0 0.0.255.255
(implicit deny all - not visible in the list)
(access-list 1 deny 0.0.0.0 255.255.255.255)
❖RouterB(config)#access-list 2 deny 192.168.1.3 0.0.0.0//或者access-list 1 deny host 192.168.1.3
❖RouterB(config)#access-list 2 permit any
❖RouterB(config)# int gi0/0
没有设置访问列表时,所有的数据包都会在网络上传输
3
二、ACL的分类
访问列表类型
编号范围
标准ACL 扩展ACL 命名ACL
1-99 100-199 Name (Cisco IOS 11.2 and later)
标准ACL – 检查IP数据包源IP地址
扩展ACL – 检查源IP地址,目的IP地址,源端口号和目的端口号 – 通常允许、拒绝的是某个特定的协议
用主机192.168.1.3和主机192.168.1.2ping200.2.2.2是否能通?主机 192.168.2.3是否能ping通200.2.2.2?(截图粘贴到实验报告) RouterB#sh access-list(截图) RouterB#show ip int g0/0(截图)
④拒绝网络192.168.1.0来的数据包到达网络200.2.2.0
Step 2: 在端口上应用访问列表
Router(config-if)# { protocol } access-group access-list-number {in | out}
IP 访问列表的标号为 1-99 和 100-199
9
配置标准访问控制列表Example 1
172.16.3.0 E0
4
三、ACL的特点
1. 按照顺序进行匹配,从第一行开始,然后第二行,第三行等; 2. 按照顺序查询匹配,符合条件后就不再继续匹配后面的条目; 3. 每个ACL列表最后都隐含一条拒绝的语句,所以每个ACL至少
包含一条 permit语句; 4. ACL用于过滤通过Router的流量,但不会过滤Router自身产生
用主机192.168.1.3ping200.2.2.2是否能通?主机192.168.1.2和主机192.168.2.3 是否能ping 通200.2.2.2?(截图说明)
RouterB#show access-list(截图) RouterB#show ip int g0/0(截图)
②拒绝从主机192.168.1.3来的数据包到达网络200.2.2.0
interface ethernet 0 ip access-group 1 out
Deny一个特定主机
11
配置标准访问控制列表Example 3
172.16.3.0 E0
Non-
172.16.0.0 172.16.4.0
S0 E1
172.16.4.13
Step 1:
access-list 1 deny 172.16.4.0 0.0.0.255
Y
S0 Packet
Test Access List Statements
Outbound Interfaces
E0 Packet
Y
Permit ?
N
Discard Packet
Packet Discard Bucket
Notify Sender
If no access list statement matches then discard the packet
access-list 1 permit any
(implicit deny all)
(access-list 1 deny 0.0.0.0 255.255.255.255)
Step 2: interface ethernet 0
Deny 一个特定子网
ip access-group 1 out
12
五、验证访问控制列表
访问控制列表(ACL) (Access Control List)
1
一、ACL概述
❖什么是ACL? ❖ACL的本质就是一系列对数据包过滤的条件 (规则)。 ❖例如:
a.192.168.2.0/24内主机能访问192.168.1.1/24 b.192.168.3.0/24内主机不能访问192.168.1.1/24
18
③允许网络192.168.1.0来的数据包到达网络200.2.2.0
RouterB(config)#access-list 3 permit 192.168.1.0 0.0.0.255 RouterB(config)# int f0/0 RouterB(config-if)# ip access-group 3 out
❖RouterB(config-if)# ip access-group 2 out
用主机192.168.1.3ping200.2.2.2是否能通?主机192.168.1.2和主机192.168.2.3是否能ping通 200.2.2.2?(截图粘贴到实验报告)
RouterB#sh access-list(截图) RouterB#show ip int g0/0(截图)
的流量; 5. 除了命名ACL,不能删除ACL中一条规则,否则将会删除整个
ACL; 6. 每接口每方向只能分派一个ACL 7. ACL的应用有进(出)站访问列表
进站访问列表:数据包先经过ACL处理再转发 出站访问列表:数据包先被转发到出口再经过 ACL处理
8. ACL中使用通配符,即使用反子网掩码
请自己设计ACL规则
用主机192.168.1.3和主机192.168.1.2ping200.2.2.2是否能通?主机 192.168.2.3是否能ping通200.2.2.2?(截图粘贴到实验报告) RouterB#sh access-list(截图) ③RouterB#show ip int g0/0(截图)
4. 配置标准ACL
①只允许主机192.168.1.3来的数据包到达网络200.2.2.0
❖RouterB(config)#access-list 1 permit 192.168.1.3 0.0.0.0
❖RouterB(config)# int gi0/0
❖RouterB(config-if)# ip access-group 1 out
192.168.1.1/24
192.168.2.0/24
192.168.3.0/24
2
为什么使用访问控制列表?
172.16.0.0
Token Ring
Internet
FDDI
管理IP网络流量
172.17.0.0
当数据包经过Router时,对数据进பைடு நூலகம்筛选
❖ 允许、拒绝数据包通过路由器
❖ 允许、拒绝Telnet会话的建立
13
五、验证访问控制列表
router#show access-lists {access-list number}
router#show access-lists Standard IP access list 1
permit 10.2.2.1 permit 10.3.3.1 permit 10.4.4.1 permit 10.5.5.1 Extended IP access list 101 permit tcp host 10.22.22.1 any eq telnet permit tcp host 10.33.33.1 any eq ftp permit tcp host 10.44.44.1 any eq ftp-data
14
实验目的
1. 理解访问控制列表的作用及工作过程 2. 掌握标准访问控制列表的配置 3. 初步学会设计访问控制列表规则
15
实验拓扑
16
实验步骤
1. 配置各主机IP地址与默认网关(注意不同网 段主机IP)
2. 启用路由器各接口并配置局域网接口与广域 网接口地址(注意区分DTE与DCE)
3. 配置RIP路由协议(命令略),使得全网连通
router# show ip interface f0/0
Ethernet0 is up, line protocol is up Internet address is 10.1.1.11/24 Broadcast address is 255.255.255.255 Address determined by setup command MTU is 1500 bytes Helper address is not set Directed broadcast forwarding is disabled
Y Match Y Last
Permit
Interface(s)
Test
?
N Implicit
Deny
Deny
如果没有匹配项, 则拒绝
6
出端口方向上的访问列表
Inbound Interface Packets
Choose Interface
Y
Routing Table Entry
?
N
Access N List ?
7
在哪里放置访问控制列表
E0 E0
S0
B
A
To0
Token Ring
S0
C
E0
D E0 E1
注意:
❖ 将标准访问控制列表靠近目的地址 ❖ 将扩展访问控制列表靠近源地址
8
四、标准ACL的配置与应用
Step 1:设置访问列表语句的参数
Router(config)# access-list access-list-number { permit | deny } { test conditions }
Step2:
interface ethernet 1 ip access-group 1 out
Permit 只允许本地网络的访问
interface ethernet 0
ip access-group 1 out
10
配置标准访问控制列表Example 2
172.16.3.0 E0
Non-
172.16.0.0 172.16.4.0
S0 E1
172.16.4.13
Step 1: access-list 1 deny 172.16.4.13 0.0.0.0 access-list 1 permit 0.0.0.0 255.255.255.255// access-list 1 permit any (implicit deny all) (access-list 1 deny 0.0.0.0 255.255.255.255) Step 2:
5
访问列表的测试:允许和拒绝
Packets to Interface(s) in the Access Group
Deny Deny
Deny
Packet Discard Bucket
Match First Test Y ?Y
N
Y
Match Next
Y
Test(s)
?
N
Permit Permit
Destination
19
❖查看ACL配置
RouterB#sh access-list RouterB#sh ip int gi0/0
Outgoing access list is not set Inbound access list is 1
Proxy ARP is enabled Security level is default Split horizon is enabled ICMP redirects are always sent ICMP unreachables are always sent ICMP mask replies are never sent IP fast switching is enabled IP fast switching on the same interface is disabled IP Feature Fast switching turbo vector IP multicast fast switching is enabled IP multicast distributed fast switching is disabled <text ommitted>
Non-
172.16.0.0 172.16.4.0
S0 E1
172.16.4.13
Step 1:
access-list 1 permit 172.16.0.0 0.0.255.255
(implicit deny all - not visible in the list)
(access-list 1 deny 0.0.0.0 255.255.255.255)
❖RouterB(config)#access-list 2 deny 192.168.1.3 0.0.0.0//或者access-list 1 deny host 192.168.1.3
❖RouterB(config)#access-list 2 permit any
❖RouterB(config)# int gi0/0
没有设置访问列表时,所有的数据包都会在网络上传输
3
二、ACL的分类
访问列表类型
编号范围
标准ACL 扩展ACL 命名ACL
1-99 100-199 Name (Cisco IOS 11.2 and later)
标准ACL – 检查IP数据包源IP地址
扩展ACL – 检查源IP地址,目的IP地址,源端口号和目的端口号 – 通常允许、拒绝的是某个特定的协议
用主机192.168.1.3和主机192.168.1.2ping200.2.2.2是否能通?主机 192.168.2.3是否能ping通200.2.2.2?(截图粘贴到实验报告) RouterB#sh access-list(截图) RouterB#show ip int g0/0(截图)
④拒绝网络192.168.1.0来的数据包到达网络200.2.2.0
Step 2: 在端口上应用访问列表
Router(config-if)# { protocol } access-group access-list-number {in | out}
IP 访问列表的标号为 1-99 和 100-199
9
配置标准访问控制列表Example 1
172.16.3.0 E0
4
三、ACL的特点
1. 按照顺序进行匹配,从第一行开始,然后第二行,第三行等; 2. 按照顺序查询匹配,符合条件后就不再继续匹配后面的条目; 3. 每个ACL列表最后都隐含一条拒绝的语句,所以每个ACL至少
包含一条 permit语句; 4. ACL用于过滤通过Router的流量,但不会过滤Router自身产生
用主机192.168.1.3ping200.2.2.2是否能通?主机192.168.1.2和主机192.168.2.3 是否能ping 通200.2.2.2?(截图说明)
RouterB#show access-list(截图) RouterB#show ip int g0/0(截图)
②拒绝从主机192.168.1.3来的数据包到达网络200.2.2.0
interface ethernet 0 ip access-group 1 out
Deny一个特定主机
11
配置标准访问控制列表Example 3
172.16.3.0 E0
Non-
172.16.0.0 172.16.4.0
S0 E1
172.16.4.13
Step 1:
access-list 1 deny 172.16.4.0 0.0.0.255
Y
S0 Packet
Test Access List Statements
Outbound Interfaces
E0 Packet
Y
Permit ?
N
Discard Packet
Packet Discard Bucket
Notify Sender
If no access list statement matches then discard the packet
access-list 1 permit any
(implicit deny all)
(access-list 1 deny 0.0.0.0 255.255.255.255)
Step 2: interface ethernet 0
Deny 一个特定子网
ip access-group 1 out
12
五、验证访问控制列表
访问控制列表(ACL) (Access Control List)
1
一、ACL概述
❖什么是ACL? ❖ACL的本质就是一系列对数据包过滤的条件 (规则)。 ❖例如:
a.192.168.2.0/24内主机能访问192.168.1.1/24 b.192.168.3.0/24内主机不能访问192.168.1.1/24
18
③允许网络192.168.1.0来的数据包到达网络200.2.2.0
RouterB(config)#access-list 3 permit 192.168.1.0 0.0.0.255 RouterB(config)# int f0/0 RouterB(config-if)# ip access-group 3 out
❖RouterB(config-if)# ip access-group 2 out
用主机192.168.1.3ping200.2.2.2是否能通?主机192.168.1.2和主机192.168.2.3是否能ping通 200.2.2.2?(截图粘贴到实验报告)
RouterB#sh access-list(截图) RouterB#show ip int g0/0(截图)
的流量; 5. 除了命名ACL,不能删除ACL中一条规则,否则将会删除整个
ACL; 6. 每接口每方向只能分派一个ACL 7. ACL的应用有进(出)站访问列表
进站访问列表:数据包先经过ACL处理再转发 出站访问列表:数据包先被转发到出口再经过 ACL处理
8. ACL中使用通配符,即使用反子网掩码
请自己设计ACL规则
用主机192.168.1.3和主机192.168.1.2ping200.2.2.2是否能通?主机 192.168.2.3是否能ping通200.2.2.2?(截图粘贴到实验报告) RouterB#sh access-list(截图) ③RouterB#show ip int g0/0(截图)