收藏
下载资源 加入VIP免费专享

原版CCNA教材14章IP访问控制列表ppt课件.ppt

上传人:本田雅阁 文档编号:3264931 上传时间:2019-08-07 格式:PPT 页数:62 大小:1.09MB
返回 下载 相关 举报
原版CCNA教材14章IP访问控制列表ppt课件.ppt_第1页
第1页 / 共62页
原版CCNA教材14章IP访问控制列表ppt课件.ppt_第2页
第2页 / 共62页
原版CCNA教材14章IP访问控制列表ppt课件.ppt_第3页
第3页 / 共62页
原版CCNA教材14章IP访问控制列表ppt课件.ppt_第4页
第4页 / 共62页
原版CCNA教材14章IP访问控制列表ppt课件.ppt_第5页
第5页 / 共62页
点击查看更多>>
资源描述

《原版CCNA教材14章IP访问控制列表ppt课件.ppt》由会员分享,可在线阅读,更多相关《原版CCNA教材14章IP访问控制列表ppt课件.ppt(62页珍藏版)》请在三一文库上搜索。

1、第十四章 IP访问控制列表,ACL概述,1、什么是ACL(Access Contron List) 使用包过滤技术,读取第三层或第四层包头中的信息,如源地址、目的地址、源端口、目的端口及协议等,根据预先定义好的规则对包进行过滤,从而达到访问控制目的。 2、ACL功能 (1)检查和过滤 数据包 (2)提供对通讯流量的控制手段 (3)限制或减少路由更新的内容 (4)按照优先级或用户队列处理数据包 (5)定义发起DDR呼叫的感兴趣流量,ACL概述(续),3、设计ACL的原则 (1)自上而下的处理方式 (2)添加表项 (3)访问控制列表放置 (4)语句的位置 (5)其他注意事项,172.16.0.0,

2、172.17.0.0,Internet,管理网络中逐步增长的 IP 数据 当数据通过路由器时进行过滤,为什么要使用访问列表,访问列表的应用,允许、拒绝数据包通过路由器 允许、拒绝Telnet会话的建立 没有设置访问列表时,所有的数据包都会在网络上传输,虚拟会话 (IP),端口上的数据传输,Queue List,优先级判断,访问列表的其它应用,基于数据包检测的特殊数据通讯应用,Queue List,优先级判断,访问列表的其它应用,按需拨号,基于数据包检测的特殊数据通讯应用,访问列表的其它应用,路由表过滤,Routing Table,Queue List,优先级判断,按需拨号,基于数据包检测的特殊

3、数据通讯应用,标准 检查源地址 通常允许、拒绝的是完整的协议,Outgoing Packet,E0,S0,Incoming Packet,Access List Processes,Permit?,什么是访问列表-标准,标准 检查源地址 通常允许、拒绝的是完整的协议 扩展 检查源地址和目的地址,源目端口和协议等 通常允许、拒绝的是某个特定的协议,Outgoing Packet,E0,S0,Incoming Packet,Access List Processes,Permit?,Protocol,什么是访问列表-扩展,标准 检查源地址 通常允许、拒绝的是完整的协议 扩展 检查源地址和目的地址

4、通常允许、拒绝的是某个特定的协议 进方向和出方向,Outgoing Packet,E0,S0,Incoming Packet,Access List Processes,Permit?,Protocol,什么是访问列表,Inbound Interface Packets,N,Y,Packet Discard Bucket,Choose Interface,N,Access List ?,Routing Table Entry ?,Y,Outbound Interfaces,Packet,S0,出端口方向上的访问列表,Outbound Interfaces,Packet,N,Y,Packet D

5、iscard Bucket,Choose Interface,Routing Table Entry ?,N,Packet,Test Access List Statements,Permit ?,Y,出端口方向上的访问列表,Access List ?,Y,S0,E0,Inbound Interface Packets,Notify Sender,出端口方向上的访问列表,If no access list statement matches then discard the packet,N,Y,Packet Discard Bucket,Choose Interface,Routing Ta

6、ble Entry ?,N,Y,Test Access List Statements,Permit ?,Y,Access List ?,Discard Packet,N,Outbound Interfaces,Packet,Packet,S0,E0,Inbound Interface Packets,访问列表的测试:允许和拒绝,Packets to interfaces in the access group,Packet Discard Bucket,Y,Interface(s),Destination,Deny,Deny,Y,Match First Test ?,Permit,访问列表的

7、测试:允许和拒绝,Packets to Interface(s) in the Access Group,Packet Discard Bucket,Y,Interface(s),Destination,Deny,Deny,Y,Match First Test ?,Permit,N,Deny,Permit,Match Next Test(s) ?,Y,Y,访问列表的测试:允许和拒绝,Packets to Interface(s) in the Access Group,Packet Discard Bucket,Y,Interface(s),Destination,Deny,Deny,Y,Ma

8、tch First Test ?,Permit,N,Deny,Permit,Match Next Test(s) ?,Deny,Match Last Test ?,Y,Y,N,Y,Y,Permit,访问列表的测试:允许和拒绝,Packets to Interface(s) in the Access Group,Packet Discard Bucket,Y,Interface(s),Destination,Deny,Y,Match First Test ?,Permit,N,Deny,Permit,Match Next Test(s) ?,Deny,Match Last Test ?,Y,Y

9、,N,Y,Y,Permit,Implicit Deny,If no match deny all,Deny,N,访问列表配置指南,访问列表的编号指明了使用何种协议的访问列表 每个端口、每个方向、每条协议只能对应于一条访问列表 访问列表的内容决定了数据的控制顺序 具有严格限制条件的语句应放在访问列表所有语句的最上面 在访问列表的最后有一条隐含声明:deny any每一条正确的访问列表都至少应该有一条允许语句 先创建访问列表,然后应用到端口上 访问列表不能过滤由路由器自己产生的数据,访问列表设置命令,Step 1: 设置访问列表测试语句的参数,access-list access-list-num

10、ber permit | deny test conditions ,Router(config)#,Router(config)#access-list 1 permit 192.168.1.0 0.0.0.255 Router(config)#access-list 99 deny 10.1.1.0 0.0.0.255 Router(config)#access-list 2 permit any R1(config)#access-list 22 permit host 1.1.1.1 any=0.0.0.0 255.255.255.255 host 1.1.1.1=1.1.1.1 0.

11、0.0.0,Step 1:设置访问列表测试语句的参数,Router(config)#,Step 2: 在端口上应用访问列表, protocol access-group access-list-number in | out,Router(config-if)#,访问列表设置命令,IP 访问列表的标号为 1-99 和 100-199 如果in 和out 都没有指定,那么默认为out,access-list access-list-number permit | deny test conditions ,Router(config-if)ip access-group 1 in Router(

12、config-if)ip access-group 2 out,如何识别访问列表号,编号范围,访问列表类型,IP,1-99,Standard,标准访问列表 (1 to 99) 检查 IP 数据包的源地址,编号范围,访问列表类型,如何识别访问列表号,IP,1-99 100-199,Standard Extended,标准访问列表 (1 to 99) 检查 IP 数据包的源地址 扩展访问列表 (100 to 199) 检查源地址和目的地址、具体的 TCP/IP 协议和目的端口,编号范围,1-99 1300-1999 Name (Cisco IOS 11.2 and later),100-199 2

13、000-2699 Name (Cisco IOS 11.2 and later),Standard Named,访问列表类型,如何识别访问列表号,标准访问列表 检查 IP 数据包的源地址 扩展访问列表 检查源地址和目的地址、具体的 TCP/IP 协议和目的端口 其它访问列表编号范围表示不同协议的访问列表,Extend Named, 1999, Cisco Systems, Inc.,,10-25,配置标准的 IP 访问列表,标准IP访问列表的配置,access-list access-list-number permit|deny source mask,Router(config)#,为访问

14、列表设置参数 IP 标准访问列表编号 1 到 99 缺省的通配符掩码 = 0.0.0.0 “no access-list access-list-number” 命令删除访问列表 Show access-list,例如 172.30.16.29 0.0.0.0 检查所有的地址位 可以简写为 host (host 172.30.16.29),Test conditions: Check all the address bits (match all),172.30.16.29,0.0.0.0,(checks all bits),An IP host address, for example:,W

15、ildcard mask:,通配符掩码指明特定的主机,所有主机: 0.0.0.0 255.255.255.255 可以用 any 简写,Test conditions: Ignore all the address bits (match any),0.0.0.0,255.255.255.255,(ignore all),Any IP address,Wildcard mask:,通配符掩码指明所有主机,Check for IP subnets 172.30.16.0/24 to 172.30.31.0/24,Network .host 172.30.16.0,Wildcard mask: 0

16、 0 0 0 1 1 1 1 | 0 0 0 1 0 0 0 0 = 16 0 0 0 1 0 0 0 1 = 17 0 0 0 1 0 0 1 0 = 18 : : 0 0 0 1 1 1 1 1 = 31,Address and wildcard mask: 172.30.16.0 0.0.15.255,通配符掩码和IP子网的 对应,access-list access-list-number permit|deny source mask,Router(config)#,在端口上应用访问列表 指明是进方向还是出方向 缺省 = 出方向 “no ip access-group access-

17、list-number” 命令在端口上删除访问列表,Router(config-if)#,ip access-group access-list-number in | out ,为访问列表设置参数 IP 标准访问列表编号 1 到 99 缺省的通配符掩码 = 0.0.0.0 “no access-list access-list-number” 命令删除访问列表,标准IP访问列表的配置,172.16.3.0,172.16.4.0,172.16.4.13,E0,S0,E1,Non- 172.16.0.0,标准访问列表举例 1,access-list 1 permit 172.16.0.0 0.0

18、.255.255 (implicit deny all - not visible in the list) (access-list 1 deny 0.0.0.0 255.255.255.255),Permit my network only,access-list 1 permit 172.16.0.0 0.0.255.255 (implicit deny all - not visible in the list) (access-list 1 deny 0.0.0.0 255.255.255.255) interface ethernet 0 ip access-group 1 out

19、 interface ethernet 1 ip access-group 1 out,172.16.3.0,172.16.4.0,172.16.4.13,E0,S0,E1,Non- 172.16.0.0,标准访问列表举例 1,Int s0 Ip access-group 1 in,Deny a specific host,标准访问列表举例 2,172.16.3.0,172.16.4.0,172.16.4.13,E0,S0,E1,Non- 172.16.0.0,access-list 1 deny 172.16.4.13 0.0.0.0,标准访问列表举例 2,172.16.3.0,172.16

20、.4.0,172.16.4.13,E0,S0,E1,Non- 172.16.0.0,Deny a specific host,access-list 1 deny 172.16.4.13 0.0.0.0 access-list 1 permit 0.0.0.0 255.255.255.255 (implicit deny all) (access-list 1 deny 0.0.0.0 255.255.255.255),access-list 1 deny 172.16.4.13 0.0.0.0 access-list 1 permit 0.0.0.0 255.255.255.255 (imp

21、licit deny all) (access-list 1 deny 0.0.0.0 255.255.255.255) interface ethernet 0 ip access-group 1 out,标准访问列表举例 2,172.16.3.0,172.16.4.0,172.16.4.13,E0,S0,E1,Non- 172.16.0.0,Deny a specific host,Deny a specific subnet,标准访问列表举例 3,172.16.3.0,172.16.4.0,172.16.4.13,E0,S0,E1,Non- 172.16.0.0,access-list

22、1 deny 172.16.4.0 0.0.0.255 access-list 1 permit any (implicit deny all) (access-list 1 deny 0.0.0.0 255.255.255.255),access-list 1 deny 172.16.4.0 0.0.0.255 access-list 1 permit any (implicit deny all) (access-list 1 deny 0.0.0.0 255.255.255.255) interface ethernet 0 ip access-group 1 out,标准访问列表举例

23、3,172.16.3.0,172.16.4.0,172.16.4.13,E0,S0,E1,Non- 172.16.0.0,Deny a specific subnet, 1999, Cisco Systems, Inc.,,10-38,用访问列表控制vty访问,在路由器上过滤vty,五个虚拟通道 (0 到 4) 路由器的vty端口可以过滤数据 在路由器上执行vty访问的控制,0,1,2,3,4,Virtual ports (vty 0 through 4),Physical port e0 (Telnet),Console port (direct connect),console,e0,如何

24、控制vty访问,0,1,2,3,4,Virtual ports (vty 0 through 4),Physical port (e0) (Telnet),使用标准访问列表语句 用 access-class 命令应用访问列表 在所有vty通道上设置相同的限制条件,Router#,e0,虚拟通道的配置,指明vty通道的范围,在访问列表里指明方向,access-class access-list-number in|out,line vty#vty# | vty-range,Router(config)#,Router(config-line)#,虚拟通道访问举例,只允许网络192.89.55.0

25、 内的主机连接路由器的 vty 通道,access-list 12 permit 192.89.55.0 0.0.0.255 ! line vty 0 4 access-class 12 in,Controlling Inbound Access, 1999, Cisco Systems, Inc.,,10-43,扩展 IP 访问列表的配置,标准访问列表和扩展访问列表比较,标准,扩展,基于源地址,基于源地址和目标地址,允许和拒绝完整的 TCP/IP协议,指定TCP/IP的特定协议 和端口号,编号范围 100-199和2000-2699,编号范围 1-99和1300-1999,扩展 IP 访问列

26、表的配置,Router(config)#,设置访问列表的参数,access-list access-list-number permit | deny protocol source source-wildcard operator port destination destination-wildcard operator port established log,Router(config-if)# ip access-group access-list-number in | out ,扩展 IP 访问列表的配置,在端口上应用访问列表,Router(config)#,设置访问列表的参数,

27、access-list access-list-number permit | deny protocol source source-wildcard operator port destination destination-wildcard operator port established log,拒绝子网172.16.4.0 的数据使用路由器e0口ftp到子网172.16.3.0 允许其它数据,172.16.3.0,172.16.4.0,172.16.4.13,E0,S0,E1,Non- 172.16.0.0,扩展访问列表应用举例 1,access-list 101 deny tcp

28、 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 21 access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 20,拒绝子网172.16.4.0 的数据使用路由器e0口ftp到子网172.16.3.0 允许其它数据,扩展访问列表应用举例 1,172.16.3.0,172.16.4.0,172.16.4.13,E0,S0,E1,Non- 172.16.0.0,access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0

29、 0.0.0.255 eq 21 access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 20 access-list 101 permit ip any any (implicit deny all) (access-list 101 deny ip 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255),access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 21 access-li

30、st 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 20 access-list 101 permit ip any any (implicit deny all) (access-list 101 deny ip 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255) interface ethernet 0 ip access-group 101 out,拒绝子网172.16.4.0 的数据使用路由器e0口ftp到子网172.16.3.0 允许其它数据,扩展访问列表应用举例 1,

31、172.16.3.0,172.16.4.0,172.16.4.13,E0,S0,E1,Non- 172.16.0.0,拒绝子网 172.16.4.0 内的主机使用路由器的 E0 端口建立Telnet会话 允许其它数据,扩展访问列表应用举例 2,172.16.3.0,172.16.4.0,172.16.4.13,E0,S0,E1,Non- 172.16.0.0,access-list 101 deny tcp 172.16.4.0 0.0.0.255 any eq 23,拒绝子网 172.16.4.0 内的主机使用路由器的 E0 端口建立Telnet会话 允许其它数据,扩展访问列表应用举例 2,

32、172.16.3.0,172.16.4.0,172.16.4.13,E0,S0,E1,Non- 172.16.0.0,access-list 101 deny tcp 172.16.4.0 0.0.0.255 any eq 23 access-list 101 permit ip any any (implicit deny all),access-list 101 deny tcp 172.16.4.0 0.0.0.255 any eq 23 access-list 101 permit ip any any (implicit deny all) interface ethernet 0

33、ip access-group 101 out,拒绝子网 172.16.4.0 内的主机使用路由器的 E0 端口建立Telnet会话 允许其它数据,扩展访问列表应用举例 2,172.16.3.0,172.16.4.0,172.16.4.13,E0,S0,E1,Non- 172.16.0.0,wg_ro_a#show ip int e0 Ethernet0 is up, line protocol is up Internet address is 10.1.1.11/24 Broadcast address is 255.255.255.255 Address determined by se

34、tup command MTU is 1500 bytes Helper address is not set Directed broadcast forwarding is disabled Outgoing access list is not set Inbound access list is 1 Proxy ARP is enabled Security level is default Split horizon is enabled ICMP redirects are always sent ICMP unreachables are always sent ICMP mas

35、k replies are never sent IP fast switching is enabled IP fast switching on the same interface is disabled IP Feature Fast switching turbo vector IP multicast fast switching is enabled IP multicast distributed fast switching is disabled ,查看访问列表,查看访问列表的语句,wg_ro_a#show access-lists Standard IP access l

36、ist 1 permit 10.2.2.1 permit 10.3.3.1 permit 10.4.4.1 permit 10.5.5.1 Extended IP access list 101 permit tcp host 10.22.22.1 any eq telnet permit tcp host 10.33.33.1 any eq ftp permit tcp host 10.44.44.1 any eq ftp-data,wg_ro_a#show access-lists access-list number,配置命名ACL,命名ACL:使用一个字母数字组合的字符串代替数字(1-

37、99)表示ACL表号 Router(config)#ip access-list standard | extendedname Router(config-std- | ext- nacl)#deny sourcesource-wildcard | any Router(config)-std- | ext- nacl)#permit sourcesource wildcard | any,配置反向ACL,属于ACL的一种高级应用,可以有效地防范病毒,配置基于时间ACL,基于时间的访问控制列表由两部分组成: 第一部分定义时间段 第二部分是用扩展访问列表定义规则 (1)定义一个时间范围及其名字

38、 Router(config)#time-range time-range-name (2) 用periodic命令指定一个重复发生的开始和结束时间 Monday、Tuesday、Wednesday、Thursday、Friday、Saturday、Sunday、daily、weekdays、weekend Router(ocnfig)#periodic days-of-the-week hh:mm to days-of-the-week hh:mm (3)absolute命令指定一个绝对的开始和结束时间 Router(config-time-range)#absolute start tim

39、e date end time date,配置动态的ACL,创建动态访问表项的扩展ACL来配置的访问控制列表 在防火墙中临时打开的一个缺口,不会破坏其他的安全限制问 传统的标准访问列表和扩展访问列表不能创建动态访问表项 可以根据用户认证过程来创建特定的、临时的访问表,实验一:ACL1,1、允许网络10.1.1.0的主机访问Web Server 192.168.1.100 2、拒绝网络10.1.1.0的主机访问FTP Server192.168.1.100 3、拒绝网络10.1.1.0的主机Telnet路由器R2 4、拒绝主机10.1.1.100 ping 路由器R2,实验一:ACL2,1、允许主机A访问R2 2、拒绝除主机A外的10.1.1.0的网络访问R2 3、允许其他流量访问R2 Show access-list,复习,1、什么是ACL? 2、ACL的功能 3、设计ACL的原则 自上而下 添加表项 ACL位置 语句的顺序 注意事项 3、ACL工作过程,复习,4、ACL配置步骤和分类 a、定义ACL (any和host) b、将ACL应用到某接口上(in和out是以路由器为参照物的) 5、 ACL分类 a 标准ACL b 扩展访问列表,

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > 其他


经营许可证编号:宁ICP备18001539号-1