Cisco课件第6课

,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,第6课 访问控制列表,1,教学目标,Access Control List,访问列表（ACL）的作用,访问列表的分类,标准访问列表的应用及配置,扩展访问列表的应用及配置,应用ACL控制和管理通信流量,2,1.1访问列表的概念,1.访问列表的定义,是一系列运用网络地址或者上层协议上的允许或拒绝指令的集合,这些指令将运用到网络地址或者上层协议上,这些指令告诉路由器接受哪些数据报而拒绝哪些数据报。,ACL使得用户能够管理数据流，检测特定的数据报。,接受或者拒绝根据一定的规则进行，如源地址，目标地址，端口号等。,路由器将根据ACL中指定的条件，对经过路由器端口的数据报进行检查。,ACL可以基于所有的Routed Protocols，如IP，IPX，对经过路由器的数据报进行过滤。,3,访问列表应用图例,4,1.2访问控制列表的作用,ACL具有灵活的基本数据流过滤能力和特定的控制能力。,访问列表可以控制非法的网络访问，允许正常的网络访问,路由器提供了基本的数据流过滤能力,如使用访问控制列表（ACL），可以有条件地阻止Internet数据流。,在路由器接口处，决定哪种类型的通信流量被转发、哪种类型的通信流量被阻塞,5,ACL需求,限制网络数据流，增加网络性能。,列队管理,根据不同的协议，ACL可以指定路由器优先处理哪些数据报,路由器可以不处理不需要的数据报,队列管理限制了网络数据流，减少了网络拥塞,提供数据流控制。,ACL可以限定或者减少路由更新的内容。,为网络访问提供基本的安全层。,ACL可以允许某个主机访问网络的某一部分，而阻止另一台主机访问网络的这个部分。,决定转发或者阻止哪些类型的数据流。,可以允许路由e_mail数据流，而阻止telnet数据流,6,1.3 ACL定义的原则,ACL在路由器的端口过滤网络数据流，决定是否转发或者阻止数据报。,ACL应该根据路由器的端口所允许的每个协议来制定。如果需要控制流经某个端口的所有数据流，就需要为该端口允许的每一个协议分别创建ACL。,例如，如果端口配置成允许IP,Appletalk和IPX协议的数据流，那么就需要创建至少三个ACL。,ACL可以用作控制和过滤流经路由器端口的数据报的工具,7,1.4 ACL指令的配置原则,ACL中的指令以按顺序执行的,先满足条件则之后的指令不执行,配置ACL指令时，要先配置最严格的条件、之后较松的条件,对于某些协议，可以创建多个ACL：,一个用于过滤进入端口的数据流inbound，,一个用于过滤流出端口的数据流outbound,8,2.1ACL指令,一个ACL就是一组指令，规定数据报如何：,进入路由器的某个端口,在路由器内的转送,离开路由器的某个端口,ACL允许控制哪些客户端可以访问的网络。在ACL中的条件可以是：,筛选某些主机允许或者禁止访问的部分网络,允许或者禁止用户访问某一类协议，如等。,9,2.2ACL的工作流程,无论是否使用ACL，开始的通信过程是相同的。,当一个数据报进入一个端口，路由器检查这个数据报是否可路由。,如果是可以路由的，路由器检查这个端口是否有ACL控制进入数据报。,如果有，根据ACL中的条件指令，检查这个数据报。,如果数据报是被允许的，就查询路由表，决定数据报的目标端口。,路由器检查目标端口是否存在ACL控制流出的数据报,不存在，这个数据报就直接发送到目标端口。,如果存在，就再根据ACL进行取舍。,10,ACL的工作流程,11,ACL条件顺序,Cisco IOS按照各描述语句在ACL中的顺序，根据各描述语句的判断条件，对数据包进行检查。一旦找到了某一匹配条件，就结束比较过程，不再检查以后的其他条件判断语句。,12,ACL分类,标准ACL,检查源地址,允许或拒绝整个协议族,标准,ACL,（数字,1,到,99,），可以提供数据流过滤控制。它是基于源地址和通配掩码。标准,ACL,可以允许或禁止整套,IP,协议。,Outgoing,Packet,fa0/0,S0/0,Incoming,Packet,Access List Processes,Permit?,Source,13,3.1 ACL分类,扩展ACL,检查源和目的地址,通常允许或拒绝特定的协议,为了更加精确的数据流过滤，需要扩展,ACL,。扩展,ACL,检查源地址和目标地址，以及,TCP,或,UDP,端口号。还可以指定扩展,ACL,针对特定的协议的进行操作。,扩展,ACL,使用的数字范围是：,100-199,。,Outgoing,Packet,Fa0/0,s0/0,Incoming,Packet,Access List Processes,Permit?,Source,and Destination,Protocol,14,用扩展ACL检查数据包,15,常见端口号,16,ACL表号,协议（,Protocol,）,ACL表号的取值范围（,ACL Range,）,IP（Internet协议）,1-99,Extended IP(扩展Internet协议),100-199,AppleTalk,600-699,IPX（互联网数据包交换）,800-899,Extended IPX(扩展互联网数据包交换),900-999,IPX service Advertising Protocol(IPX服务通告协议),1000-1099,17,通配符掩码,1.是一个32比特位的数字字符串,2.0表示“检查相应的位”,1表示“不检查（忽略）相应的位”,18,特殊的通配符掩码,1. Any,0.0.0.0 255.255.255.255,2. Host 172.30.16.29 0.0.0.0,Host 172.30.16.29,19,ACL的配置,创建一个ACL访问控制,Router(,config,)# access-list access_list_number permit|deny test_conditions,将访问控制绑定到接口上,Router(,config-if,)# protocol access-group access_list_number in|out,关闭访问控制列表,Router(,config,)# no access-list access_list_number,20,创建标准ACL,Router(config)# access-list,access-list-number,deny | permit,source,source-wildcard log,例如：access-list 1 permit 172.16.0.0 0.0.255.255,删除访问列表,Router(config)# no access-list access-list-number,例如：no access-list 1,21,实例分析,实例1：E0和E1端口只允许来自于网络172.16.0.0的数据报被转发，其余的将被阻止。,实例2：E0端口不允许来自于特定地址172.16.4.13的数据流，其它的数据流将被转发。,实例3：E0端口不允许来自于特定子网172.16.4.0的数据，而转发其它的数据。,172.16.3.0,172.16.4.0,172.16.4.13,E0,S0,E1,Non-,172.16.0.0,22,实例1的禁止一个协议簇,第一个ACL命令用“permit”允许来自于此指定网络的数据流，通配掩码0.0.255.255表明要检查匹配IP地址中的网络位（前16位）。,最后将ACL关联到端口E0和E1。,access-list 1 permit 172.16.0.0 0.0.255.255,(implicit deny all - not visible in the list),(access-list 1 deny 0.0.0.0 255.255.255.255),interface ethernet 0,ip access-group 1 out,interface ethernet 1,ip access-group 1 out,23,实例2：禁止来自特定地址的数据,第一个ACL命令用“deny”禁止来自于此指定主机的数据流，通配掩码0.0.0.0表明要检查匹配地址中的所有的位。,第二个ACL命令中，“0.0.0.0 255.255.255.255”IP地址和通配掩码组合，表示允许来自于任何源的数据流。这个组合，也可以用关键字“any”替代。,最后将ACL关联到端口E0。,access-list 1 deny 172.16.4.13 0.0.0.0,access-list 1 permit 0.0.0.0 255.255.255.255,(implicit deny all),(access-list 1 deny 0.0.0.0 255.255.255.255),interface ethernet 0,ip access-group 1 out,24,小结,访问控制列表的作用,访问控制列表的定义,访问列表的分类,访问列表的工作流程,标准访问列表的定义访法,25,