第十二章访问控制列表ACL.PPT

Page 1/45,热备份路由协议（HSRP）的作用和工作原理 各种HSRP的术语和参数的作用 HSRP的配置和排错,第11章内容回顾,访问控制列表ACL,第12章,Page 3/45,本章目标,理解访问控制列表的工作原理（访问控制列表的作用，路由器对访问控制列表的处理过程） 理解访问控制列表的反码 掌握访问控制列表的种类 掌握标准和扩展访问控制列表的配置方法 能够利用访问控制列表对网络进行控制,Page 4/45,本章结构,访问控制列表,访问控制列表的种类,访问控制列表的工作原理,访问控制列表的反码,访问控制列表概述,扩展访问控制列表,标准访问控制列表,什么是扩展访问控制列表,扩展访问控制列表的应用与配置,命名访问控制列表,标准访问控制列表的应用与配置,什么是标准访问控制列表,Page 5/45,什么是访问控制列表,访问控制列表（ACL） 应用于路由器接口的指令列表 ，用于指定哪些数据包可以接收转发，哪些数据包需要拒绝 ACL的工作原理 读取第三层及第四层包头中的信息 根据预先定义好的规则对包进行过滤,Page 6/45,访问控制列表的作用2-1,提供网络访问的基本安全手段 可用于QoS，控制数据流量 控制通信量,Page 7/45,主机A,主机B,人力资源网络,研发网络,使用ACL阻止某指定网络访问另一指定网络,访问控制列表的作用2-2,Page 8/45,实现访问控制列表的核心技术是包过滤,Internet,公司总部,内部网络,未授权用户,办事处,访问控制列表,访问控制列表工作原理2-1,Page 9/45,通过分析IP数据包包头信息，进行判断（这里IP所承载的上层协议为TCP）,访问控制列表工作原理2-2,Page 10/45,匹配 下一步,拒绝,允许,允许,允许,到达访问控制组接口的数据包,匹配 第一步,目的接口,隐含的 拒绝,丢弃,Y,Y,Y,Y,Y,Y,N,N,N,路由器对访问控制列表的处理过程,匹配 下一步,拒绝,拒绝,拒绝,Page 11/45,访问控制列表入与出3-1,使用命令ip access-group将ACL应用到某一个接口上 在接口的一个方向上，只能应用一个access-list,Router(config-if)#ip access-group access-list-number in|out,Page 12/45,进入数据包,源地址 匹配吗？,有更多 条目吗？,应用条件,拒绝,允许,路由到接口,查找路由表,是,是,否,是,否,Icmp消息,转发数据包,接口上有访问 控制列表吗？,列表中的 下一个条目,否,访问控制列表入与出3-2,Page 13/45,外出数据包,查找路由表,接口上有访问 控制列表吗？,源地址匹配吗？,拒绝,允许,列表中的 下一个条目,是,是,转发数据包,Icmp消息,否,否,否,有更多条目吗？,访问控制列表入与出3-3,应用条件,是,Page 14/45,Deny和permit命令,Router(config)#access-list access-list-number permit|deny test conditions,允许数据包通过应用了访问控制列表的接口,拒绝数据包通过,Page 15/45,第一步，创建访问控制列表 第二步，应用到接口e0的出方向上,Router(config)#access-list 1 deny 172.16.4.13 0.0.0.0 Router(config)#access-list 1 permit 172.16.0.0 0.0.255.255 Router(config)#access-list 1 permit 0.0.0.0 255.255.255.255,Router(config)#interface fastethernet 0/0 Router（config-if）#ip access-group 1 out,访问控制列表实例,Page 16/45,使用通配符any和host 2-1,通配符any可代替0.0.0.0 255.255.255.255,Router(config)#access-list 1 permit 0.0.0.0 255.255.255.255,Router(config)#access-list 1 permit any,Page 17/45,使用通配符any和host 2-2,host表示检查IP地址的所有位,Router(config)#access-list 1 permit 172.30.16.29 0.0.0.0,Router(config)#access-list 1 permit host 172.30.16.29,Page 18/45,访问控制列表的种类,基本类型的访问控制列表 标准访问控制列表 扩展访问控制列表 其他种类的访问控制列表 基于MAC地址的访问控制列表 基于时间的访问控制列表,Page 19/45,路由器B,路由器C,路由器D,路由器A,S0,S0,S1,S1,E0,E0,E1,E0,E0,E1,应用访问控制列表,源,目的,Page 20/45,标准访问控制列表3-1,标准访问控制列表 根据数据包的源IP地址来允许或拒绝数据包 访问控制列表号从1到99,Page 21/45,标准访问控制列表3-2,标准访问控制列表只使用源地址进行过滤，表明是允许还是拒绝,路由器,Page 22/45,如果在访问控制列表中有的话,应用条件,拒绝,允许,更多条目？,列表中的下一个条目,否,有访问控制列表吗？,源地址,不匹配,是,匹配,是,否,Icmp消息,转发数据包,标准访问控制列表3-3,Page 23/45,标准访问控制列表的配置,第一步，使用access-list命令创建访问控制列表,第二步，使用ip access-group命令把访问控制列表应用到某接口,Router(config)#access-list access-list-number permit | deny source source- wildcard log,Router(config-if)#ip access-group access-list-number in | out ,Page 24/45,标准ACL应用1：允许特定源的流量2-1,Page 25/45,标准ACL应用：允许特定源的流量2-2,第一步，创建允许来自172.16.0.0的流量的ACL 第二步，应用到接口E0和E1的出方向上,Router(config)#access-list 1 permit 172.16.0.0 0.0.255.255,Router(config)#interface fastethernet 0/0 Router(config-if)#ip access-group 1 out Router(config)#interface fastethernet 0/1 Router(config-if)#ip access-group 1 out,Page 26/45,标准ACL应用：拒绝特定主机的通信流量,第一步，创建拒绝来自172.16.4.13的流量的ACL 第二步，应用到接口E0的出方向,Router(config)#access-list 1 deny host 172.16.4.13 Router(config)#access-list 1 permit 0.0.0.0 255.255.255.255,Router(config)#interface fastethernet 0/0 Router(config-if)#ip access-group 1 out,any,Page 27/45,标准ACL应用：拒绝特定子网的流量,第一步，创建拒绝来自子网172.16.4.0的流量的ACL 第二步，应用到接口E0的出方向,Router(config)#access-list 1 deny 172.16.4.0 0.0.0.255 Router(config)#accesslist 1 permit any,Router(config)#interface fastethernet 0/0 Router（config-if）#ip access-group 1 out,0.0.0.0 255.255.255.255,Page 28/45,扩展访问控制列表4-1,扩展访问控制列表 基于源和目的地址、传输层协议和应用端口号进行过滤 每个条件都必须匹配，才会施加允许或拒绝条件 使用扩展ACL可以实现更加精确的流量控制 访问控制列表号从100到199,Page 29/45,扩展访问控制列表4-2,扩展访问控制列表使用更多的信息描述数据包，表明是允许还是拒绝,路由器,Page 30/45,有访问控制列表吗？,源地址,目的地址,协议,协议任选项,应用条件,拒绝,允许,更多条目？,列表中的下一个条目,不匹配,否,是,匹配,匹配,匹配,匹配,是,否,Icmp消息,转发数据包,如果在访问控制列表中有的话,扩展访问控制列表4-3,不匹配,不匹配,不匹配,Page 31/45,扩展访问控制列表4-4,Page 32/45,扩展访问控制列表的配置3-1,第一步，使用access-list命令创建扩展访问控制列表,Router(config)#access-list access-list-number permit | deny protocol source source-wildcard destination destination-wildcard operator port established log,Page 33/45,扩展访问控制列表操作符的含义,扩展访问控制列表的配置3-2,Page 34/45,扩展访问控制列表的配置3-3,第二步，使用ip access-group命令将扩展访问控制列表应用到某接口,Router（config-if）#ip access-group access-list-number in | out ,Page 35/45,扩展ACL应用1：拒绝ftp流量通过E0,第一步，创建拒绝来自172.16.4.0、去往172.16.3.0、ftp流量的ACL 第二步，应用到接口E0的出方向,Router(config)#access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 21 Router(config)#access-list 101 permit ip any any,Router(config)#interface fastthernet 0/0 Router（config-if）#ip access-group 101 out,Page 36/45,扩展ACL应用2： 拒绝telnet流量通过E0,第一步，创建拒绝来自172.16.4.0、去往172.16.3.0、telnet流量的ACL 第二步，应用到接口E0的出方向上,Router(config)#access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 23 Router(config)#access-list 101 permit ip any any,Router(config)#interface fastethernet 0/0 Router（config-if）#ip access-group 101 out,Page 37/45,命名的访问控制列表2-1,标准ACL和扩展ACL中可以使用一个字母数字组合的字符串（名字）代替来表示ACL的表号 命名IP访问列表允许从指定的访问列表删除单个条目 如果添加一个条目到列表中，那么该条目被添加到列表末尾 不能以同一个名字命名多个ACL 在命名的访问控制列表下 ，permit和deny命令的语法格式与前述有所不同,Page 38/45,命名的访问控制列表2-2,第一步，创建名为cisco的命名访问控制列表 第二步，指定一个或多个permit及deny条件 第三步，应用到接口E0的出方向,Router（config）#interface fastethernet 0/0 Router（config-if）#ip access-group cisco out,Router(config)#ip access-list extended cisco,Router（config-ext-nacl）# deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 23 Router（config-ext-nacl）# permit ip any any,Page 39/45,查看访问控制列表2-1,Router#show ip interface fastethernet 0/0 FastEthernet0/0 is up, line protocol is up Internet address is 172.16.3.1/24 Broadcast address is 255.255.255.255 Address determined by setup command MTU is 1500 bytes Helper address is not set Directed broadcast forwarding is disabled Outgoing access list is cisco Inbound access list is not set Proxy ARP is enabled Local Proxy ARP is disabled Security level is default Split horizon is enabled ICMP redirects are always sent ICMP unreachables are always sent ICMP mask replies are never sent IP fast switching is enabled IP fast switching on the same interface is disabled ,Page 40/45,查看访问控制列表2-2,Router#show access-list Extended IP access list cisco 10 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq telnet 20 permit ip any any,Page 41/45,本章总结,访问控制列表,访问控制列表的种类,访问控制列表的工作原理,访问控制列表的反码,访问控制列表概述,扩展访问控制列表,标准访问控制列表,什么是扩展访问控制列表,扩展访问控制列表的应用与配置,命名访问控制列表,标准访问控制列表的应用与配置,什么是标准访问控制列表,访问控制列表（ACL）是应用在路由器接口的指令列表（规则）,ACL的工作原理：根据预先定义好的规则对包进行过滤，从而达到访问控制的目的,ACL的处理过程：若第一条不匹配，则依次往下进行判断，直到有任一条语句匹配,ACL使用反码来标志一个或几个地址是被允许还是被拒绝,标准访问控制列表：检查被路由的数据包的源地址。其结果基于源网络/子网/主机IP地址来决定是允许还是拒绝转发数据包。它使用1到99之间的数字作为表号,对数据包的原地址与目标地址均进行检查。它也能检查特定的协议、端口号以及其它参数。它使用100到199之间的数字作为表号,应用访问控制列表首先使用access-list命令创建访问控制列表，再用ip access-group命令把该访问控制列表应用到某一接口,可以使用一个字母数字组合的字符串（名字）代替前面所使用的数字（1199）来表示ACL的表号,Page 42/45,实验,实验背景 随着BENET公司网络建设的开展，对网络的安全性也要求越来越高，需要在路由器上应用访问控制列表进行控制 作为网络管理员，需要设计访问控制条件，对通过路由器的数据包进行过滤 一台路由器为外部路由器，一台路由器为公司内部路由器，下面连接两个网段：网段1（10.10.1.0/24）和网段2（10.10.2.0/24），对公司内网络和外部网络的通信进行控制,Page 43/45,实验拓扑,E 1/0 10.10.1.1/24,Fa0/0 172.16.1.1/24,Fa0/0 172.16.5.1/24,测试服务器 172.16.1.10/24,测试服务器 172.16.5.10/24,网段1的测试PC 10.10.1.10/24,Fa0/1 192.168.1.1/24,Fa0/1 192.168.1.5/24,Fa0/1 192.168.1.10/24,网段2的测试PC 10.10.2.10/24,E 1/1 10.10.2.1/24,一共5组,公共外部路由器,实验路由器1,实验路由器5,网段1,网段2,Page 44/45,实验任务2-1,任务1 标准访问控制列表配置 完成标准 在网段1上的PC上，ping 172.16.1.10，测试结果是网络连通 在网段2上的PC上，ping 172.16.1.10，测试结果是网络不能到达,Page 45/45,实验任务2-2,任务2 扩展访问控制列表配置 完成标准 在网段1的PC上ping 172.16.1.10，测试结果是网络连通 在网段1的PC上访问内部服务器的WWW服务，成功 在网段1的PC上访问内部服务器的tenet服务，不成功 在网段2的PC上ping 172.16.1.10，测试结果是网络连通 在网段2的PC上访问内部服务器的WWW服务，不成功 在网段2的PC上访问内部服务器的tenet服务，成功,