Cisco課件第6課

單擊此處編輯母版標(biāo)題樣式,,單擊此處編輯母版文本樣式,,第二級(jí),,第三級(jí),,第四級(jí),,第五級(jí),,*,第6課 訪問(wèn)控制列表,1,教學(xué)目標(biāo),,Access Control List,,訪問(wèn)列表（ACL）的作用,,訪問(wèn)列表的分類(lèi),,標(biāo)準(zhǔn)訪問(wèn)列表的應(yīng)用及配置,,擴(kuò)展訪問(wèn)列表的應(yīng)用及配置,,應(yīng)用ACL控制和管理通信流量,,2,,1.1訪問(wèn)列表的概念,1.訪問(wèn)列表的定義,,是一系列運(yùn)用網(wǎng)絡(luò)地址或者上層協(xié)議上的允許或拒絕指令的集合,,這些指令將運(yùn)用到網(wǎng)絡(luò)地址或者上層協(xié)議上,,這些指令告訴路由器接受哪些數(shù)據(jù)報(bào)而拒絕哪些數(shù)據(jù)報(bào)ACL使得用戶(hù)能夠管理數(shù)據(jù)流，檢測(cè)特定的數(shù)據(jù)報(bào)接受或者拒絕根據(jù)一定的規(guī)則進(jìn)行，如源地址，目標(biāo)地址，端口號(hào)等路由器將根據(jù)ACL中指定的條件，對(duì)經(jīng)過(guò)路由器端口的數(shù)據(jù)報(bào)進(jìn)行檢查ACL可以基于所有的Routed Protocols，如IP，IPX，對(duì)經(jīng)過(guò)路由器的數(shù)據(jù)報(bào)進(jìn)行過(guò)濾3,,訪問(wèn)列表應(yīng)用圖例,4,,1.2訪問(wèn)控制列表的作用,ACL具有靈活的基本數(shù)據(jù)流過(guò)濾能力和特定的控制能力訪問(wèn)列表可以控制非法的網(wǎng)絡(luò)訪問(wèn)，允許正常的網(wǎng)絡(luò)訪問(wèn),,路由器提供了基本的數(shù)據(jù)流過(guò)濾能力,,如使用訪問(wèn)控制列表（ACL），可以有條件地阻止Internet數(shù)據(jù)流。

在路由器接口處，決定哪種類(lèi)型的通信流量被轉(zhuǎn)發(fā)、哪種類(lèi)型的通信流量被阻塞,,5,,ACL需求,限制網(wǎng)絡(luò)數(shù)據(jù)流，增加網(wǎng)絡(luò)性能列隊(duì)管理,,?,根據(jù)不同的協(xié)議，ACL可以指定路由器優(yōu)先處理哪些數(shù)據(jù)報(bào),,?,路由器可以不處理不需要的數(shù)據(jù)報(bào),,?,隊(duì)列管理限制了網(wǎng)絡(luò)數(shù)據(jù)流，減少了網(wǎng)絡(luò)擁塞,,提供數(shù)據(jù)流控制ACL可以限定或者減少路由更新的內(nèi)容為網(wǎng)絡(luò)訪問(wèn)提供基本的安全層ACL可以允許某個(gè)主機(jī)訪問(wèn)網(wǎng)絡(luò)的某一部分，而阻止另一臺(tái)主機(jī)訪問(wèn)網(wǎng)絡(luò)的這個(gè)部分決定轉(zhuǎn)發(fā)或者阻止哪些類(lèi)型的數(shù)據(jù)流可以允許路由e_mail數(shù)據(jù)流，而阻止telnet數(shù)據(jù)流,6,,1.3 ACL定義的原則,ACL在路由器的端口過(guò)濾網(wǎng)絡(luò)數(shù)據(jù)流，決定是否轉(zhuǎn)發(fā)或者阻止數(shù)據(jù)報(bào)ACL應(yīng)該根據(jù)路由器的端口所允許的每個(gè)協(xié)議來(lái)制定如果需要控制流經(jīng)某個(gè)端口的所有數(shù)據(jù)流，就需要為該端口允許的每一個(gè)協(xié)議分別創(chuàng)建ACL例如，如果端口配置成允許IP,Appletalk和IPX協(xié)議的數(shù)據(jù)流，那么就需要?jiǎng)?chuàng)建至少三個(gè)ACLACL可以用作控制和過(guò)濾流經(jīng)路由器端口的數(shù)據(jù)報(bào)的工具,7,,1.4 ACL指令的配置原則,ACL中的指令以按順序執(zhí)行的,,先滿足條件則之后的指令不執(zhí)行,,配置ACL指令時(shí)，要先配置最嚴(yán)格的條件、之后較松的條件,,對(duì)于某些協(xié)議，可以創(chuàng)建多個(gè)ACL：,,一個(gè)用于過(guò)濾進(jìn)入端口的數(shù)據(jù)流inbound，,,一個(gè)用于過(guò)濾流出端口的數(shù)據(jù)流outbound,8,,2.1ACL指令,一個(gè)ACL就是一組指令，規(guī)定數(shù)據(jù)報(bào)如何：,,進(jìn)入路由器的某個(gè)端口,,在路由器內(nèi)的轉(zhuǎn)送,,離開(kāi)路由器的某個(gè)端口,,ACL允許控制哪些客戶(hù)端可以訪問(wèn)的網(wǎng)絡(luò)。

在ACL中的條件可以是：,,篩選某些主機(jī)允許或者禁止訪問(wèn)的部分網(wǎng)絡(luò),,允許或者禁止用戶(hù)訪問(wèn)某一類(lèi)協(xié)議，如等9,,2.2ACL的工作流程,無(wú)論是否使用ACL，開(kāi)始的通信過(guò)程是相同的當(dāng)一個(gè)數(shù)據(jù)報(bào)進(jìn)入一個(gè)端口，路由器檢查這個(gè)數(shù)據(jù)報(bào)是否可路由如果是可以路由的，路由器檢查這個(gè)端口是否有ACL控制進(jìn)入數(shù)據(jù)報(bào)如果有，根據(jù)ACL中的條件指令，檢查這個(gè)數(shù)據(jù)報(bào)如果數(shù)據(jù)報(bào)是被允許的，就查詢(xún)路由表，決定數(shù)據(jù)報(bào)的目標(biāo)端口路由器檢查目標(biāo)端口是否存在ACL控制流出的數(shù)據(jù)報(bào),,不存在，這個(gè)數(shù)據(jù)報(bào)就直接發(fā)送到目標(biāo)端口如果存在，就再根據(jù)ACL進(jìn)行取舍10,,ACL的工作流程,11,,ACL條件順序,Cisco IOS按照各描述語(yǔ)句在ACL中的順序，根據(jù)各描述語(yǔ)句的判斷條件，對(duì)數(shù)據(jù)包進(jìn)行檢查一旦找到了某一匹配條件，就結(jié)束比較過(guò)程，不再檢查以后的其他條件判斷語(yǔ)句12,,ACL分類(lèi),標(biāo)準(zhǔn)ACL,,檢查源地址,,允許或拒絕整個(gè)協(xié)議族,,標(biāo)準(zhǔn),ACL,（數(shù)字,1,到,99,），可以提供數(shù)據(jù)流過(guò)濾控制它是基于源地址和通配掩碼標(biāo)準(zhǔn),ACL,可以允許或禁止整套,IP,協(xié)議Outgoing,,Packet,fa0/0,S0/0,Incoming,,Packet,Access List Processes,Permit?,Source,,13,,3.1 ACL分類(lèi),擴(kuò)展ACL,,檢查源和目的地址,,通常允許或拒絕特定的協(xié)議,,為了更加精確的數(shù)據(jù)流過(guò)濾，需要擴(kuò)展,ACL,。

擴(kuò)展,ACL,檢查源地址和目標(biāo)地址，以及,TCP,或,UDP,端口號(hào)還可以指定擴(kuò)展,ACL,針對(duì)特定的協(xié)議的進(jìn)行操作擴(kuò)展,ACL,使用的數(shù)字范圍是：,100-199,Outgoing,,Packet,Fa0/0,s0/0,Incoming,,Packet,Access List Processes,Permit?,Source,,and Destination,Protocol,14,,用擴(kuò)展ACL檢查數(shù)據(jù)包,15,,常見(jiàn)端口號(hào),16,,ACL表號(hào),協(xié)議（,Protocol,）,ACL表號(hào)的取值范圍（,ACL Range,）,IP（Internet協(xié)議）,1-99,Extended IP(擴(kuò)展Internet協(xié)議),100-199,AppleTalk,600-699,IPX（互聯(lián)網(wǎng)數(shù)據(jù)包交換）,800-899,Extended IPX(擴(kuò)展互聯(lián)網(wǎng)數(shù)據(jù)包交換),900-999,IPX service Advertising Protocol(IPX服務(wù)通告協(xié)議),1000-1099,17,,通配符掩碼,1.是一個(gè)32比特位的數(shù)字字符串,,2.0表示“檢查相應(yīng)的位”,1表示“不檢查（忽略）相應(yīng)的位”,,18,,特殊的通配符掩碼,1. Any,,0.0.0.0 255.255.255.255,,,2. Host 172.30.16.29 0.0.0.0,,Host 172.30.16.29,,19,,ACL的配置,創(chuàng)建一個(gè)ACL訪問(wèn)控制,,Router(,config,)# access-list access_list_number {permit|deny} {test_conditions},,將訪問(wèn)控制綁定到接口上,,Router(,config-if,)# {protocol} access-group access_list_number {in|out},,關(guān)閉訪問(wèn)控制列表,,Router(,config,)# no access-list access_list_number,20,,創(chuàng)建標(biāo)準(zhǔn)ACL,Router(config)# access-list,access-list-number,{deny | permit},source,[source-wildcard ] [log],,例如：access-list 1 permit 172.16.0.0 0.0.255.255,,刪除訪問(wèn)列表,,Router(config)# no access-list access-list-number,,例如：no access-list 1,,21,,實(shí)例分析,實(shí)例1：E0和E1端口只允許來(lái)自于網(wǎng)絡(luò)172.16.0.0的數(shù)據(jù)報(bào)被轉(zhuǎn)發(fā)，其余的將被阻止。

實(shí)例2：E0端口不允許來(lái)自于特定地址172.16.4.13的數(shù)據(jù)流，其它的數(shù)據(jù)流將被轉(zhuǎn)發(fā)實(shí)例3：E0端口不允許來(lái)自于特定子網(wǎng)172.16.4.0的數(shù)據(jù)，而轉(zhuǎn)發(fā)其它的數(shù)據(jù)172.16.3.0,172.16.4.0,172.16.4.13,E0,S0,E1,Non-,,172.16.0.0,22,,實(shí)例1的禁止一個(gè)協(xié)議簇,第一個(gè)ACL命令用“permit”允許來(lái)自于此指定網(wǎng)絡(luò)的數(shù)據(jù)流，通配掩碼0.0.255.255表明要檢查匹配IP地址中的網(wǎng)絡(luò)位（前16位）最后將ACL關(guān)聯(lián)到端口E0和E1access-list 1 permit 172.16.0.0 0.0.255.255,,(implicit deny all - not visible in the list),,(access-list 1 deny 0.0.0.0 255.255.255.255),,interface ethernet 0,,ip access-group 1 out,,interface ethernet 1,,ip access-group 1 out,23,,實(shí)例2：禁止來(lái)自特定地址的數(shù)據(jù),第一個(gè)ACL命令用“deny”禁止來(lái)自于此指定主機(jī)的數(shù)據(jù)流，通配掩碼0.0.0.0表明要檢查匹配地址中的所有的位。

第二個(gè)ACL命令中，“0.0.0.0 255.255.255.255”IP地址和通配掩碼組合，表示允許來(lái)自于任何源的數(shù)據(jù)流這個(gè)組合，也可以用關(guān)鍵字“any”替代最后將ACL關(guān)聯(lián)到端口E0access-list 1 deny 172.16.4.13 0.0.0.0,,access-list 1 permit 0.0.0.0 255.255.255.255,,(implicit deny all),,(access-list 1 deny 0.0.0.0 255.255.255.255),,,interface ethernet 0,,ip access-group 1 out,,24,,小結(jié),訪問(wèn)控制列表的作用,,訪問(wèn)控制列表的定義,,訪問(wèn)列表的分類(lèi),,訪問(wèn)列表的工作流程,,標(biāo)準(zhǔn)訪問(wèn)列表的定義訪法,,25,,。