《Cisco課件第6課》由會員分享�,可在線閱讀,更多相關(guān)《Cisco課件第6課(25頁珍藏版)》請在裝配圖網(wǎng)上搜索����。
1、,*,,,,,,,,,,單擊此處編輯母版標(biāo)題樣式,,單擊此處編輯母版文本樣式,,第二級,,第三級,,第四級,,第五級,,*,第6課 訪問控制列表,1,教學(xué)目標(biāo),,Access Control List,,訪問列表(ACL)的作用,,訪問列表的分類,,標(biāo)準(zhǔn)訪問列表的應(yīng)用及配置,,擴展訪問列表的應(yīng)用及配置,,應(yīng)用ACL控制和管理通信流量,,2,,1.1訪問列表的概念,1.訪問列表的定義,,是一系列運用網(wǎng)絡(luò)地址或者上層協(xié)議上的允許或拒絕指令的集合,,這些指令將運用到網(wǎng)絡(luò)地址或者上層協(xié)議上,,這些指令告訴路由器接受哪些數(shù)據(jù)報而拒絕哪些數(shù)據(jù)報�����。,,ACL使得用戶能夠管理數(shù)據(jù)流�,檢測特定的數(shù)據(jù)報。,,接
2����、受或者拒絕根據(jù)一定的規(guī)則進行,如源地址���,目標(biāo)地址���,端口號等。,,路由器將根據(jù)ACL中指定的條件����,對經(jīng)過路由器端口的數(shù)據(jù)報進行檢查���。,,ACL可以基于所有的Routed Protocols,如IP����,IPX,對經(jīng)過路由器的數(shù)據(jù)報進行過濾��。,3,,訪問列表應(yīng)用圖例,4,,1.2訪問控制列表的作用,ACL具有靈活的基本數(shù)據(jù)流過濾能力和特定的控制能力�����。,,訪問列表可以控制非法的網(wǎng)絡(luò)訪問�,允許正常的網(wǎng)絡(luò)訪問,,路由器提供了基本的數(shù)據(jù)流過濾能力,,如使用訪問控制列表(ACL),可以有條件地阻止Internet數(shù)據(jù)流��。,,在路由器接口處�,決定哪種類型的通信流量被轉(zhuǎn)發(fā)、哪種類型的通信流量被阻塞,,5,,ACL需
3���、求,限制網(wǎng)絡(luò)數(shù)據(jù)流���,增加網(wǎng)絡(luò)性能。,,列隊管理,,?,根據(jù)不同的協(xié)議,ACL可以指定路由器優(yōu)先處理哪些數(shù)據(jù)報,,?,路由器可以不處理不需要的數(shù)據(jù)報,,?,隊列管理限制了網(wǎng)絡(luò)數(shù)據(jù)流�,減少了網(wǎng)絡(luò)擁塞,,提供數(shù)據(jù)流控制。,,ACL可以限定或者減少路由更新的內(nèi)容�。,,為網(wǎng)絡(luò)訪問提供基本的安全層。,,ACL可以允許某個主機訪問網(wǎng)絡(luò)的某一部分���,而阻止另一臺主機訪問網(wǎng)絡(luò)的這個部分。,,決定轉(zhuǎn)發(fā)或者阻止哪些類型的數(shù)據(jù)流��。,,可以允許路由e_mail數(shù)據(jù)流�,而阻止telnet數(shù)據(jù)流,6,,1.3 ACL定義的原則,ACL在路由器的端口過濾網(wǎng)絡(luò)數(shù)據(jù)流,決定是否轉(zhuǎn)發(fā)或者阻止數(shù)據(jù)報��。,,ACL應(yīng)該根據(jù)路由器的端口所允
4����、許的每個協(xié)議來制定。如果需要控制流經(jīng)某個端口的所有數(shù)據(jù)流�����,就需要為該端口允許的每一個協(xié)議分別創(chuàng)建ACL���。,,例如�,如果端口配置成允許IP,Appletalk和IPX協(xié)議的數(shù)據(jù)流,那么就需要創(chuàng)建至少三個ACL��。,,ACL可以用作控制和過濾流經(jīng)路由器端口的數(shù)據(jù)報的工具,7,,1.4 ACL指令的配置原則,ACL中的指令以按順序執(zhí)行的,,先滿足條件則之后的指令不執(zhí)行,,配置ACL指令時����,要先配置最嚴(yán)格的條件、之后較松的條件,,對于某些協(xié)議���,可以創(chuàng)建多個ACL:,,一個用于過濾進入端口的數(shù)據(jù)流inbound��,,,一個用于過濾流出端口的數(shù)據(jù)流outbound,8,,2.1ACL指令,一個ACL就是一組指
5��、令�,規(guī)定數(shù)據(jù)報如何:,,進入路由器的某個端口,,在路由器內(nèi)的轉(zhuǎn)送,,離開路由器的某個端口,,ACL允許控制哪些客戶端可以訪問的網(wǎng)絡(luò)���。在ACL中的條件可以是:,,篩選某些主機允許或者禁止訪問的部分網(wǎng)絡(luò),,允許或者禁止用戶訪問某一類協(xié)議�����,如等����。,,9,,2.2ACL的工作流程,無論是否使用ACL�����,開始的通信過程是相同的。,,當(dāng)一個數(shù)據(jù)報進入一個端口���,路由器檢查這個數(shù)據(jù)報是否可路由����。,,如果是可以路由的�����,路由器檢查這個端口是否有ACL控制進入數(shù)據(jù)報�。,,如果有�,根據(jù)ACL中的條件指令,檢查這個數(shù)據(jù)報��。,,如果數(shù)據(jù)報是被允許的�,就查詢路由表,決定數(shù)據(jù)報的目標(biāo)端口����。,,路由器檢查目標(biāo)端口是否存在ACL控
6、制流出的數(shù)據(jù)報,,不存在�,這個數(shù)據(jù)報就直接發(fā)送到目標(biāo)端口��。,,如果存在���,就再根據(jù)ACL進行取舍。,,10,,ACL的工作流程,11,,ACL條件順序,Cisco IOS按照各描述語句在ACL中的順序��,根據(jù)各描述語句的判斷條件���,對數(shù)據(jù)包進行檢查�。一旦找到了某一匹配條件�,就結(jié)束比較過程,不再檢查以后的其他條件判斷語句�����。,12,,ACL分類,標(biāo)準(zhǔn)ACL,,檢查源地址,,允許或拒絕整個協(xié)議族,,標(biāo)準(zhǔn),ACL,(數(shù)字,1,到,99,)��,可以提供數(shù)據(jù)流過濾控制�。它是基于源地址和通配掩碼。標(biāo)準(zhǔn),ACL,可以允許或禁止整套,IP,協(xié)議����。,,Outgoing,,Packet,fa0/0,S0/0,Incomin
7、g,,Packet,Access List Processes,Permit?,Source,,13,,3.1 ACL分類,擴展ACL,,檢查源和目的地址,,通常允許或拒絕特定的協(xié)議,,為了更加精確的數(shù)據(jù)流過濾�,需要擴展,ACL,��。擴展,ACL,檢查源地址和目標(biāo)地址��,以及,TCP,或,UDP,端口號����。還可以指定擴展,ACL,針對特定的協(xié)議的進行操作����。,,擴展,ACL,使用的數(shù)字范圍是:,100-199,。,,Outgoing,,Packet,Fa0/0,s0/0,Incoming,,Packet,Access List Processes,Permit?,Source,,and �Destin
8�、ation,Protocol,14,,用擴展ACL檢查數(shù)據(jù)包,15,,常見端口號,16,,ACL表號,協(xié)議(,Protocol,),ACL表號的取值范圍(,ACL Range,),IP(Internet協(xié)議),1-99,Extended IP(擴展Internet協(xié)議),100-199,AppleTalk,600-699,IPX(互聯(lián)網(wǎng)數(shù)據(jù)包交換),800-899,Extended IPX(擴展互聯(lián)網(wǎng)數(shù)據(jù)包交換),900-999,IPX service Advertising Protocol(IPX服務(wù)通告協(xié)議),1000-1099,17,,通配符掩碼,1.是一個32比特位的數(shù)字字符串,,2
9、.0表示“檢查相應(yīng)的位”,1表示“不檢查(忽略)相應(yīng)的位”,,18,,特殊的通配符掩碼,1. Any,,0.0.0.0 255.255.255.255,,,2. Host 172.30.16.29 0.0.0.0,,Host 172.30.16.29,,19,,ACL的配置,創(chuàng)建一個ACL訪問控制,,Router(,config,)# access-list access_list_number {permit|deny} {test_conditions},,將訪問控制綁定到接口上,,Router(,config-if,)# {protocol} access-group access_l
10���、ist_number {in|out},,關(guān)閉訪問控制列表,,Router(,config,)# no access-list access_list_number,20,,創(chuàng)建標(biāo)準(zhǔn)ACL,Router(config)# access-list,access-list-number,{deny | permit},source,[source-wildcard ] [log],,例如:access-list 1 permit 172.16.0.0 0.0.255.255,,刪除訪問列表,,Router(config)# no access-list access-list-number,,例
11、如:no access-list 1,,21,,實例分析,實例1:E0和E1端口只允許來自于網(wǎng)絡(luò)172.16.0.0的數(shù)據(jù)報被轉(zhuǎn)發(fā)�,其余的將被阻止。,,實例2:E0端口不允許來自于特定地址172.16.4.13的數(shù)據(jù)流���,其它的數(shù)據(jù)流將被轉(zhuǎn)發(fā)��。,,實例3:E0端口不允許來自于特定子網(wǎng)172.16.4.0的數(shù)據(jù)�,而轉(zhuǎn)發(fā)其它的數(shù)據(jù)����。,,172.16.3.0,172.16.4.0,172.16.4.13,E0,S0,E1,Non-,,172.16.0.0,22,,實例1的禁止一個協(xié)議簇,第一個ACL命令用“permit”允許來自于此指定網(wǎng)絡(luò)的數(shù)據(jù)流����,通配掩碼0.0.255.255表明要檢查匹配IP地址
12��、中的網(wǎng)絡(luò)位(前16位)����。,,最后將ACL關(guān)聯(lián)到端口E0和E1。,,,access-list 1 permit 172.16.0.0 0.0.255.255,,(implicit deny all - not visible in the list),,(access-list 1 deny 0.0.0.0 255.255.255.255),,interface ethernet 0,,ip access-group 1 out,,interface ethernet 1,,ip access-group 1 out,23,,實例2:禁止來自特定地址的數(shù)據(jù),第一個ACL命令用“deny”禁
13�����、止來自于此指定主機的數(shù)據(jù)流�����,通配掩碼0.0.0.0表明要檢查匹配地址中的所有的位��。,,第二個ACL命令中���,“0.0.0.0 255.255.255.255”IP地址和通配掩碼組合���,表示允許來自于任何源的數(shù)據(jù)流���。這個組合,也可以用關(guān)鍵字“any”替代�。,,最后將ACL關(guān)聯(lián)到端口E0。,,access-list 1 deny 172.16.4.13 0.0.0.0,,access-list 1 permit 0.0.0.0 255.255.255.255,,(implicit deny all),,(access-list 1 deny 0.0.0.0 255.255.255.255),,,interface ethernet 0,,ip access-group 1 out,,24,,小結(jié),訪問控制列表的作用,,訪問控制列表的定義,,訪問列表的分類,,訪問列表的工作流程,,標(biāo)準(zhǔn)訪問列表的定義訪法,,25,,
Cisco課件第6課
