Presentation is loading. Please wait.

Presentation is loading. Please wait.

访问控制列表(ACL) Version 1.0.

Published byJuan Velázquez Aguilera Modified 5年之前

Similar presentations

Presentation on theme: "访问控制列表(ACL) Version 1.0."— Presentation transcript:

1 访问控制列表(ACL) Version 1.0

2 目标 理解访问控制列表的工作原理(访问控制列表的作用,路由器对访问控制列表的处理过程),访问控制列表的反码,访问控制列表的种类
掌握标准和扩展访问控制列表的配置方法 能够利用访问控制列表对网络进行控制 2/47

3 访问控制列表概述 访问控制列表(ACL)是应用在路由器接口的指令列表 ,用来告诉路由器哪些数据包可以接收转发,哪些数据包需要拒绝
3/47

4 访问控制列表概述(Cont.) IP数据包(这里IP所承载的上层协议为TCP) IP报头 TCP报头 数据 源地址 源端口
目的地址 源端口 目的端口 访问控制列表利用这4个元素定义的规则 4/47

5 访问控制列表概述(Cont.) 使用ACL实现网络控制:实现访问控制列表的核心技术是包过滤 内部网络 访问控制列表 Internet 办事处
公司总部 未授权用户 5/47

6 访问控制列表概述(Cont.) ACL的两种基本类型 标准访问控制列表 扩展访问控制列表 6/47

7 访问控制列表的作用 提供网络访问的基本安全手段 可用于Qos,控制数据流量 控制通信量 7/47

8 使用ACL阻止某指定网络访问另一指定网络
访问控制列表的作用(Cont.) 主机A 主机B 人力资源网络 研发网络 使用ACL阻止某指定网络访问另一指定网络 8/47

9 路由器对访问控制列表的处理过程 到达访问控制组接口的数据包 匹配 第一步 Y Y N 拒绝 允许 匹配 下一步 Y Y 允许 拒绝 目的接口
隐含的 拒绝 拒绝 数据包 垃圾桶 9/47

10 访问控制列表入与出 否 是 是 否 是 否 Icmp消息 转发数据包 进入数据包 接口上有访问 控制列表吗? 列表中的 下一个条目 源地址
匹配吗? 查找路由表 有更多 条目吗? 应用条件 路由到接口 拒绝 允许 10/47 Icmp消息 转发数据包

11 访问控制列表入与出(Cont.) 否 是 源地址匹配吗? 否 是 是 有更多条目吗? 否 Icmp消息 转发数据包 外出数据包 查找路由表
接口上有访问 控制列表吗? 列表中的 下一个条目 源地址匹配吗? 有更多条目吗? 应用条件 拒绝 允许 11/47 Icmp消息 转发数据包

12 Deny和permit命令 允许数据包通过应用了访问控制列表的接口 路由器拒绝数据包通过
router(config)#access-list access-list-number {permit|deny} {test conditions} 允许数据包通过应用了访问控制列表的接口 路由器拒绝数据包通过 12/47

13 Deny和permit命令(Cont.) 第一步,创建访问控制列表 第二步,应用到接口e0的入方向上
Router(config)#access-list 1 deny Router(config)#access-list 1 permit Router(config)#access-list 1 permit Router(config)#interface ethernet 0 Router(config-if)#ip access-group 1 in 13/47

14 应用访问控制列表 路由器B 路由器C S0 S0 E0 E0 S1 S1 E0 路由器A 路由器D 扩展acl E0 E1 E1 标准acl
14/47

15 使用反码 反掩码和子网掩码相似,但写法不同 0表示需要比较 1表示忽略比较 反掩码和IP地址结合使用,可以描述一个地址范围 15/47

16 使用反码(Cont.) 128 64 32 16 8 4 2 1 字节位的位置和对应的地址值 例子 检查所有的地址位 匹配所有
= 忽略最后6个地址位 = 忽略最后4个地址位 = 检查最后2个地址位 = 不检查地址位 忽略字节中的所有位 = 16/47

17 使用反码(Cont.) Ip访问控制列表检测条件:检查ip子网 从172.30.16.0到172.30.31.0 网络 172.30.16
主机 与位匹配的掩码:0000 检查 1111 忽略 地址和反码: 第三个8位组= =15 17/47

18 使用通配符any和host 通配符any可代替0.0.0.0 255.255.255.255
Router(config)#access-list 1 permit Router(config)#access-list 1 permit any 18/47

19 使用通配符any和host(Cont.) host表示与整个IP主机地址的所有位相匹配
Router(config)#access-list 1 permit Router(config)#access-list 1 permit host 19/47

20 访问控制列表的种类 基本类型的访问控制列表 标准访问控制列表 扩展访问控制列表 20/47

21 标准访问控制列表 标准访问控制列表根据数据包的源IP地址来允许或拒绝数据包 标准IP访问控制列表的访问控制列表号从1到99 21/47

22 标准访问控制列表(Cont.) 标准访问控制列表只使用源地址描述数据,表明是允许还是拒绝 从172.16.4.0/24来的数据包可以通过!
从 /24来的数据包不能通过! 路由器 22/47

23 标准访问访问控制列表 否 有访问控制列表吗? 是 匹配 不匹配 源地址 否 更多条目? 应用条件 是 列表中的下一个条目 拒绝 允许
如果在访问控制列表中有的话 Icmp消息 转发数据包 23/47

24 标准访问控制列表的配置 第一步,使用access-list命令创建访问控制列表
Router(config)#access-list access-list-number { permit | deny } source [source- wildcard-mask ] [log] 第二步,使用ip access-group命令把访问控制列表应用到某接口 Router(config-if)#ip access-group access-list-number { in | out } 24/47

25 标准ACL应用1:允许特定源的流量 示例的网络拓扑 Non-172.16.0.0 172.16.3.0 172.16.4.0 S0 E0
示例的网络拓扑 25/47

26 标准ACL应用:允许特定源的流量(Cont.)
第二步,应用到接口E0和E1的出方向上 Router(config)#access-list 1 permit Router(config)#interface Ethernet 0 Router(config-if)#ip access-group 1 out Router(config)#interface Ethernet 1 26/47

27 标准ACL应用:拒绝特定主机的通信流量 any 第一步,创建拒绝来自172.16.4.13的流量的ACL 第二步,应用到接口E0的出方向
Router(config)#access-list 1 deny host Router(config)#access-list 1 permit any Router(config)#interface Ethernet 0 Router(config-if)#ip access-group 1 out 27/47

28 标准ACL应用:拒绝特定子网的流量 第一步,创建拒绝来自子网 的流量的ACL 第二步,应用到接口E0的出方向 Router(config)#access-list 1 deny Router(config)#access—list 1 permit any Router(config)#interface Ethernet 0 Router(config-if)#ip access-group 1 out 28/47

29 扩展访问控制列表 扩展访问控制列表通过启用基于源和目的地址、传输层协议和应用端口号的过虑来提供更高程度的控制
扩展访问控制列表行中的每个条件都必须匹配,才认为该行被匹配,才会施加允许或拒绝条件 使用扩展ACL可以实现更加精确的流量控制 使用的数字号在100到199之间 29/47

30 扩展访问控制列表(Cont.) 扩展访问控制列表使用除源地址外更多的信息描述数据包,表明是允许还是拒绝
从 /24来的,到 的, 使用TCP协议, 利用HTTP访问的 数据包可以通过! 路由器 30/47

31 扩展访问访问控制列表(Cont.) 否 有访问控制列表吗? 是 不匹配 匹配 源地址 不匹配 匹配 目的地址 不匹配 匹配 协议 不匹配
协议任选项 应用条件 更多条目? 拒绝 允许 列表中的下一个条目 31/47 如果在访问控制列表中有的话 Icmp消息 转发数据包

32 扩展访问访问控制列表(Cont.) 常见端口号 端口号 (十进制) 关键字 描述 TCP/UDP 20 FTP-DATA
21 FTP (文件传输协议)FTP 23 TELNET 终端连接 25 SMTP 简单邮件传输协议 42 NAMESERVER 主机名字服务器 UDP 53 DOMAIN 域名服务器(DNS) 69 TFTP 普通文件传输协议(TFTP) 80 WWW 常见端口号 32/47

33 扩展访问控制列表的配置 第一步,使用access-list命令创建一个扩展访问控制列表
Router(config)#access-list access-list-number { permit | deny } protocol [source source-wildcard destination destination-wildcard ] [operator port][established][log] 33/47

34 扩展访问控制列表的配置(Cont.) 操作符及语法 意义 扩展访问控制列表操作符的含义 eq portnumber
gt portnumber 大于端口号portnumber lt portnumber 小于端口号portnumber neq portnumber 不等于端口号portnumber 扩展访问控制列表操作符的含义 34/47

35 扩展访问控制列表的配置(Cont.) 第二步,使用ip access-group命令把一个扩展访问控制列表应用到某接口
Router(config-if)#ip access-group access-list-number { in | out } 35/47

36 扩展ACL应用1:拒绝ftp流量通过E0 第一步,创建拒绝来自172.16.4.0去往172.16.3.0的ftp流量的ACL
Router(config)#access-list deny tcp eq 21 Router(config)#access-list permit ip any any Router(config)#interface Ethernet 0 Router(config-if)#ip access-group out 36/47

37 扩展ACL应用2: 第一步,创建拒绝来自172.16.4.0去往172.16.3.0的telnet流量的ACL
Router(config)#access-list deny tcp eq 23 Router(config)#access-list permit ip any any Router(config)#interface Ethernet 0 Router(config-if)#ip access-group out 37/47

38 命名的访问控制列表 可以在标准ACL和扩展ACL中,使用一个字母数字组合的字符串(名字)代替来表示ACL的表号
命名IP访问列表允许从指定的访问列表删除单个条目。但如果添加一个条目到列表中,那么该条目被添加到列表末尾 不能以同一个名字命名多个ACL 在命名的访问控制列表下 ,permit和deny命令的语法格式与前述有所不同 38/47

39 命名的访问控制列表(Cont.) 第一步,创建名为cisco的命名访问控制列表
第二步,指定一个或多个permit(允许)及deny(拒绝)条件 第三步,应用到接口E0的出方向 Router(config)#ip access-list extended cisco Router(config ext-nacl)# deny tcp eq 23 Router(config ext-nacl)# permit ip any any Router(config)#interface Ethernet 0 Router(config-if)#ip access-group cisco out 39/47

40 总结 访问控制列表(ACL)是应用在路由器接口的指令列表(即规则)
40/47

41 总结(Cont.) ACL可以分为两种基本类型
标准访问控制列表:检查被路由的数据包的源地址。其结果基于源网络/子网/主机IP地址来决定是允许还是拒绝转发数据包。它使用1到99之间的数字作为表号 扩展访问控制列表:对数据包的原地址与目标地址均进行检查。它也能检查特定的协议、端口号以及其它参数。它使用100到199之间的数字作为表号 41/47

42 总结(Cont.) 应用访问控制列表首先使用access-list命令创建访问控制列表,再用ip access-group命令把该访问控制列表应用到某一接口 可以使用一个字母数字组合的字符串(名字)代替前面所使用的数字(1~199)来表示ACL的表号 42/47

43 实验目标 掌握标准访问控制列表的配置和检验 掌握扩展访问控制列表的配置和检验 43/47

44 实验拓扑 网段1的测试PC 网段2的测试PC 10.10.1.10/24 10.10.2.10/24 网段1 网段2
E 1/ /24 E 1/ /24 公共外部路由器 Fa0/ /24 Fa0/ /24 Fa0/ /24 实验路由器1 实验路由器5 一共5组 Fa0/ /24 Fa0/ /24 测试服务器 /24 测试服务器 /24 44/47

45 实验完成标准 标准访问控制列表:按照要求,配置相应访问控制列表,实现要求中相应的访问控制
在网段1上的PC上,ping ,测试结果是网络连通 在网段2上的PC上,ping ,测试结果是网络不能到达 45/47

46 实验完成标准 扩展访问控制列表: 按要求配置相应的访问控制列表,实现要求中相应的访问控制
在网段1的PC上ping ,测试结果是网络连通 在网段1的PC上访问内部服务器的WWW服务,成功 在网段1的PC上访问内部服务器的tenet服务,不成功 在网段2的PC上ping ,测试结果是网络连通 在网段2的PC上访问内部服务器的WWW服务,不成功 在网段2的PC上访问内部服务器的tenet服务,成功 46/47

Download ppt "访问控制列表(ACL) Version 1.0."

Similar presentations

一、软件简介 二、功能介绍 三、产品优势 四、应用范围 五、成功客户 目录目录 软件简介 ●员工工作时间,都认真工作了? ●还是在玩游戏? ●浏览与工作无关的网站? ●收发私人邮件? ●甚至将公司的机密资料拷贝带 走?或是通过邮件或聊天工具泄 密? …… 解决之道.

一、软件简介 二、功能介绍 三、产品优势 四、应用范围 五、成功客户 目录目录 软件简介 ●员工工作时间,都认真工作了? ●还是在玩游戏? ●浏览与工作无关的网站? ●收发私人邮件? ●甚至将公司的机密资料拷贝带 走?或是通过邮件或聊天工具泄 密? …… 解决之道.
项目六 路由器基本配置与管理.

项目六 路由器基本配置与管理.
项目四:Internet基础与接入方法 第八章 应用服务器安装配置

项目四:Internet基础与接入方法 第八章 应用服务器安装配置
第6章:计算机网络基础 网考小组.

第6章:计算机网络基础 网考小组.
朝阳区统计系统 网络基础知识培训 计算机中心 2003.8.

朝阳区统计系统 网络基础知识培训 计算机中心
第五章 網際網路 5-1 網際網路的歷史沿革 5-2 網際網路基本運作原理 5-3 連線媒介與連線上網 5-4 網際網路上的熱門應用

第五章 網際網路 5-1 網際網路的歷史沿革 5-2 網際網路基本運作原理 5-3 連線媒介與連線上網 5-4 網際網路上的熱門應用
《网络基础与Internet应用》.

《网络基础与Internet应用》.
第 8 章 IP 基礎與定址.

第 8 章 IP 基礎與定址.
第6章 计算机网络基础 1.

第6章 计算机网络基础 1.
第 4 章 网络层.

第 4 章 网络层.
中国科学技术大学 肖 明 军 xiaomj@ustc.edu.cn 《网络信息安全》 中国科学技术大学 肖 明 军 xiaomj@ustc.edu.cn.

中国科学技术大学 肖 明 军 《网络信息安全》 中国科学技术大学 肖 明 军
因特网 TCP/IP协议 IP路由技术 Internet接入技术 Internet服务.

因特网 TCP/IP协议 IP路由技术 Internet接入技术 Internet服务.
实训十四、IE浏览器的基本应用.

实训十四、IE浏览器的基本应用.
网络协议及架构安全 培训机构名称 讲师名字.

网络协议及架构安全 培训机构名称 讲师名字.
第10章 局域网与Internet互联 RCNA_T010.

第10章 局域网与Internet互联 RCNA_T010.
第三章 管理信息系统的技术基础 主要内容: 数据处理 数据组织 数据库技术 4. 计算机网络.

第三章 管理信息系统的技术基础 主要内容: 数据处理 数据组织 数据库技术 4. 计算机网络.
电子商务的网络技术 德州学院计算机系.

电子商务的网络技术 德州学院计算机系.
数据转发过程.

数据转发过程.
网络实用技术基础 Internet技术及应用.

网络实用技术基础 Internet技术及应用.
安徽广播电视大学 组网技术与配置(第2版) 第8章 路由器的配置 汪本标.

安徽广播电视大学 组网技术与配置(第2版) 第8章 路由器的配置 汪本标.

Similar presentations

Ads by Google