访问控制列表配置
第十章 访问控制列表配置
教学目的:
1.了解访问控制列表的作用
2.了解
标准
excel标准偏差excel标准偏差函数exl标准差函数国标检验抽样标准表免费下载红头文件格式标准下载
访问控制列表与扩展访问列表的异同
3.掌握访问控制列表的原理
4.掌握访问列表的配置方法
知识点
高中化学知识点免费下载体育概论知识点下载名人传知识点免费下载线性代数知识点汇总下载高中化学知识点免费下载
:
1.访问列表
2.包过滤
3.流量控制
4.通配掩码
10.1 访问控制列表(access-list)
一、访问列表的作用
访问控制列表是在使用路由技术的网络中,识别和过滤进入到网络或发出去的符合规定条件的数据流量,以决定是否允许发送或丢弃数据流量。
访问控制是控制流量的一种方法,是实现防火墙的重要手段。
二、访问列表的应用
1. 在物理接口上应用访问控制列表实现流量控制。
2. 在虚拟终端线路接口(vty)应用访问控制列表,实现对登录用户的控制。
3. 还可以应用到队列技术、按需拨号、VPN、NAT等。
三、访问列表的工作流程
1. 进方向上的工作流程:
1
2. 出方向上的工作流程:
四、访问列表的控制条件
根据IP数据包中包含的信息,可以对数据包的源IP地址、目的IP地址、被路由的
协议
离婚协议模板下载合伙人协议 下载渠道分销协议免费下载敬业协议下载授课协议下载
类型、数据要访问的端口等作为判断条件。
2
五、访问列表执行流程
访问控制列表实际上是一些列判断语句,被过滤的数据包会一个个和这些条件语句进行比较,当符合条件则执行操作(permit或deny );否则进行下一条件判断。
六、注意事项
1. 访问控制列表的列表号指出是哪种协议的访问控制列表。
即每种协议(IP、IPX等)定义一个访问控制列表。
2. 一个访问控制列表的配置是每协议、每接口、每方向的。
每种协议可以定义进出两个控制访问控制列表。
3. 访问控制列表的顺序决定了对数据包控制顺序。
4. 在访问控制列表最后,有一条隐含的“全部拒绝”命令,因此在控制列表里至
少有一条“允许”语句。
5. 访问控制列表只能过滤穿过路由器的数据流量,不能过滤路由器本身发出的数
据包。
10.2 访问控制列表分类
访问控制列表有两种类型:标准访问控制列表、扩展访问控制列表。 , 标准访问控制列表
判断条件是数据包的源IP地址,只能过滤来自某个网络或主机的数据包。 , 扩展访问控制列表
判断条件是数据包的源IP地址、目的IP地址、协议和数据要访问的端口。
10.3 访问控制列表配置方法
一、在相应的接口上应用访问控制列表
配置完标准或扩展访问列表后,再把列表绑定在路由器的某个端口上,就完成了访问控制的配置。
进入到相应接口模式,然后采用以下命令:
ip access-group access-list-number {in|out}
默认时是out,即出方向。Out表示在数据包出去的端口上进行检查,in表示在数据
3
包进去的端口上进行检查。
二、 标准访问控制列表配置命令
在全局模式下配置。
, 命令格式
Access-list access-list-number {permit|deny} source [source-wildcard]
说明:
access-list-number 访问控制列表号,标准为1~99,扩展为100~199
source 源IP地址
source-wildcard 通配符掩码,该掩码与子网掩码刚好相反,如掩码为:192.168.1.0
255.255.255.0 则通配符掩码写成:0.0.0.255。
特别的:0.0.0.0 255.255.255.255 写成any,把192.168.1.1 0.0.0.0写成host 192.168.1.1
(针对某一个主机)。
注:当有多条访问控制条件时,采用同一列表号进行多次定义即可。 , 举例
过滤ip地址为192.168.1.0、192.168.3.0网段发来的数据包,可以采用如下配置
access-list 2 deny 192.168.1.0 0.0.0.255
access-list 2 deny 192.168.3.0 0.0.0.255
access-list 2 permit any
int f0/1
ip access-group 2 in
三、扩展访问控制列表配置命令
在全局模式下配置。
, 命令格式
Access-list access-list-number {permit|deny} protocol source [source-wildcard]
[operator port] destination [destination-wildcard] [operator port] [established]
说明:
protocol 协议
source [source-wildcard] 源IP地址及通配符掩码
destination [destination-wildcard] 目标IP地址及通配符掩码
operator port 端口号 eq 80(http) eq 23(telnet) eq 25(smtp) eq 110(pop3)
eq 20(ftp数据端口) eq21(ftp控制端口) 或eq http ?80
established 可以在拒绝数据包通过的方向上,让已经建立会话连接的TCP数据流
通过,因此常用于企业网内防止外部攻击,同时又可以正常地与internet连接。 , 举例
通过对路由器A的E1配置,使主机B(192.168.2.3)不能访问主机A(192.168.1.2)的
FTP功能,但其他可以访问。
4
Access-list 101 deny ip host 192.168.2.3 host 192.168.1.2 eq 20
Access-list 101 deny ip host 192.168.2.3 host 192.168.1.2 eq 21
Access-list 101 permit ip any any
int E1
ip access-group 101 in
实现访问控制列表练习
一、虚拟场景
假设为了网络中访问的安全,要实现某些工作站不能访问特殊的工作站,请配置R1,完成此任务。(可以将R2、R3、R4、R5看成4个网络)
R1
R5R2R3R4
二、任务
设计并配置R1的访问控制列表,实现R2不能访问R4,R5不能访问R3,其余访问
都允许。
5
6