第12章 IP访问控制列表nullnull第十二章 IP访问控制列表本章目标本章目标通过本章的学习,您应该掌握以下内容:
掌握访问列表的分类:标准ACL,扩展ACL.
知道标准ACL和扩展ACL的区别.
使用标准ACL来限制远程访问.
为什么要使用访问列表为什么要使用访问列表管理网络中逐步增长的 IP 数据
当数据通过路由器时进行过滤ACL的应用:过滤ACL的应用:过滤允许、拒绝数据包通过路由器
允许、拒绝Telnet会话的建立
没有设置ACL时,所有的数据包都可以在网络上传输虚拟会话 (IP)端口上的数据传输ACL的其它应用ACL的其它应用基于数据包...
nullnull第十二章 IP访问控制列表本章目标本章目标通过本章的学习,您应该掌握以下内容:
掌握访问列表的分类:标准ACL,扩展ACL.
知道标准ACL和扩展ACL的区别.
使用标准ACL来限制远程访问.
为什么要使用访问列表为什么要使用访问列表管理网络中逐步增长的 IP 数据
当数据通过路由器时进行过滤ACL的应用:过滤ACL的应用:过滤允许、拒绝数据包通过路由器
允许、拒绝Telnet会话的建立
没有设置ACL时,所有的数据包都可以在网络上传输虚拟会话 (IP)端口上的数据传输ACL的其它应用ACL的其它应用基于数据包检测的特殊数据通讯应用出端口方向上的访问列表 出端口方向上的访问列表 Inbound Interface
Packets
NYPacket Discard BucketChoose
Interface NAccess
List ?Routing
Table Entry ?YOutbound InterfacesPacketS0出端口方向上的访问列表出端口方向上的访问列表Outbound InterfacesPacketNYPacket Discard BucketChoose
Interface Routing
Table Entry ?NPacketTest
Access List
StatementsPermit ?YAccess
List ?YS0S0Inbound Interface
Packets
出端口方向上的访问列表出端口方向上的访问列表Notify SenderIf no access list statement matches then discard the packet NYPacket Discard BucketChoose
Interface Routing
Table Entry ?NYTest
Access List
StatementsPermit ?YAccess
List ?Discard PacketNOutbound InterfacesPacketPacketS0S0Inbound Interface
Packets
访问列表的测试:允许和拒绝访问列表的测试:允许和拒绝Packets to interfaces
in the access groupPacket Discard
BucketYInterface(s)DestinationDenyDenyYMatch
First
Test
?Permit访问列表的测试:允许和拒绝访问列表的测试:允许和拒绝Packets to Interface(s)
in the Access GroupPacket Discard
BucketYInterface(s)DestinationDenyDenyYMatch
First
Test
?PermitNDenyPermitMatch
Next
Test(s)
?YY访问列表的测试:允许和拒绝访问列表的测试:允许和拒绝Packets to Interface(s)
in the Access GroupPacket Discard
BucketYInterface(s)DestinationDenyDenyYMatch
First
Test
?PermitNDenyPermitMatch
Next
Test(s)
?DenyMatch
Last
Test ?YYNYYPermit访问列表的测试:允许和拒绝访问列表的测试:允许和拒绝Packets to Interface(s)
in the Access GroupPacket Discard
BucketYInterface(s)DestinationDenyYMatch
First
Test
?PermitNDenyPermitMatch
Next
Test(s)
?DenyMatch
Last
Test ?YYNYYPermitImplicit
DenyIf no match
deny allDenyNACL的分类ACL的分类标准
检查源IP地址
通常允许、拒绝的是完整的
扩展
检查源地址和目的地址
通常允许、拒绝的是某个特定的协议
基于命名的ACL
基于编号的ACL
ACL的分类ACL的分类基于编号的标准ACL的范围是1-99 和1300-1999.
基于编号的扩展ACL的范围是100-199 和 2000-2699.
访问列表配置指南访问列表配置指南访问列表的编号指明了使用何种类型的访问列表
每个端口的每个方向上只能对应于一条访问列表
访问列表的内容决定了数据的控制顺序
具有严格限制条件的语句应放在访问列表所有语句的最上面
在访问列表的最后有一条隐含声明:deny any 每一条正确的访问列表都至少应该有一条允许语句
先创建访问列表,然后应用到端口上
访问列表不能过滤由路由器自己产生的数据通配符掩码指明特定的主机通配符掩码指明特定的主机例如 172.30.16.29 0.0.0.0 检查所有的地址位
可以简写为 host (host 172.30.16.29)Test conditions: Check all the address bits (match all) 172.30.16.29 0.0.0.0(checks all bits)An IP host address, for example:Wildcard mask:通配符掩码指明所有主机通配符掩码指明所有主机所有主机: 0.0.0.0 255.255.255.255
可以用 any 简写Test conditions: Ignore all the address bits (match any)0.0.0.0 255.255.255.255(ignore all)Any IP addressWildcard mask:访问列表设置命令访问列表设置命令Step 1: 设置访问列表测试语句的参数 access-list access-list-number { permit | deny } { test conditions }Router(config)#访问列表设置命令访问列表设置命令Step 1:设置访问列表测试语句的参数Router(config)#Step 2: 在端口上应用访问列表 { protocol } access-group access-list-number { in | out } Router(config-if)# access-list access-list-number { permit | deny } { test conditions }标准IP访问列表的配置标准IP访问列表的配置access-list access-list-number {permit|deny} source [mask]Router(config)#为访问列表设置参数
IP 标准访问列表编号 1 到 99
缺省的通配符掩码 = 0.0.0.0
“no access-list access-list-number” 命令删除访问列表标准IP访问列表的配置标准IP访问列表的配置access-list access-list-number {permit|deny} source [mask]Router(config)#在端口上应用访问列表
指明是进方向还是出方向
缺省 = 出方向
“no ip access-group access-list-number” 命令在端口上删除访问列表Router(config-if)#ip access-group access-list-number { in | out }为访问列表设置参数
IP 标准访问列表编号 1 到 99
缺省的通配符掩码 = 0.0.0.0
“no access-list access-list-number” 命令删除访问列表标准访问列表举例 1标准访问列表举例 1Permit my network onlyRouterX(config)# access-list 1 permit 172.16.0.0 0.0.255.255
(implicit deny all - not visible in the list)
(access-list 1 deny 0.0.0.0 255.255.255.255)
RouterX(config)# interface ethernet 0
RouterX(config-if)# ip access-group 1 out
RouterX(config)# interface ethernet 1
RouterX(config-if)# ip access-group 1 out标准访问列表举例 2标准访问列表举例 2Deny a specific hostRouterX(config)# access-list 1 deny 172.16.4.13 0.0.0.0
RouterX(config)# access-list 1 permit 0.0.0.0 255.255.255.255
(implicit deny all)
(access-list 1 deny 0.0.0.0 255.255.255.255)
RouterX(config)# interface ethernet 0
RouterX(config-if)# ip access-group 1 out在路由器上过滤vty在路由器上过滤vty五个虚拟通道 (0 到 4)
路由器的vty端口可以过滤数据
在路由器上执行vty访问的控制01234Virtual ports (vty 0 through 4)Physical port e0 (Telnet)Console port (direct connect)consolee0如何控制vty访问如何控制vty访问01234Virtual ports (vty 0 through 4)Physical port (e0) (Telnet)使用标准访问列表语句
用 access-class 命令应用访问列表
在所有vty通道上设置相同的限制条件Router#e0虚拟通道的配置虚拟通道的配置指明vty通道的范围在访问列表里指明方向access-class access-list-number {in | out}line vty# { vty # | vty-range}Router(config)#Router(config-line)#虚拟通道访问举例虚拟通道访问举例只允许网络192.89.55.0 内的主机连接路由器的 vty 通道access-list 12 permit 192.89.55.0 0.0.0.255
!
line vty 0 4
access-class 12 inControlling Inbound Access扩展访问列表的配置扩展访问列表的配置Router(config)#设置访问列表的参数access-list access-list-number { permit | deny } protocol source source-wildcard [operator port] destination destination-wildcard [ operator port ] [ established ] [log]扩展 IP 访问列表的配置扩展 IP 访问列表的配置Router(config-if)# ip access-group access-list-number { in | out }在端口上应用访问列表Router(config)#设置访问列表的参数access-list access-list-number { permit | deny } protocol source source-wildcard [operator port] destination destination-wildcard [ operator port ] [ established ] [log]扩展访问列表应用举例1 扩展访问列表应用举例1 RouterX(config)# access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 21
RouterX(config)# access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 20
RouterX(config)# access-list 101 permit ip any any
(implicit deny all)
(access-list 101 deny ip 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255)
RouterX(config)# interface ethernet 0
RouterX(config-if)# ip access-group 101 outDeny FTP traffic from subnet 172.16.4.0 to subnet 172.16.3.0 out E0
Permit all other traffic扩展访问列表应用举例2 扩展访问列表应用举例2 RouterX(config)# access-list 101 deny tcp 172.16.4.0 0.0.0.255 any eq 23
RouterX(config)# access-list 101 permit ip any any
(implicit deny all)
RouterX(config)# interface ethernet 0
RouterX(config-if)# ip access-group 101 outDeny only Telnet traffic from subnet 172.16.4.0 out E0
Permit all other traffic查看访问列表查看访问列表wg_ro_a#show ip int e0
Ethernet0 is up, line protocol is up
Internet address is 10.1.1.11/24
Broadcast address is 255.255.255.255
Address determined by setup command
MTU is 1500 bytes
Helper address is not set
Directed broadcast forwarding is disabled
Outgoing access list is not set
Inbound access list is 1
Proxy ARP is enabled
Security level is default
Split horizon is enabled
ICMP redirects are always sent
ICMP unreachables are always sent
ICMP mask replies are never sent
IP fast switching is enabled
IP fast switching on the same interface is disabled
IP Feature Fast switching turbo vector
IP multicast fast switching is enabled
IP multicast distributed fast switching is disabled
查看访问列表的语句查看访问列表的语句wg_ro_a#show access-lists
Standard IP access list 1
permit 10.2.2.1
permit 10.3.3.1
permit 10.4.4.1
permit 10.5.5.1
Extended IP access list 101
permit tcp host 10.22.22.1 any eq telnet
permit tcp host 10.33.33.1 any eq ftp
permit tcp host 10.44.44.1 any eq ftp-datawg_ro_a#show access-lists {access-list number} 本章总结本章总结访问列表的分类:标准ACL,扩展ACL.
标准ACL和扩展ACL的区别.
使用标准ACL来限制远程访问.
本文档为【第12章 IP访问控制列表】,请使用软件OFFICE或WPS软件打开。作品中的文字与图均可以修改和编辑,
图片更改请在作品中右键图片并更换,文字修改请直接点击文字进行修改,也可以新增和删除文档中的内容。
[版权声明] 本站所有资料为用户分享产生,若发现您的权利被侵害,请联系客服邮件isharekefu@iask.cn,我们尽快处理。
本作品所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用。
网站提供的党政主题相关内容(国旗、国徽、党徽..)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。