访问控制列表配置

访问控制列配置 第十章 访问控制列表配置 教学目的: 1.了解访问控制列表的作用 2.了解访问控制列表与扩展访问列表的异同 3.掌握访问控制列表的原理 4.掌握访问列表的配置方法 : 1.访问列表 2.包过滤 3.流量控制 4.通配掩码 10.1 访问控制列表(access-list) 一、访问列表的作用 访问控制列表是在使用路由技术的网络中，识别和过滤进入到网络或发出去的符合规定条件的数据流量，以决定是否允许发送或丢弃数据流量。 访问控制是控制流量的一种方法，是实现防火墙的重要手段。 二、访问列表的应用 1. 在物理接口上应用访问控制列表实现流量控制。 2. 在虚拟终端线路接口(vty)应用访问控制列表，实现对登录用户的控制。 3. 还可以应用到队列技术、按需拨号、VPN、NAT等。 三、访问列表的工作流程 1. 进方向上的工作流程: 1 2. 出方向上的工作流程: 四、访问列表的控制条件 根据IP数据包中包含的信息，可以对数据包的源IP地址、目的IP地址、被路由的协议类型、数据要访问的端口等作为判断条件。 2 五、访问列表执行流程 访问控制列表实际上是一些列判断语句，被过滤的数据包会一个个和这些条件语句进行比较，当符合条件则执行操作(permit或deny );否则进行下一条件判断。 六、注意事项 1. 访问控制列表的列表号指出是哪种协议的访问控制列表。 即每种协议(IP、IPX等)定义一个访问控制列表。 2. 一个访问控制列表的配置是每协议、每接口、每方向的。 每种协议可以定义进出两个控制访问控制列表。 3. 访问控制列表的顺序决定了对数据包控制顺序。 4. 在访问控制列表最后，有一条隐含的“全部拒绝”命令，因此在控制列表里至 少有一条“允许”语句。 5. 访问控制列表只能过滤穿过路由器的数据流量，不能过滤路由器本身发出的数 据包。 10.2 访问控制列表分类 访问控制列表有两种类型:标准访问控制列表、扩展访问控制列表。 , 标准访问控制列表 判断条件是数据包的源IP地址，只能过滤来自某个网络或主机的数据包。 , 扩展访问控制列表 判断条件是数据包的源IP地址、目的IP地址、协议和数据要访问的端口。 10.3 访问控制列表配置方法 一、在相应的接口上应用访问控制列表 配置完标准或扩展访问列表后，再把列表绑定在路由器的某个端口上，就完成了访 3 问控制的配置。 进入到相应接口模式，然后采用以下命令: ip access-group access-list-number {in|out} 默认时是out，即出方向。Out表示在数据包出去的端口上进行检查，in表示在数据包进去的端口上进行检查。 二、 标准访问控制列表配置命令 在全局模式下配置。 , 命令 Access-list access-list-number {permit|deny} source [source-wildcard] 说明: access-list-number 访问控制列表号，标准为1~99，扩展为100~199 source 源IP地址 source-wildcard 通配符掩码，该掩码与子网掩码刚好相反，如掩码为:192.168.1.0 255.255.255.0 则通配符掩码写成:0.0.0.255。 特别的:0.0.0.0 255.255.255.255 写成any，把192.168.1.1 0.0.0.0写成host 192.168.1.1 (针对某一个主机)。 注:当有多条访问控制条件时，采用同一列表号进行多次定义即可。 , 举例 过滤ip地址为192.168.1.0、192.168.3.0网段发来的数据包，可以采用如下配置 access-list 2 deny 192.168.1.0 0.0.0.255 access-list 2 deny 192.168.3.0 0.0.0.255 access-list 2 permit any int f0/1 ip access-group 2 in 三、扩展访问控制列表配置命令 在全局模式下配置。 , 命令格式 Access-list access-list-number {permit|deny} protocol source [source-wildcard] [operator port] destination [destination-wildcard] [operator port] [established] 说明: protocol 协议 source [source-wildcard] 源IP地址及通配符掩码 destination [destination-wildcard] 目标IP地址及通配符掩码 operator port 端口号 eq 80(http) eq 23(telnet) eq 25(smtp) eq 110(pop3) 4 eq 20(ftp数据端口) eq21(ftp控制端口) 或eq http ?80 established 可以在拒绝数据包通过的方向上，让已经建立会话连接的TCP数据流 通过，因此常用于企业网内防止外部攻击，同时又可以正常地与internet连接。 , 举例 通过对路由器A的E1配置，使主机B(192.168.2.3)不能访问主机A(192.168.1.2)的 FTP功能，但其他可以访问。 Access-list 101 deny ip host 192.168.2.3 host 192.168.1.2 eq 20 Access-list 101 deny ip host 192.168.2.3 host 192.168.1.2 eq 21 Access-list 101 permit ip any any int E1 ip access-group 101 in 实现访问控制列表练习 一、虚拟场景 假设为了网络中访问的安全，要实现某些工作站不能访问特殊的工作站，请配置 R1，完成此任务。(可以将R2、R3、R4、R5看成4个网络) R1 R5R2R3R4 二、任务 并配置R1的访问控制列表，实现R2不能访问R4，R5不能访问R3，其余访问都允许。 5