101访问控制

访问控制列表ACL用途很广，很多方面都要用到ACL。1.实现网络的安全访问，对访问网络的流量进行过滤；2.网络地址转换(NAT)；3.QOS及策略路由。策略：要求1.1和1.2可以访问财务部(1.1和1.2是销售部经理),其他不允许访问财务.●标准访问控制列表:Router(config)#access-list编号策略源地址编号:标准访问控制列表范围.用1---99表示策略:permit允许|deny拒绝源地址:要严格检查的地址（IP+通配符掩码）通配符掩码-----是用来限定特定的地址范围（反掩码）用0表示严格匹配用1表示不检查（为了确定一个具体的主机地址是否匹配条件。路由器必须检查IP地址的每一位32比特。路由器是怎么知道要检查比特位是多少------通配符掩码）定义了我们要检查IP地址的位数。例如:对于主机172.16.1.1通配符掩码0.0.0.032位都要检查对于主网172.16.0.0/16通配符掩码0.0.255.255检查16位对于子网172.16.1.0/24通配符掩码0.0.0.25524位要检查任意的0.0.0.0通配符掩码255.255.255.255不检查主机----host172.16.1.1任意----any表示练习：192.168.1.64/28子网掩码：255.255.255.240网络号：192.168.1.64/28(借了4位.网络号是16的倍数)广播地址：192.168.1.79(下一个网络号-1)通配符掩码0.0.0.15(比较前28位)通配符掩码=255.255.255.255-子网掩码也称为反掩码将访问控制列表与接口关联：Router(config-if)#ipaccess-group编号{in|out}{in|out}表明在哪个方向上的数据进行控制策略：要求1.1和1.2可以访问财务部(1.1和1.2是销售部经理),其他不允许访问财务.1.写表:Router(config)#access-list1permithost172.16.1.1Router(config)#access-list1permit172.16.1.20.0.0.0(表示两台主机允许)Router(config)#access-list1denyany系统默认拒绝所有2.执行:Router(config)#interfacef0/0Router(config-if)#ipaccess-group1in访问控制列表的执行过程从上到下,逐条执行严格语句写在上面（范围最小的）如果:允许少-----先允许,后拒绝所有拒绝少-----先拒绝,后允许所有访问控制列表检查数据包的过程:从上到下，逐条执行。●扩展的访问控制列表标准访问控制列表只能根据源地址来检查数据包,它允许/拒绝的是整个TCP/IP协议集的数据.功能有限.扩展的访问控制列表可以根据源和目的地址,协议,源和目的端口等来检查数据包.更加灵活,条件细化.扩展的访问控制列表格式Router(config)#access-list编号策略协议源地址目的地址端口编号：扩展的访问控制列表范围用（100--199）表示策略：permit允许|deny拒绝协议：检查特定协议的数据包如TCPUDPICMP端口：协议的端口号ICMP协议3层网络控制消息协议（测试网络连通性）ECHOICMP请求ECHORepleyICMP应答TCP协议：HTTP80超文本传输协议（服务）FTP21文件传输协议SMTP25简单邮件传输协议(发送邮件)POP3110第三版邮局协议(接收邮件)TELNET23远程登录协议UDP协议:TFTP69简化的文件传输协议DNS53域名解析协议DHCP67动态主机配置协议SNMP161简单网络管理协议实验:要求:禁止1.61和1.62TelnetR2172.16.2.2允许其他流量.1.写表:eq=R1(config)#access-list100denytcphost172.16.1.61host172.16.2.2eq23R1(config)#access-list100denytcphost172.16.1.62host172.16.2.2eq23R1(config)#access-list100permitipanyany2.执行:R1(config)#interfaceE0R1(config-if)#ipaccess-group100in测试：1.61和1.62TelnetR2172.16.2.2不成功，但可以ping通2.2。1.60TelnetR2172.16.2.2成功，也可以ping通2.2说明：扩展的访问控制列表可以控制基于源/目的IP和端口。条件细化,非常灵活，在当前企业网络应用较为广泛。控制Telnet会话登录路由器有两种方法:●一种是通过本地控制台端口(CONSOLE)直接操作.●另一种是远程控制.在远程控制中最常用的方法Telnet,只要知道路由器的任意一个物理接口地址和Telnet口令,并且存在路由,就可以远程操作路由器.为了提高安全性,有时要对Telnet进行控制.一种是在物理线路上设置访问控制列表--------比较麻烦另一种方法是在Telnet使用的虚拟口(VTY0--4)上设置访问控制列表------比较简单配置Router(config)#access-list12permit192.168.1.600.0.0.0#access-list12permit192.168.1.610.0.0.0Router(config)#linevty04Router(config-line)#access-class12in标准访问列表和扩展访问列表比较标准扩展基于源地址基于源地址和目标地址允许和拒绝完整的TCP/IP协议指定TCP/IP的特定协议和端口号编号范围1-99编号范围100-199基于编号的访问列表的缺陷：R1(config)#access-list100denytcphost172.16.1.61host172.16.2.2eq23R1(config)#access-list100denytcphost172.16.1.62host172.16.2.2eq23R1(config)#access-list100permitipanyany(R1(config)#access-list100denyipanyany)不能单独删除某条语句R1(config)#noaccess-list100把access-list100删除后,重新写表.(不可以删除语句的)命名访问列表R(config)#ipaccess-liststandard/extendedr2-telnet标准扩展名字R1(config)#ipaccess-listextendedrichR1(config-ext-nacl)#denytcphost172.16.1.61host172.16.2.2eq23R1(config-ext-nacl)#denytcphost172.16.1.62host172.16.2.2eq23R1(config-ext-nacl)#permitipanyany(R1(config-ext-nacl)#denyipanyany)R1(config)#interfaceE0R1(config-if)#ipaccess-grouprichin可以删除某条语种：#nodenytcphost172.16.1.61host172.16.2.2eq23访问列表配置指南●访问列表的编号指明了使用何种类型的访问列表。●每个端口、每个方向、每种协议（TCP/IP或IPX）只能对应于一个访问列表。●具有严格限制条件的语句应放在访问列表所有语句的最上面。●在访问列表的最后有一条隐含声明：denyany－每一条正确的访问列表都至少应该有一条允许语句。标准：denyany扩展：denyipanyany●路由器不能过滤源自自身产生的流量,只能过滤穿越的流量或接收的流量.●尽可能及早滤掉不必要的流量。（优化网络）标准：靠近目标，防止阻断其它正常流量。R2:acc10deny192.168.1.0F0/1out扩展：靠近源，可以减少不必要的流量穿越网络。R1:acc100denyip192.168.1.00.0.0.255192.168.4.00.0.0.255f0/0in例：禁止1.0访问4.0。用在TELNET会话的访问控制列表为标准访问控制列表