05访问控制列表

1395460
4 ℃
2020-01-30

整理文档很辛苦，赏杯茶钱您下走！

还剩 ... 页未读，继续阅读 >>

免费阅读已结束，点击下载阅读编辑剩下 ... 页

阅读已结束，您可以下载文档离线阅读编辑

资源描述

访问控制列表第五章完成本章的学习后,您可以完成下面的任务：•配置基本及扩展的访问控制列表•监视访问控制列表的操作目标访问控制列表概述为什么使用访问控制列表TokenRingFDDI172.16.0.0172.17.0.0Internet•以信息包作为检测流量的单位为什么使用访问控制列表（续）•采用访问控制列表为DDR路由定义“感性趣的包”PacketArrivesS0MakeDDRcallforthistraffic?PublicSwitchedTelephoneNetwork•标准访问控制列表–只根据地址进行转发–往往拒绝或允许整个协议族的包•扩展访问控制列表–可根据复杂的地址类型进行包的过滤–可根据具体的协议进行过滤什么是访问控制?OptionalDialerOutgoingPacketE0S0IncomingPacketAccessListProcessesPermit?SourceandDestinationProtocol访问控制列表是怎样工作的UnwantedPacketInboundInterfaceOutboundInterfacesPacketsPacketDiscardBucketPacketPacketTestAccessListStatementsPermit?YNChooseInterfaceNYAccessList?YNNotifySenderRoutingTableEntry?MatchFirstTest?PacketstoInterface(s)intheAccessGroupPacketDiscardBucketYInterface(s)DestinationDenyDenyPermitYMatchNextTest(s)?NPermitYDenyYYNPermitDenyMatchLastTest?YNImplicitDeny包被拒绝或允许的过程第一步:设定访问控制列表的参数access-listaccess-list-number{permit|deny}{testconditions}Router(config)#第二步:指定访问控制列表的作用范围{protocol}access-groupaccess-list-number[in|out]Router(config-if)#访问控制列表命令一览•访问控制列表用编号进行区分NumberRange/IdentifierIP1-99100-199Named(CiscoIOS11.2andlater)怎样识别访问控制列表•列表号代表了所应用的协议及类型•其它的协议使用剩余的列表号800-899900-9991000-1099Named(CiscoIOS11.2.Fandlater)StandardExtendedSAPfiltersStandardExtendedAccessListType600-699IPXAppleTalkTCP/IP访问控制列表用访问控制列表对信息包进行检测Segment(forexample,TCPheader)DataPacket(IPheader)FrameHeader(forexample,HDLC)DestinationAddressSourceAddressProtocolPortNumberUseaccessliststatements1-99or100-199totestthepacketDenyPermit一个TCP/IP包的构成•标准访问控制列表（1-99）只检测信息包的源IP地址•扩展访问控制列表可对下面的条件进行检测–源及目的IP地址–特定的TCP/IP协议族–目的端口号•反向地址掩码用于地址匹配(0代表检测，1代表忽略)访问控制列表的主要概念•0代表检测相应位的bit值•1代表忽略相应位的bit值donotcheckaddress(ignorebitsinoctet)=001111111286432168421=00000000=00001111=11111100=11111111Octetbitpositionandaddressvalueforbitignorelast6addressbitscheckalladdressbits(matchall)ignorelast4addressbitschecklast2addressbitsExamples怎样使用反向地址掩码IPaccesslisttestconditions:CheckforIPsubnets172.30.16.0to172.30.31.0network.host172.30.16.0000001111checkignore00010000Wildcardmasktomatchbits:怎样使用反向地址掩码（续）•地址和反向掩码分别为:172.30.16.00.0.15.255•0.0.0.0255.255.255.255表示允许任何地址;可简写为anyTestconditions:Ignorealltheaddressbits(matchany)0.0.0.0255.255.255.255(ignoreall)AnyIPaddressWildcardmask:如何与任何IP地址匹配•172.30.16.290.0.0.0代表检查地址的所有bit位•简化的写法是hostTestconditions:Checkalltheaddressbits(matchall)172.30.16.290.0.0.0(checkallbits)AnIPhostaddress,forexample:Wildcardmask:如何与一个主机的IP地址匹配access-listaccess-list-number{permit|deny}source[source-mask]Router(config)#•指定列表的作用范围Router(config-if)#ipaccess-groupaccess-list-number{in|out}配置标准访问控制列表•设定相应的参数•列表号从1到99标准访问控制列表举例1•只允许内部的网段172.16.3.0172.16.4.0172.16.4.13E0S0E1Non-172.16.0.0access-list1permit172.16.0.00.0.255.255(implicitdenyall-notvisibleinthelist)(access-list1deny0.0.0.0255.255.255.255)interfaceethernet0ipaccess-group1outinterfaceethernet1ipaccess-group1out标准访问控制列表举例2•拒绝一个特定的主机access-list1deny172.16.4.130.0.0.0access-list1permit0.0.0.0255.255.255.255(implicitdenyall)(access-list1deny0.0.0.0255.255.255.255)interfaceethernet0ipaccess-group1out172.16.3.0172.16.4.0172.16.4.13E0S0E1Non-172.16.0.0access-list1deny172.16.4.00.0.0.255access-list1permitany(implicitdenyall)(access-list1deny0.0.0.0255.255.255.255)interfaceethernet0ipaccess-group1out标准访问控制列表举例3•拒绝一个特定的子网172.16.3.0172.16.4.0172.16.4.13E0S0E1Non-172.16.0.0•提供更多的过滤条件–检查源及目的IP地址–可指定具体的IP协议及其端口号–列表号从100到199扩展的访问控制列表access-listaccess-list-number{permit|deny}protocolsourcesource-maskdestinationdestination-mask[operatoroperand][established]Router(config)#ipaccess-groupaccess-list-number{in|out}配置扩展的访问控制列表•设定相应的参数•列表号从100到199•指定列表的作用范围access-list101denytcp172.16.4.00.0.0.255172.16.3.00.0.0.255eq21access-list101denytcp172.16.4.00.0.0.255172.16.3.00.0.0.255eq20access-list101permitip172.16.4.00.0.0.2550.0.0.0255.255.255.255(implicitdenyall)(access-list101denyip0.0.0.0255.255.255.2550.0.0.0255.255.255.255)interfaceethernet0ipaccess-group101out扩展访问控制列表举例1•从E0出端口时拒绝FTP的包172.16.3.0172.16.4.0172.16.4.13E0S0E1Non-172.16.0.0access-list101denytcp172.16.4.00.0.0.255anyeq23access-list101permitipanyany(implicitdenyall)interfaceethernet0ipaccess-group101out扩展访问控制列表举例2•只拒绝从E0端口telnet出去•允许其它的流量172.16.3.0172.16.4.0172.16.4.13E0S0E1Non-172.16.0.0Router(config)#ipaccess-list{standard|extended}name{permit|deny}{ipaccesslisttestconditions}{permit|deny}{ipaccesslisttestconditions}no{permit|deny}{ipaccesslisttestconditions}Router(config{std-|ext-}nacl)#ipaccess-group{name|1-199{in|out}}Router(config-if)#使用以名字表示的控制列表•CiscoIOS11.2及以后的版本支持•不同的列表不能使用相同的名字•Permit或deny的语句不需要带列表号•用“no”可以简单的删除一条列表匹配项•指定列表的作用范围IP访问控制列表应设置在哪里•标准的控制列表设置得离目的越近越好•扩展的控制列表设置得离源越近越好E0E0E1S0To0S1S0S1E0E0TokenRingBACC如何检验访问控制列表Router#showipinterfaceEthernet0isup,lineprotocolisupInternetaddressis192.54.222.2,subnetmaskis255.255.255.0Broadcastaddressis255.255.255.255Addressdeterminedbynon-volatilememoryMTUis1500bytesHelperaddressis192.52.71.4Secondaryaddress131.192.115.2,subnetmask255.255.255.0Outgoingaccesslist10issetInboundaccesslistisnotsetProxyARPisenabledSecuritylevelisdefaultSplithorizonisenabledICMPredirectsarealwayssentICMPunreacha