ACL配置步骤

svsd001
12 ℃
2020-02-02

整理文档很辛苦，赏杯茶钱您下走！

还剩 ... 页未读，继续阅读 >>

免费阅读已结束，点击下载阅读编辑剩下 ... 页

阅读已结束，您可以下载文档离线阅读编辑

资源描述

网络互联技术计算机网络技术专业2014.4第七章访问控制列表教学目标：1、ACL的概念2、ACL的工作原理3、ACL的配置4、ACL的应用举例职业技能教学点：1、掌握ACL的标准配置格式2、掌握ACL的扩展配置格式3、能根据要求创建合理的ACLA、安全控制：允许一些符合匹配准则的数据包通过路由器，而拒绝其他的数据包，从而为网络提供安全访问的功能B、流量过虑：可以拒绝一些不必要的数据包通过网络，以提高带宽的利用变幻无常C、流量标识：许多在路由器上的网络应用都要依靠ACL才能完成任务，所以大多都要用到ACL的标识一、ACL的作用二、ACL的工作原理1、路由器对数据包的处理情况A、当收到数据包时，首先检查是否有进站访问控制列表与接口相关联，如果没有正常进入，有则执行(允许或拒B、路由器对通过ACL的数据包执行路由选择，路由表中没有目标地址则丢包，有则转发C、数据包到达路由器的出口时，路由器检查是否有出站ACL与此接口相关联，没有直接把数据包转发，有则执行ACL2、ACL的执行顺序ACL对每个数据包都是按照自上而下的顺序进行匹配。如果第一个匹配则执行ACL，否则继续检测列表中的下一条语句3、隐式拒绝一切和显示允许一切A、当一个数据包对所有语句都一匹配时，路由器自动丢包(路由器在每人ACL后都自动加了拒绝一切的语句，即自动加入了denyany语句)B、可以在ACL后面加permitany语句来显示允许一切数据包通过二、ACL的工作原理二、ACL的工作原理4、TCP/IP访问控制列表A、TCP/IP访问控制列表对数据包的第三层和第四层信息进行检测B、利用给定的一个网段进行比较例子：例：只允许192.168.1.1通过，则表示成permit192.168.1.10.0.0.0或者用host来取代检查所有的位。(permithost192.168.1.1)例：只允许172.168.1.0通过，则表示成permit172.168.1.00.0.0.255例：不允许173.16.0.0通过，则表示成deny173.16.0.00.0.255.255三、TCP/IP访问控制列表的配置1、IP访问控制列表可以分为以下两大类：A、标准IPACL：只对数据包的源IP地址进行检查(号码范围为1-99)B、扩展IPACL：对数据包的源和目标IP地址、源和目标端口号等进行检查，因此可以对FTP、TELNET、SNMP等协议进行控制(号码范围为100-199)2、标准IPACL配置：格式：access-listaccess-list-number{deny|permit}source-address[source-wildcard]access-list-number:ACL的号码(1-99){deny|permit}：拒绝或允许source-address：数据包的源地址，可以是某个网络、某个子网、某个主机[source-wildcard]：数据包的源地址的通配符掩码(0.0.0.255等)三、TCP/IP访问控制列表的配置3、扩展IPACL配置：格式：access-listaccess-list-number{deny|permit}protocolsource-addresssource-wildcard[operatorport]destination-addressdestination-wildcard[operatorport][established][log]access-list-number：ACL号码，扩展IP的编号为100-199protocol:数据包所采用的协议，它可以是IP、TCP、UDP、IGMP等operator：指定逻辑操作：eq(等于)neq(不等于)gt(大于)lt(小于)range(范围)port：指明被匹配的应用层端口，telnet为23、FTP为20和21destination-address：源地址三、TCP/IP访问控制列表的配置4、命名IP访问控制列表：用一个字符串来代替ACL的列表号，优点是便于管理，在IOS11.2以上版本才支持格式：ipaccess-list{standard|extended}name例：ipaccess-liststandardsystemlist5、调用IP访问控制列表在路由器接口上调用列表时，还需要注意是进站还是出站格式：ipaccess-groupaccess-list-number{in/out}还有一种调用是用来控制路由器虚拟终端的会话：格式：access-classaccess-list-number{in/out}四、ACL应用192.168.1.1172.16.1.1173.16.1.1Rt_ARt_BF0/1S0/0(Dec)S0/1F0/0192.168.1.2172.16.1.2172.16.1.3173.16.1.3Webserver173.16.1.2FTPserver1、路由器A的配置：Inte0Ipaddress172.16.1.1255.255.255.0NoshutdownExitInts0Ipaddr192.168.1.1255.255.255.0Clockrate64000NoshutdownExitIproute193.16.1.0255.255.255.0s0四、ACL应用192.168.1.1172.16.1.1173.16.1.1Rt_ARt_BF0/1S0/0(Dec)S0/1F0/0192.168.1.2172.16.1.2172.16.1.3173.16.1.3Webserver173.16.1.2FTPserver2、路由器B的配置：Inte0Ipaddr193.16.1.1255.255.255.0NoshutExitInts0Ipaddr192.168.1.2255.255.255.0NoshutExitIproute172.16.1.0255.255.255.0s0四、ACL应用192.168.1.1172.16.1.1173.16.1.1Rt_ARt_BF0/1S0/0(Dec)S0/1F0/0192.168.1.2172.16.1.2172.16.1.3173.16.1.3Webserver173.16.1.2FTPserver3、ACL应用实例1例：禁止172.16.1.2访问173.16.1.0网络的所有资源(config)#Access-list1denyhost172.16.1.2//拒绝主机172.16.1.2的访问，是标准ACL(config)#access-list1permitany//允许其他主机访问(config)#inte0(config-if)#ipaccess-group1out//将访问控制列表1设置为出站列表在B路由器上启用debugippacket来查看路由信息利用showipinte0命令显示e0端口的信息利用showaccess-list命令显示访问控制表表的信息利用noipaccess-group1out命令删除对ACL的调用四、ACL应用192.168.1.1172.16.1.1173.16.1.1Rt_ARt_BF0/1S0/0(Dec)S0/1F0/0192.168.1.2172.16.1.2172.16.1.3173.16.1.3Webserver173.16.1.2FTPserver4、ACL应用实例2例：只允许172.16.1.3主机访问173.16.1.0网络，同时不允许172.16.1.0网络的其他任何主机访问Access-list2permithost172.16.1.3Access-list2deny172.16.1.00.0.0.255Access-list2permitanyInte0Ipaccess-group2out四、ACL应用192.168.1.1172.16.1.1173.16.1.1Rt_ARt_BF0/1S0/0(Dec)S0/1F0/0192.168.1.2172.16.1.2172.16.1.3173.16.1.3Webserver173.16.1.2FTPserver5、ACL应用实例3例：只允许172.16.1.0网络中的172.16.1.3telnet到路由器B，同时对其他网络的主机不进行过滤操作Linevty04PasswordciscoAccess-class2inLogin四、ACL应用192.168.1.1172.16.1.1173.16.1.1Rt_ARt_BF0/1S0/0(Dec)S0/1F0/0192.168.1.2172.16.1.2172.16.1.3173.16.1.3Webserver173.16.1.2FTPserver6、ACL应用实例4拒绝主机172.16.1.2到FTP服务器173.16.1.2的FTP数据流量。本例中使用的是扩展ACL，应当尽量地接近源网络，同时为了节省路由器的CPU资源，最好将列表定义为进站表。在前面的例子中，删除B的E0口上加载的ACL，然后到A进行配置RouterA(config)#access-list101denytcphost172.16.1.2host173.16.2eq21RouterA(config)#access-list101denytcphost172.16.1.2host173.16.2eq20RouterA(config)#access-list101permitipanyanyRouterA(config)#Inte0RouterA(config-if)#ipaccess-group101in四、ACL应用192.168.1.1172.16.1.1173.16.1.1Rt_ARt_BF0/1S0/0(Dec)S0/1F0/0192.168.1.2172.16.1.2172.16.1.3173.16.1.3Webserver173.16.1.2FTPserver7、ACL采用命名访问列表的应用例：RouterB(config)#ipaccess-liststandardcisco//配置名为cisco的列表RouterB(config-std-nacl)#denyhost172.16.1.2RouterB(config-std-nacl)#permitanyRouterB(config-std-nacl)#ExitRouterB(config)#Inte0RouterB(config-if)#ipaccess-groupciscoout四、ACL应用8、用ACL来抵挡冲击波病毒Access-list110denyudpanyanyeq69//禁止使用TFTPAccess-list110denytcpanyanyeq135//防止W32.Blaster病毒Access-list110denyudpanyanyeq135//防止W32.Blaster病毒Access-list110denyudpanyanyeq137//防止冲击波病毒Access-list110denyudpanyanyeq138//防止冲击波病毒Access-list110denytcpanyanyeq139//防止冲击波病毒Access-list110denyudpanyanyeq139//防止冲击波病毒Access-list110denytcpanyanyeq445//防止冲击波病毒Access-list110denytcpanyanyeq593//防止冲击波病毒Access-list110denytcpanyanyeq4444//防止远程访问W32.Blaster病毒Access-list110permitipanyany//允许其他的数据通过Ipaccess-group110in//加入到设备的进站口Ipaccess-group110out//加入到设备的出站口1、ACL的概念2、ACL工作原理3、ACL的配置4、ACL的应用小结