实训指导CISCO访问控制列表.pptx

《实训指导CISCO访问控制列表.pptx》由会员分享，可在线阅读，更多相关《实训指导CISCO访问控制列表.pptx（39页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

1、实训指导实训指导CISCO访问控制列表访问控制列表内容介绍为什么要使用访问列表1配置标准 ACLs2配置扩展 ACLs3配置命名 ACLs4ACL配置注意点5几种配置实例6第1页/共38页1 1、为什么要使用访问列表为什么要使用访问列表第2页/共38页172.16.0.0172.17.0.0Internet为什么要使用访问列表l l管理网络中逐步增长的管理网络中逐步增长的管理网络中逐步增长的管理网络中逐步增长的 IP IP 数据数据数据数据l l当数据通过路由器时进行过滤当数据通过路由器时进行过滤当数据通过路由器时进行过滤当数据通过路由器时进行过滤第3页/共38页访问列表的应用l l允许、拒绝

2、数据包通过路由器允许、拒绝数据包通过路由器允许、拒绝数据包通过路由器允许、拒绝数据包通过路由器l l允许、拒绝允许、拒绝允许、拒绝允许、拒绝TelnetTelnet会话的建立会话的建立会话的建立会话的建立l l没有设置访问列表时，所有的数据包都会在网络上传输没有设置访问列表时，所有的数据包都会在网络上传输没有设置访问列表时，所有的数据包都会在网络上传输没有设置访问列表时，所有的数据包都会在网络上传输虚拟会话虚拟会话(IP)端口上的数据传输端口上的数据传输第4页/共38页 数据包过滤当数据包到达过滤数据包的路由器时，路由器会从数据包报头中提取某些信当数据包到达过滤数据包的路由器时，路由器会从数据

3、包报头中提取某些信息，根据过滤规则决定该数据包是应该通过还是应该丢弃息，根据过滤规则决定该数据包是应该通过还是应该丢弃.ACL ACL 可以从数据包报头中提取以下信息，根据规则进行测试，然后决定是可以从数据包报头中提取以下信息，根据规则进行测试，然后决定是“允许允许”还是还是“拒绝拒绝”：l l源源 IP IP 地址地址l l目的目的 IP IP 地址地址l lICMP ICMP 消息类型消息类型ACL ACL 也可以提取上层信息并根据规则对其进行测试。上层信息包括：也可以提取上层信息并根据规则对其进行测试。上层信息包括：l l TCP/UDP TCP/UDP 源端口源端口l lTCP/UDP

4、 TCP/UDP 目的端口目的端口第5页/共38页数据包过滤第6页/共38页ACL 工作原理ACL 工作原理ACL 要么配置用于入站流量，要么用于出站流量.入站 ACL 传入数据包经过处理之后才会被路由到出站接口。入站 ACL 非常高效，如果数据包被丢弃，则节省了执行路由查找的开销。当测试表明应允许该数据包后，路由器才会处理路由工作.出站 ACL 传入数据包路由到出站接口后，由出站 ACL 进行处理.隐含的“拒绝所有流量”条件语句第7页/共38页Cisco ACLs的类型有两类有两类 Cisco ACLs,Cisco ACLs,标准的和扩展的标准的和扩展的.l l 标准标准 ACLsACLs:

5、标准标准 ACL ACL 根据源根据源 IP IP 地址允许或拒绝流量地址允许或拒绝流量.l l 扩展扩展 ACLsACLs:扩展扩展 ACL ACL 根据多种属性根据多种属性.第8页/共38页标准访问列表和扩展访问列表比较标准访问列表和扩展访问列表比较标准标准扩展扩展基于源地址基于源地址基于源地址和目标地址基于源地址和目标地址允许和拒绝完整的允许和拒绝完整的TCP/IP协议协议指定指定TCP/IP的特定协议的特定协议和端口号和端口号编号范围编号范围 100 到到 1992000-2699编号范围编号范围 1 到到 991300-1999第9页/共38页2 2、配置标准配置标准 ACLsACL

6、s第10页/共38页输入条件语句值得注意:您应该将最频繁使用的 ACL 条目放在列表顶部.您必须在 ACL 中至少包含一条 permit 语句，否则所有流量都会被阻止.For example,图中的两个 ACL（101 和 102）具有相同的效果.第11页/共38页配置标准 ACLu在图中，路由器会检查进入在图中，路由器会检查进入 Fa0/0 的数据包的源地址的数据包的源地址:access-list 2 deny 192.168.10.1access-list 2 permit 192.168.10.0 0.0.0.255access-list 2 deny 192.168.0.0 0.0.2

7、55.255access-list 2 permit 192.0.0.0 0.255.255.255第12页/共38页ACL 通配符掩码通配符掩码使用以下规则通配符掩码使用以下规则 匹配二进制匹配二进制 1 1 和和 0:0:通配符掩码位通配符掩码位 0 0 匹配地匹配地址中对应位的值址中对应位的值通配符掩码位通配符掩码位 1 1 忽略地忽略地址中对应位的值址中对应位的值第13页/共38页ACL通配符掩码 any any 和和 host host 关键字关键字第14页/共38页将标准 ACLs 应用到接口配置标准配置标准 ACL ACL 之后，可以使用之后，可以使用 ip access-gro

8、up ip access-group 命令将其关联到接口命令将其关联到接口:Router(config-if)#ip access-group Router(config-if)#ip access-group access-list-number access-list-number|access-list-nameaccess-list-name in|out in|out第15页/共38页将标准 ACLs 应用到接口Example1Example1:允许单个网络的允许单个网络的 ACL ACL 示例示例.Example2:查看拒绝特定主机的 ACL 示例.Example3:查看拒绝特定子

9、网的 ACL 示例.第16页/共38页将标准 ACLs 应用到接口使用使用 ACL ACL 控制控制 VTY VTY 访问访问：(把定义的规则用到相应的把定义的规则用到相应的vtyvty进程下）进程下）access-class 命令的语法是:access-class access-class access-list-numberaccess-list-number in vrf-also|out in vrf-also|out第17页/共38页编辑编号 ACLs对 ACL 添加注释：第18页/共38页监控和检验 ACLsshow access-lists第19页/共38页3、配置扩展 ACLs

10、第20页/共38页扩展 ACLs为了更加精确地控制流量过滤，您可以使用编号在 100 到 199 之间以及 2000 到 2699 之间的扩展 ACL（最多可使用 800 个扩展 ACL）。您也可以对扩展 ACL 命名.第21页/共38页扩展ACLs测试端口和服务第22页/共38页配置扩展 ACLs 举例：第23页/共38页将将扩扩展展 ACL ACL 应应用于接口用于接口第24页/共38页4、配置命名 ACLs第25页/共38页问题无论是标准还是扩展ACL,删除一句就会删除所有的,也就是几乎不能修改?命名ACL是创建标准或扩展ACL的另一中方法可以删除任一句第26页/共38页创建命名扩展 A

11、CLs怎怎样样建立命名建立命名扩扩展展 ACLs:ACLs:Step 1.Step 1.进入全局配置模式，使进入全局配置模式，使用用 ip access-list extendedname ip access-list extendedname 命令创建命名命令创建命名 ACL.ACL.Step 2.Step 2.在命名在命名 ACL ACL 配置模式中，配置模式中，指定您希望允许或拒绝的条件指定您希望允许或拒绝的条件.Step 3.Step 3.返回特权执行模式，并返回特权执行模式，并使用使用 show access-lists show access-lists number|name n

12、umber|name 命令检验命令检验 ACL.ACL.Step 4.Step 4.（可选）建议您使用（可选）建议您使用 copy running-config startup-copy running-config startup-config config 命令将条目保存在配置文命令将条目保存在配置文件中件中.第27页/共38页标准命名ACL(config)#ip access-list standard abc(config)#deny 1.1.1.1 0.0.0.0(config)#permit any第28页/共38页扩展命名ACL(config)#ip access-list ex

13、tended abc(config)#deny tcp 1.1.1.1 0.0.0.0 2.2.2.0 0.0.0.255 eq 80 (config)#permit any any第29页/共38页5、ACL配置注意点第30页/共38页访问列表配置要点：l l访问列表的编号指明了使用何种协议的访问列表访问列表的编号指明了使用何种协议的访问列表访问列表的编号指明了使用何种协议的访问列表访问列表的编号指明了使用何种协议的访问列表l l每个端口、每个方向、每条协议只能对应于一条访问列每个端口、每个方向、每条协议只能对应于一条访问列每个端口、每个方向、每条协议只能对应于一条访问列每个端口、每个方向、

14、每条协议只能对应于一条访问列表表表表l l访问列表的内容决定了数据的访问列表的内容决定了数据的访问列表的内容决定了数据的访问列表的内容决定了数据的控制顺序控制顺序控制顺序控制顺序 l l具有严格限制条件的语句应放在访问列表所有语句的最具有严格限制条件的语句应放在访问列表所有语句的最具有严格限制条件的语句应放在访问列表所有语句的最具有严格限制条件的语句应放在访问列表所有语句的最上面上面上面上面l l在访问列表的最后有在访问列表的最后有在访问列表的最后有在访问列表的最后有一条隐含声明：一条隐含声明：一条隐含声明：一条隐含声明：deny anydeny anydeny anydeny any每一条每

15、一条每一条每一条正确的访问列表都至少应该有一条允许语句正确的访问列表都至少应该有一条允许语句正确的访问列表都至少应该有一条允许语句正确的访问列表都至少应该有一条允许语句l l先创建访问列表，然后应用到端口上先创建访问列表，然后应用到端口上先创建访问列表，然后应用到端口上先创建访问列表，然后应用到端口上l l访问列表不能过滤由路由器自己产生的数据访问列表不能过滤由路由器自己产生的数据访问列表不能过滤由路由器自己产生的数据访问列表不能过滤由路由器自己产生的数据第31页/共38页访问列表配置准则l l访问列表中限制语句的位置是至关重要的访问列表中限制语句的位置是至关重要的访问列表中限制语句的位置是至

16、关重要的访问列表中限制语句的位置是至关重要的l l将限制条件严格的语句放在访问列表的最上面将限制条件严格的语句放在访问列表的最上面将限制条件严格的语句放在访问列表的最上面将限制条件严格的语句放在访问列表的最上面l l使用使用使用使用 no access-list no access-list numbernumber 命令删除完整的访问命令删除完整的访问命令删除完整的访问命令删除完整的访问列表列表列表列表l l隐含声明隐含声明隐含声明隐含声明 deny alldeny all 在设置的访问列表中要有一句在设置的访问列表中要有一句 permit anypermit any第32页/共38页 AC

17、Ls的放置位置每个 ACL 都应该放置在最能发挥作用的位置。基本的规则是：将扩展 ACL 尽可能靠近要拒绝流量的源。这样，才能在不需要的流量流经网络之前将其过滤掉.因为标准 ACL 不会指定目的地址，所以其位置应该尽可能靠近目的地.第33页/共38页几种配置实例ACL配置实例补充实验1：配置TELNET的访问控制列表实验2：配置基于时间的访问控制列表第34页/共38页几种配置实例实验1：配置TELNET的访问控制列表定义一个访问扩展控制列表定义一个访问扩展控制列表TELNETTELNET的的Y_R(config)#access-list 11 permit 192.168.104.0 0.0.

18、0.255Y_R(config)#access-list 11 permit 192.168.104.0 0.0.0.255Y_R(config)#access-list 11 permit 192.168.105.0 0.0.0.255Y_R(config)#access-list 11 permit 192.168.105.0 0.0.0.255Y_R(config)#access-list 11 permit 192.168.107.0 0.0.0.255Y_R(config)#access-list 11 permit 192.168.107.0 0.0.0.255Y_R(config

19、)#line vty 0 4Y_R(config)#line vty 0 4Y_R(config-line)#access-class 11 inY_R(config-line)#access-class 11 inY_R(config-line)#password ciscoY_R(config-line)#password ciscoY_R(config-line)#loginY_R(config-line)#loginY_R(config-line)#exitY_R(config-line)#exitY_R(config)#enable password ciscoY_R(config)

20、#enable password ciscoY_R(config)#service password-encryptionY_R(config)#service password-encryption第35页/共38页几种配置实例实验2：配置基于时间的访问控制列表定义当前时间及一个时间段定义当前时间及一个时间段Y_R#clock set 20:02:00 1 apr 2013Y_R#clock set 20:02:00 1 apr 2013Y_R(config)#time-range noworkshangwangY_R(config)#time-range noworkshangwangY_

21、R(config-time-range)#absolute start 8:00 1 jan 2013 end 16:20 31 dec 2030Y_R(config-time-range)#absolute start 8:00 1 jan 2013 end 16:20 31 dec 2030Y_R(config-time-range)#periodic daily 16:21 to 23:59Y_R(config-time-range)#periodic daily 16:21 to 23:59Y_R(config-time-range)#periodic daily 00:00 to 0

22、7:59Y_R(config-time-range)#periodic daily 00:00 to 07:59设置扩展设置扩展ACLACL并应用并应用Y_R(config)#ip access-list extended xiuxitimeY_R(config)#ip access-list extended xiuxitimeY_R(config-ext-nac1)#deny ip host 10.1.1.1 any time-range noworkshangwangY_R(config-ext-nac1)#deny ip host 10.1.1.1 any time-range now

23、orkshangwangY_R(config-ext-nac1)#permit ip any anyY_R(config-ext-nac1)#permit ip any anyY_R(config-ext-nac1)#exitY_R(config-ext-nac1)#exitY_R(config)#interface fastethernet 0/1Y_R(config)#interface fastethernet 0/1Y_R(config-if)#ip access-group xiuxitime inY_R(config-if)#ip access-group xiuxitime in第36页/共38页谢谢您的收看！谢谢您的收看！请多提宝贵意见！请多提宝贵意见！谢谢第37页/共38页感谢您的观看。感谢您的观看。第38页/共38页