08_1访问控制列表
合集下载
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
重庆城市管理职业学院
信息工程学院
张文科
实例1
在一个局域网内,不允许不同vlan 之间互相访问。 实际应用:在我们的网络实验室里 面,不同的rack包只能登录他们自己的 acs而不能登录到别的acs上。
重庆城市管理职业学院
信息工程学院
张文科
内网中不同网段不允许访问
ip acc ex 101 permit ip 172.16.11.0 0.0.0.255 permit ip 172.16.11.0 0.0.0.255 permit ip 172.16.12.0 0.0.0.255 permit ip 172.16.12.0 0.0.0.255 permit ip 172.16.13.0 0.0.0.255 permit ip 172.16.13.0 0.0.0.255 deny ip any any
重庆城市管理职业学院
信息工程学院
张文科
扩展访问列表
access-list <访问列表号> {permit | deny} <协议> <源IP地址段> <源反码> <目的IP地 址段> <目的反码>
列表号:100~199 协议:tcp/udp 功能: 根据源、目标IP地址,TCP/UDP端口及其它条件对数据 进行控制。 例:access 100 deny udp 192.168.1.0 0.0.0.255 8000 any any eq 8000
重庆城市管理职业学院 信息工程学院 张文科
交换机与路由器配置acl指令的差异:
2、扩展访问控制列表: 路由器:access-list 100-199 deny(permit) 地址 反码 交换机:ip access-list extend 名字 permit/deny ….. 如: 路由器:access-list 100 deny ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 交换机:ip access-list extend acl_name
host 172.16.1.1 host 172.16.11.1 host 172.16.12.1 host 172.16.2.1 host 172.16.3.1 host 172.16.13.1
重庆城市管理职业学院
信息工程学院
张文科
例2:
防止一些已知端口的蠕虫 病毒,如果端口号未知可 以用sniffer抓包分析。
交换机与路由器配置acl指令的差异:
1、标准访问控制列表: 路由器:access-list 1-99 deny(permit) 地址 反码 交换机:ip access-list stand 名字 premit/deny ….. 如: 路由器:access-list 1 deny 192.168.1.0 0.0.0.255 交换机:ip access-list stand acl_name deny 192.168.1.0 0.0.0.255
重庆城市管理职业学院 信息工程学院 张文科
ip access-list extended 101 deny tcp any any eq 135 deny tcp any any eq 136 deny tcp any any eq 137 deny tcp any any eq 138 deny tcp any any eq 139 deny tcp any any eq 445 deny udp any any eq 135 deny udp any any eq 136 deny udp any any eq netbios-ns deny udp any any eq netbios-dgm deny udp any any eq netbios-ss deny udp any any eq tftp permit ip any any
重庆城市管理职业学院
交换机配置
信息工程学院
张文科
IP ACL的其它应用
除了做IP访问控制外; QOS的业务流分类; 路由协议重分布的路由选择; 等等
重庆城市管理职业学院
信息工程学院
张文科
信息工程学院
张文科
IP ACL的方向
访问控制列表,是对数据流进行控制的
方向是从设备的角度来看,设备从该接口接收到数据 称为“in”,设备从该接口发送数据称为“out”; 每个设备接口的一个方向只能应用一个访问控制列表;
方向十分重要,错误的方向定义导致不可思议的 结果
重庆城市管理职业学院
重庆城市管理职业学院 信息工程学院 张文科
编号访问控制列表
协议 IP 扩展IP 以太类型码,透明桥接 (协议类型) 编号范围 1-99 100-199 200-299
标准IP访问列表(1-99)主要是根据源地址来进行转 发或阻断分组的。 扩展IP访问列表(100-199)使用以上三种组合来进行 转发或阻断分组的。
deny ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
重庆城市管理职业学院 信息工程学院 张文科
把访问控制列表应用到接口
要把访问列表应用到接口,就要先进入相应的接口子层。如 下指令说明把一个编号为101的访问列表应用到路由器的 f1/0口。 Interface f 1/0 ip acc 101 in 注:如果是交换机,应用方式方法与路由器相同,不同之处 在于交换机的接口命名与路由器有所差异。
E国
信息工程学院 张文科
重庆城市管理职业学院
IP ACL的作用
内部网与外部网络互联
只允许外部网络访问特定的主机; 只能在限定的时间端内,允许远程用户访问内部网的 特定资源,或者限时段访问互联网资源
内部网不同部门之间的互访
保证内部关键服务器的安全; 限制某些病毒的传播
重庆城市管理职业学院
重庆城市管理职业学院 信息工程学院 张文科
访问控制列表配置原则
2、将访问列表应用于接口 对于一些协议(如IP,扩展IP),可以最多将两个访问列 表应用于同一个接口:一个进站访问列表,一个时出站访问列表; 而对于另一些协议,则只能应用一个访问列表,它同时检查进 站和出站分组。 如果访问列表是针对进站分组的,则当路由器收到分组 时,路由器在该访问列表中寻找匹配的准则的语句,如果分组 被允许通过,路由器继续处理它,否则丢弃它。 如果访问列表示针对出站分组的,则接到并路由分组到 出站的接口后,路由器将在该访问列表中寻找匹配的准则语句, 如果分组被允许通过,路由器继续处理它,否则丢弃它。
第8讲 访问控制列表
主讲:张文科 重庆城市管理职业学院 信息工程学院
主要内容
访问控制列表的工作原理 访问控制列表的作用 编号访问控制列表 命名访问控制列表
重庆城市管理职业学院
信息工程学院
张文科
一、什么是访问控制列表
访问控制列表的本质是:
定义一些准则,对经过路由器、交换机接口的数据包进行控制:转 发或丢弃。 准则的定义依据:源目标地址、端口、上层控制比特位
重庆城市管理职业学院
信息工程学院
张文科
命名访问列表
1、标准访问控制列表: ip access-list stand 名字 premit/deny …..
2、扩展访问控制列表: ip access-list extend 名字 permit/deny …..
重庆城市管理职业学院
信息工程学院
张文科
重庆城市管理职业学院
信息工程学院
张文科
路由器配置
access-list 101 deny tcp any any eq 135 access-list 101 deny tcp any any eq 136 access-list 101 deny tcp any any eq 137 access-list 101 deny tcp any any eq 138 access-list 101 deny tcp any any eq 139 access-list 101 deny tcp any any eq 445 access-list 101 deny udp any any eq 135 access-list 101 deny udp any any eq 136 access-list 101 deny udp any any eq netbios-ns access-list 101 deny udp any any eq netbios-dgm access-list 101 deny udp any any eq 139 access-list 101 deny udp any any eq tftp access-list 101 permit ip any any
信息工程学院
张文科
访问控制列表配置原则
1、对单个访问列表可以使用多条独立的访问列表语句来定义多 种准则。其中所有的语句应该使用同一个编号将这些语句绑定 到同一个访问列表。
配置访问列表需要注意的规则是:
A、隐含的“拒绝所有的数据流”准则语句。 B、输入准则的顺序。加入的每条准则都被追加到访问列表的 最后,语句被创建以后,就无法单独删除它,而只能删除整个 访问列表。设备在决定转发还是阻断分组时,按语句创建的次 序将分组与语句进行比较,找到匹配的语句后,便不再检查其 他准则语句。
重庆城市管理职业学院 信息工程学院 张文科
标准访问列表
access-list <访问列表号> {permit | deny} < 源IP地址段 [反码]>
访问列表号为:1~99 只对源IP地址进行控制 匹配符(wildcard)缺省为0.0.0.0,0表示精确匹配,1表示忽 略
例:access-list 1 permit 192.168.1.0 0.0.0.255
访问控制列表的分类:
基本访问控制列表 • 标准 • 扩展 命名访问控制列表 这种访问列表基本上是在交换机上面定义
重庆城市管理职业学院
信息工程学院
张文科
访问列表的工作原理
假设:A国的邻国的人要 出国,都要经过A国 C国
海 关 2
B国
海关1
A国
海 关 4
海关3
D国
A国对过境者要做如下的检测: 携带危险物品者->拒绝过境 B 国持旅游护照到D 国人员->允许过境 C 国持留学护照到E 国留学人员->允许过境 其它所有人员->拒绝过境