ACL_详解
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
使用“ip access-list”创建了访问控制列表后 ,必须把它应用到合适接口上,才能生效。
一个访问控制列表可以被应用到多个接口上。
可以应用到“进入接口”的方向(in),也可 以应用到“从接口出去”的方向(out)。
拒绝BT、电驴、 在线电影、网 络游戏甚至QQ、 MSN等与工作 无关的数据。
? 问题2
要求实现:总公司和分公司只 有财务部的员工可以访问财务 应用服务器。
财务数据库服务器 172.16.1.9/24
财务应用服务器 分公司财务部不可以访问财务 172.16.1.8/24 数据库服务器
财务部
172.16.1.0/24
到达访问控制组 接口的数据包
其它主机的数 据全都拒绝
Y
拒绝
Y 拒绝
匹配 第一条
N 匹配 下一条
拒绝 Y
N
匹配 最末条
丢弃数据包
N 拒绝
172.16.2.3的数据允许通过
Y
允许
目
Y 允许
的
接
口
允许
Y
隐含的 ACL对数据包 拒绝 检查的过程
将ACL应用到接口上
R1(config)# interface e1 R1(config-if)# ip access-group permit_172.16.2.2 out
标准访问控制列表基于源地址做为判断依据。
扩展访问控制列表基于源地址、目标地址、源 端口、目标端口等做为判断依据。
先创建ACL,再把ACL应用到路由器接口上。
先看一个简单的ACL例子
R1(config)# ip access-list standard permit_172.16.2.2
R1(config-std-nacl)# permit 172.16.2.3 0.0.0.0
域名服务: DNS --- TCP、UDP 53 号端口
远程登录: Telnet --- TCP 23 号端口 SSH --- TCP 22 号端口
网络管理: SNMP --- UDP 161 号端口
第二节 访问控制列表
? 问题1
能否实现以下限制:
除了老板以外,其他 员工只能访问互联网 上的Web、FTP和电 子邮件等常用服务,
Router(config-std-nacl)# permit 源地址 源地址的 反掩码 或 Router(config-std-nacl)# deny 源地址 源 地址的反掩码 (源地址可以是子网地址或主机地址 )
标准访问控制列表只以数据包的源地址做为判断条件
可以配置多个允许或拒绝的条件判断语句列表,路由 器对每一个数据包都按照列表顺序逐条检查,如果匹配 某一条语句,就按照语句执行,要么允许数据包通过, 要么拒绝通过。不再检查后面的语句。
财务部
10.1.1.0/24
.1 .1
.1
R1
深圳
.1 .1
.2
R2
192.168.1.0/30 上海
172.16.2.0/24
10.1.2.0/24
ACL的作用
ACL(Access Control List,访问控制列表 ),是应用在路由器接口上的指令列表。这些指 令告诉路由器哪些数据包分组可以接收,哪些数 据包分组需要拒绝。接收或拒绝基于一定的条件
R1(config-std-nacl)# deny 0.0.0.0 255.255.255.255 R1(config-std-nacl)# exit
R1(config)# interface e1 R1(config-if)# ip access-group permit_172.16.2.2 out
网络设备安全技术
访问控制与地址转换
目录
第一节 TCP/IP传输层与应用层
第二节 访问控制列表
第三节 网络地址转换
实验指导
第一节 TCP/IP传输层与应用层
TCP/IP
OSI
应用层
传输层 Internet层 网络访问层
TCP/IP:网络访问层协议
1~3章 第7章
TCP/IP:互联网络层协议
TCP/IP:应用层协议
Web服务: HTTP --- TCP 80 号端口
文件传输服务: FTP --- TCP 20、21 号端口 TFTP --- UDP 69 号端口
电子邮件服务: SMTP --- TCP 25 号端口 POP3 --- TCP 110 号端口 IMAP4 --- TCP 143 号端口
财务部
172.16.2.0/24
172.16.1.0/24
.1
.1
R1
财务应用服务器 172.16.1.8/24
172.16.2.2/24 172.16.2.3/24
财务数据库服务器 172.16.1.9/24
标准ACL的语法
Router(config)# ip access-list standard 访问控制 列表名字 (创建命名访问控制列表)
源端口和目的端口
主机之间的多会话
一台服务器可能提供多种服务,如Web和FTP ,在传输层用端口来区分每个应用服务。
客户端也需要向多个目的发送不同的数据连接 ,使用端口区分每个连接。
服务器使用知名端口号 0~1023 提供服务。
客户端使用高于1023的随机端口号作为源端口 对外发起数据连接请求,并为每一个连接分配不 同的源端口号。目的端口为服务器所开放的知名 端口,如HTTP:TCP 80,FTP:TCP 21。
5~6章
Internet层的功能
10.20.30.2/24
172.16.1.2/24
172.31.255.2/24
互联网络层给每个网络的每台网络设备和主机配置所 属的IP地址,实现逻辑寻址。
能够建立网络与网络、主机与主机之间的连通性,但 不保证数据传输的可靠性。
TCP/IP:传输ቤተ መጻሕፍቲ ባይዱ协议
传输控制协议(TCP)
✓ 面向连接,每传输一个数 据分段,都建立一个连接 ✓ 可靠的传输
用户数据报协议(UDP)
✓ 无连接,将数据分段发送 出去后不确认对方是否已接 收到 ✓ 不可靠,需要应用层协议 提供可靠性
TCP 与 UDP 协议
TCP与UDP协议使用端口号来区分主机上同一 时间的不同会话。 TCP端口号范围为:0~65535 UDP端口号范围为:0~65535 传输层提供从源主机到目的主机的传输服务, 在网络端点之间建立逻辑连接。 传输层TCP协议能够实现数据传输的可靠性。 传输层能够实现数据传输时的流控制。
一个访问控制列表可以被应用到多个接口上。
可以应用到“进入接口”的方向(in),也可 以应用到“从接口出去”的方向(out)。
拒绝BT、电驴、 在线电影、网 络游戏甚至QQ、 MSN等与工作 无关的数据。
? 问题2
要求实现:总公司和分公司只 有财务部的员工可以访问财务 应用服务器。
财务数据库服务器 172.16.1.9/24
财务应用服务器 分公司财务部不可以访问财务 172.16.1.8/24 数据库服务器
财务部
172.16.1.0/24
到达访问控制组 接口的数据包
其它主机的数 据全都拒绝
Y
拒绝
Y 拒绝
匹配 第一条
N 匹配 下一条
拒绝 Y
N
匹配 最末条
丢弃数据包
N 拒绝
172.16.2.3的数据允许通过
Y
允许
目
Y 允许
的
接
口
允许
Y
隐含的 ACL对数据包 拒绝 检查的过程
将ACL应用到接口上
R1(config)# interface e1 R1(config-if)# ip access-group permit_172.16.2.2 out
标准访问控制列表基于源地址做为判断依据。
扩展访问控制列表基于源地址、目标地址、源 端口、目标端口等做为判断依据。
先创建ACL,再把ACL应用到路由器接口上。
先看一个简单的ACL例子
R1(config)# ip access-list standard permit_172.16.2.2
R1(config-std-nacl)# permit 172.16.2.3 0.0.0.0
域名服务: DNS --- TCP、UDP 53 号端口
远程登录: Telnet --- TCP 23 号端口 SSH --- TCP 22 号端口
网络管理: SNMP --- UDP 161 号端口
第二节 访问控制列表
? 问题1
能否实现以下限制:
除了老板以外,其他 员工只能访问互联网 上的Web、FTP和电 子邮件等常用服务,
Router(config-std-nacl)# permit 源地址 源地址的 反掩码 或 Router(config-std-nacl)# deny 源地址 源 地址的反掩码 (源地址可以是子网地址或主机地址 )
标准访问控制列表只以数据包的源地址做为判断条件
可以配置多个允许或拒绝的条件判断语句列表,路由 器对每一个数据包都按照列表顺序逐条检查,如果匹配 某一条语句,就按照语句执行,要么允许数据包通过, 要么拒绝通过。不再检查后面的语句。
财务部
10.1.1.0/24
.1 .1
.1
R1
深圳
.1 .1
.2
R2
192.168.1.0/30 上海
172.16.2.0/24
10.1.2.0/24
ACL的作用
ACL(Access Control List,访问控制列表 ),是应用在路由器接口上的指令列表。这些指 令告诉路由器哪些数据包分组可以接收,哪些数 据包分组需要拒绝。接收或拒绝基于一定的条件
R1(config-std-nacl)# deny 0.0.0.0 255.255.255.255 R1(config-std-nacl)# exit
R1(config)# interface e1 R1(config-if)# ip access-group permit_172.16.2.2 out
网络设备安全技术
访问控制与地址转换
目录
第一节 TCP/IP传输层与应用层
第二节 访问控制列表
第三节 网络地址转换
实验指导
第一节 TCP/IP传输层与应用层
TCP/IP
OSI
应用层
传输层 Internet层 网络访问层
TCP/IP:网络访问层协议
1~3章 第7章
TCP/IP:互联网络层协议
TCP/IP:应用层协议
Web服务: HTTP --- TCP 80 号端口
文件传输服务: FTP --- TCP 20、21 号端口 TFTP --- UDP 69 号端口
电子邮件服务: SMTP --- TCP 25 号端口 POP3 --- TCP 110 号端口 IMAP4 --- TCP 143 号端口
财务部
172.16.2.0/24
172.16.1.0/24
.1
.1
R1
财务应用服务器 172.16.1.8/24
172.16.2.2/24 172.16.2.3/24
财务数据库服务器 172.16.1.9/24
标准ACL的语法
Router(config)# ip access-list standard 访问控制 列表名字 (创建命名访问控制列表)
源端口和目的端口
主机之间的多会话
一台服务器可能提供多种服务,如Web和FTP ,在传输层用端口来区分每个应用服务。
客户端也需要向多个目的发送不同的数据连接 ,使用端口区分每个连接。
服务器使用知名端口号 0~1023 提供服务。
客户端使用高于1023的随机端口号作为源端口 对外发起数据连接请求,并为每一个连接分配不 同的源端口号。目的端口为服务器所开放的知名 端口,如HTTP:TCP 80,FTP:TCP 21。
5~6章
Internet层的功能
10.20.30.2/24
172.16.1.2/24
172.31.255.2/24
互联网络层给每个网络的每台网络设备和主机配置所 属的IP地址,实现逻辑寻址。
能够建立网络与网络、主机与主机之间的连通性,但 不保证数据传输的可靠性。
TCP/IP:传输ቤተ መጻሕፍቲ ባይዱ协议
传输控制协议(TCP)
✓ 面向连接,每传输一个数 据分段,都建立一个连接 ✓ 可靠的传输
用户数据报协议(UDP)
✓ 无连接,将数据分段发送 出去后不确认对方是否已接 收到 ✓ 不可靠,需要应用层协议 提供可靠性
TCP 与 UDP 协议
TCP与UDP协议使用端口号来区分主机上同一 时间的不同会话。 TCP端口号范围为:0~65535 UDP端口号范围为:0~65535 传输层提供从源主机到目的主机的传输服务, 在网络端点之间建立逻辑连接。 传输层TCP协议能够实现数据传输的可靠性。 传输层能够实现数据传输时的流控制。