第7章 访问控制列表
路由器使用技巧控制访问列表
路由器使用技巧控制访问列表在如今数字化时代,互联网已经成为人们生活中不可或缺的一部分。
然而,随着互联网的普及和应用的广泛,保障网络安全变得尤为重要。
为了管理和控制网络的访问权限以及保护个人隐私,使用路由器成为了一种常见的解决方案。
本文将介绍一些路由器使用技巧,以帮助您更好地控制访问列表。
一、了解访问列表的基本概念访问列表(Access Control List,ACL)是一种管理网络流量的工具,通过规定允许或禁止某个特定IP地址或IP地址段进行网络访问。
在路由器上配置访问列表后,您可以控制设备对特定网站、应用或服务的访问权限,从而保护自己的网络安全和隐私。
二、设置访问控制策略1. 确定访问控制需求:首先,您需要明确自己的访问控制需求。
比如,您想要禁止某个特定IP地址的设备访问互联网,或者您只想允许特定IP地址范围的设备访问您的局域网。
明确需求后,可以更方便地配置访问控制列表。
2. 登录路由器管理界面:打开您的计算机浏览器,输入路由器的默认网关IP地址,并使用正确的用户名和密码登录路由器的管理界面。
3. 导航到访问控制设置:在管理界面中,找到“访问控制”或类似选项。
具体名称和位置可能因路由器品牌和型号而异,但通常会在安全设置或高级设置类别下。
4. 配置访问控制列表:根据您的需求,在访问控制设置页面中创建新的访问控制表项。
您可以设置允许或禁止特定的IP地址、IP地址段、端口号或MAC地址进行网络访问。
5. 保存并应用设置:在完成访问控制列表的配置后,记得点击保存或应用按钮,以使设置生效。
三、优化访问列表控制1. 定期更新访问列表:网络环境时刻在变化,新的威胁和安全漏洞也会不断出现。
因此,及时更新访问列表是保护网络安全的重要一环。
您可以根据实际需求,定期检查和修改访问控制列表,确保其与最新的网络威胁相适应。
2. 使用黑名单和白名单:黑名单和白名单是访问列表中常用的概念。
黑名单(Blacklist)是指禁止访问的清单,您可以将您不希望访问您网络的IP地址或特定应用添加到黑名单中。
ACL_详解
到达访问控制组 接口的数据包
其它主机的数 据全都拒绝
Y
拒绝
Y 拒绝
匹配 第一条
N 匹配 下一条
拒绝 Y
N
匹配 最末条
丢弃数据包
N 拒绝
172.16.2.3的数据允许通过
Y
允许
目
Y 允许
的
接
口
允许
Y
隐含的 ACL对数据包 拒绝 检查的过程
将ACL应用到接口上
R1(config)# interface e1 R1(config-if)# ip access-group permit_172.16.2.2 out
✓ 面向连接,每传输一个数 据分段,都建立一个连接 ✓ 可靠的传输
用户数据报协议(UDP)
✓ 无连接,将数据分段发送 出去后不确认对方是否已接 收到 ✓ 不可靠,需要应用层协议 提供可靠性
TCP 与 UDP 协议
TCP与UDP协议使用端口号来区分主机上同一 时间的不同会话。 TCP端口号范围为:0~65535 UDP端口号范围为:0~65535 传输层提供从源主机到目的主机的传输服务, 在网络端点之间建立逻辑连接。 传输层TCP协议能够实现数据传输的可靠性。 传输层能够实现数据传输时的流控制。
源端口和目的端口
主机之间的多会话
一台服务器可能提供多种服务,如Web和FTP ,在传输层用端口来区分每个应用服务。
客户端也需要向多个目的发送不同的数据连接 ,使用端口区分每个连接。
服务器使用知名端口号 0~1023 提供服务。
客户端使用高于1023的随机端口号作为源端口 对外发起数据连接请求,并为每一个连接分配不 同的源端口号。目的端口为服务器所开放的知名 端口,如HTTP:TCP 80,FTP:TCP 21。
访问控制列表
第十章访问控制列表配置教学目的:1.了解访问控制列表的作用2.了解标准访问控制列表与扩展访问列表的异同3.掌握访问控制列表的原理4.掌握访问列表的配置方法知识点:1.访问列表2.包过滤3.流量控制4.通配掩码10.1 访问控制列表(access-list)一、访问列表的作用访问控制列表是在使用路由技术的网络中,识别和过滤进入到网络或发出去的符合规定条件的数据流量,以决定是否允许发送或丢弃数据流量。
访问控制是控制流量的一种方法,是实现防火墙的重要手段。
二、访问列表的应用1.在物理接口上应用访问控制列表实现流量控制。
2.在虚拟终端线路接口(vty)应用访问控制列表,实现对登录用户的控制。
3.还可以应用到队列技术、按需拨号、VPN、NA T等。
三、访问列表的工作流程1.进方向上的工作流程:2.出方向上的工作流程:四、访问列表的控制条件根据IP数据包中包含的信息,可以对数据包的源IP地址、目的IP地址、被路由的协议类型、数据要访问的端口等作为判断条件。
五、访问列表执行流程访问控制列表实际上是一些列判断语句,被过滤的数据包会一个个和这些条件语句进行比较,当符合条件则执行操作(permit或deny );否则进行下一条件判断。
六、注意事项1.访问控制列表的列表号指出是哪种协议的访问控制列表。
即每种协议(IP、IPX等)定义一个访问控制列表。
2.一个访问控制列表的配置是每协议、每接口、每方向的。
每种协议可以定义进出两个控制访问控制列表。
3.访问控制列表的顺序决定了对数据包控制顺序。
4.在访问控制列表最后,有一条隐含的“全部拒绝”命令,因此在控制列表里至少有一条“允许”语句。
5.访问控制列表只能过滤穿过路由器的数据流量,不能过滤路由器本身发出的数据包。
10.2 访问控制列表分类访问控制列表有两种类型:标准访问控制列表、扩展访问控制列表。
✓标准访问控制列表判断条件是数据包的源IP地址,只能过滤来自某个网络或主机的数据包。
访问控制列表说课PPT课件
核养训岗、于技职配交 心的练位网网术业置换 课一、进络络专院》机 程门能行管工业校是路 。专力职理程针网高由
络网 设 养 维 的 掌 管络 备 学 护 配 握 课 理搭 的 生 技 置 网 程 能建 装 的 术 、 络 目 力、 配 网 , 管 设 标 。网 、 络 培 理 备
、
课 程 性 质 和 目 标 要 求
,;题,例兴能 教 ,解启趣力 学 突决发;强 做 出懂式 和 合 重原展 贪 一 点理开 玩
,
设设计计 依依据据
16
怎么
教
教 能 技技 原内
力 能能 理容
学 实 施 具
考 训培 讲导
体 过
核 练养 解入
程
5‘
20‘
30‘
20‘
5‘
17
怎么
内
教 设问情景导入
容 导
入
玩游戏时常 见情景
迫切想解决
某日自己正在玩游戏,同学A因看电影,
3
学什
么
影响 因素
教
课
专
学
程
业
内
性
岗
容
质
位
作
和
群
用
目
能
要
标
力
求
要
要
求
求
4
学什
么
影响 因素
网络设计师 网络管理员 布线工程师 网络工程师 系统工程师 网页设计师
网络设备配置与网络管理 网络访问控制能力
专 业 岗 位 群 能 力 要 求
能懂 力理
论 有
5
学什
么
影响 因素
业培业员师对络等器《
课 程 性 质
,
访问控制列表(ACL)总结配置与应用
三、 命名访问控制列表
命名访问控制列表允许在标准和扩展访问控制列表中使用名称代替表号。 1、 命名访问控制列表的配置 Router(config)#ip access-list {standard | extended} access-list-name
扩展 ACL 配置实例
如图:配置允许主机 PC 访问 WEB 服务的 WWW 服务,而禁止主机 PC 访问 WEB 的其他 服务。
1、 分析哪个接口应用标准 ACL
应用在入站还是出站接口。 与标准 ACL 一样,应该尽量把 ACl 应用到入站方向
应用在哪台路由器上。 由于扩展 ACL 可以根据源 IP 地址。目的 IP 地址、指定协议、端口等过滤数据包,
3、 将 ACL 应用于接口
创建 ACL 后,只有将 ACL 应用于接口,ACL 才会生效。 Router(config)#ip access-group access-list-number {in | out }
参数 in|out 用来指示该 ACL 是应用到入站接口(in),还是初战接口(out)。 在接口上取消 ACL 的应用 Router(config)#no ip access-group acess-list-number (in | out)
access-llist-number:访问控制列表表号,对于扩展 ACL 来书是 100-199; permit | deny:如果满足条件,则允许|拒绝该流量; protocol:用于指定协议类型,如 IP、TCP、UDP、ICMP 等; source、destination:源和目的,分别用来表示源地址和目的地址; source-wildcard、destination-wildcard:反码。源地址和目标地址的反码; operator operan:lt(小于)、gt(大于)、eq(等于)、neq(不等于)和一个 端口。
第八讲 访问控制列表
➢使用最多的是希望控制的IP地址和通配符掩码
➢IP地址可以是子网、一组地址或单一节点地址
➢路由器使用通配符掩码来决定检查地址的哪些
位
IP地址 通配符掩码
Lab-A(config)#access-list 1 deny 192.5.5.10 0.0.0.0
第16页
通配符掩码
➢通配符掩码指定了路由器在匹配地址时检查哪些 位忽略哪些位
– 掩码为255.255.255.192的192.5.5.64子网的控制第IP21页地址
通配符掩码练习
– 掩码为255.255.128.0的172.16.128.0子网的控制IP 地址和通配符掩码?
– 答案: 172.16.128.0 0.0.127.255 – 掩码为255.255.252.0的172.16.16.0子网的控制IP地
第27页
host命令
– 众多情况下,网络管理员需要在ACL处 理单独节点的情况,可以使用两种命令:
– Lab-A(config)#access-list 1 permit 192.5.5.10 0.0.0.0
将最严格的语句放在列表顶部, 最不严格的语句 放在列表底部 • 如果ACL中没有找到匹配项, 则执行隐性拒绝语 句 • 每个接口的每个方向只能应用一个IP ACL。
第11页
ACL分类
• 标准访问控制列表: 只对数据包中源地址 进行检查。
• 扩展访问控制列表: 即检查源地址,也检 查目标地址,以及数据包的上层协议。
– 为了控制网络中一部分节点往往需要在二 进制方式下进行计算
– 例如:学生使用192.5.5.1到192.5.5.127地址 范围,教师使用192.5.5.128到192.5.5.254地 址范围。这些地址处在相同的网络中 192.5.5.0/24
网络互联 7第七章 访问控制列表PPT课件
例Rou如ter,(co测nfig试)#a条cce件ss-为list:1 p1er7m2i.t1an6y.0.0 0.0.255.255 2.R解ou释ter(:con通fig过)#a路cce由ss-l器ist 的1 peIrPm地it 1址92.必168须.1.满1 0.足0.0上.0 述测 试Rou条ter件(co,nfig前)#a两cce个ss-字list节1 p必erm须it h检ost查19,2.1后68.1两.1 个字节 不用检查。
14
标准访问控制列表例题1
15
标准访问控制列表例题2
16
标准访问控制列表例题3
17
扩展访问控制列表
扩展访问控制列表检查源地址,目的地址, 协议类型和端口号,101-199
配置在离源地近的路由器上 为什么
命令格式如下
router(config)# access-list access-list-number { permit | deny } protocol source [source-mask destination destination-mask operator operand] protocol : IP , TCP , UDP , ICMP , IGRP operator: it , gt , eq , neq operand: port number
8
提问
检查IP子网:172.20.16.0/20 写出通配符掩码?
第 7 章 网络设备安全
7.2.2 访问控制列表(ACL)技术
如果需要交换机对报文做更进一步的控制,可以采 用访问控制列表(Access Control List,ACL)。 访问控制列表通过对网络资源进行访问输入和输出 控制,确保网络设备不被非法访问或被用作攻击跳 板。ACL是一张规则表,交换机按照顺序执行这 些规则,并且处理每一个进入端口的数据包。每条 规则根据数据包的属性(如源地址、目的地址和协 议)确定转发还是丢弃该数据包。由于规则是按照 一定顺序处理的,因此每条规则的相对位臵对于确 定允许和不允许什么样的数据包通过网络至关重要。
(2)为VLAN指定广播风暴抑制比 也可以使用上面的命令设臵VLAN允许通过的广播流量的大 小。默认情况下,系统所有VLAN不做广播风暴抑制,即 broadcast level值为100%。
2. MAC地址控制技术
可以通过MAC地址绑定来控制网络的流量,来抑制 MAC攻击。网卡的MAC地址通常是唯一确定的, 采用IP-MAC地址解析技术来防止IP地址的盗用, 建立一个IP地址与MAC地址的对应表,然后查询 此表,只有IP-MAC地址对合法注册的机器才能得 到正确的ARP应答。
(1)MAC地址与端口绑定。
Switch#conf t Switch(config)#int f0/1 Switch(config-if)#switchport mode access ! 指定端口模式。 Switch(config-if)#switchport port-security mac-address 00-90-F5-10-79-C1 ! 配置MAC地址。 Switch(config-if)#switchport port-security maximum 1 ! 限制此端口允许通过的MAC地址数为1。 Switch(config-if)#switchport port-security violation shutdown ! 当发现与上述配置不符时,端口down掉。
网络空间信息安全 第7章 无线网络安全机制
网络空间信息安全第7章无线网络安全机制在当今数字化的时代,无线网络已经成为我们生活和工作中不可或缺的一部分。
无论是在家中通过 WiFi 连接互联网,还是在公共场所使用移动数据网络,无线网络为我们带来了极大的便利。
然而,随着无线网络的广泛应用,其安全问题也日益凸显。
在这一章中,我们将深入探讨无线网络的安全机制,以帮助您更好地理解和保护无线网络环境中的信息安全。
首先,让我们来了解一下无线网络面临的主要安全威胁。
未经授权的访问是其中最为常见的问题之一。
这意味着未经许可的用户可能会试图连接到您的无线网络,从而获取敏感信息或进行非法操作。
此外,无线网络信号容易受到窃听和篡改,攻击者可能会截取传输中的数据,并对其进行修改或窃取。
还有诸如恶意软件传播、拒绝服务攻击等威胁,也给无线网络的安全带来了巨大挑战。
为了应对这些威胁,一系列无线网络安全机制应运而生。
其中,加密技术是最为关键的一项。
常见的加密方式包括 WEP(Wired Equivalent Privacy,有线等效加密)、WPA(WiFi Protected Access,WiFi 保护访问)和 WPA2 等。
WEP 是早期的加密标准,但由于其存在诸多安全漏洞,已逐渐被淘汰。
WPA 和 WPA2 则采用了更强大的加密算法,如 AES(Advanced Encryption Standard,高级加密标准),能够有效地保护无线网络中的数据传输安全。
身份验证机制也是无线网络安全的重要组成部分。
常见的身份验证方式包括预共享密钥(PSK)和企业级的 8021X 认证。
PSK 是在家庭和小型网络中较为常用的方式,用户需要输入预先设置的密码才能连接到无线网络。
而 8021X 认证则适用于大型企业和组织,它要求用户提供用户名和密码等凭证,通过认证服务器进行验证,从而确保只有合法用户能够接入网络。
除了加密和身份验证,访问控制也是保障无线网络安全的重要手段。
通过设置访问控制列表(ACL),可以限制特定设备或用户的访问权限。
访问控制列表详解
测试:18.5--X-->19.30
19.30--X-->18.5
访问列表生效,在IN 方向判断源地址18.5属于本VLAN
___________________________________________________
inter vlan 18
deny ip host 10.24.18.5 host 10.24.19.30
permit ip any any
__________________________________________________
inter vlan 18
ip access-g test_liu in
具体格式如下:
time-range 时间段名称
absolute start [小时:分钟] [日 月 年] [end] [小时:分钟] [日 月 年]
例如:time-range softer
absolute start 0:00 1 may 2005 end 12:00 1 june 2005
访问控制列表从概念上来讲并不复杂,复杂的是对它的配置和使用,许多初学者往往在使用访问控制列表时出现错误。
下面是对几种访问控制列表的简要总结。表匹配IP包中的源地址或源地址中的一部分,可对匹配的包采取拒绝或允许两个操作。编号范围是从1到99的访问控制列表是标准IP访问控制列表。
2.3 命名的访问控制列表
所谓命名的访问控制列表是以列表名代替列表编号来定义IP访问控制列表。
(1). 标准的命名访问控制列表
Route(config)#ip access-list standard list-name
访问控制列表
• 设备从某接口向外发送数据时进行安全规则过滤
• 一个接口在一个方向只能应用一组访问控制列表
IN F1/0
OUT F1/1
访问列表的入栈应用
查找路由表 进行选路转发 是否应用 访问列表 ?
Y N
是否送方
平顶山学院
平顶山学院
软件学院
反掩码(通配符) 反掩码(通配符)
128 64 32 16 8 4 2 1
0 0 0 1
0 0 0 1
0 1 0 1
0 1 0 1
0 1 1 1
0 1 1 1
0 1 1 1
0 1 1 1
0表示检查相应的地址比特 表示检查相应的地址比特 1表示不检查相应的地址比特 表示不检查相应的地址比特
• 规则匹配原则
– 从头到尾,自顶向下的匹配方式 – 匹配成功马上停止 – 立刻使用该规则的“允许/拒绝……”
9.3.5访问列表规则的定义
• 标准访问列表
– 根据数据包源IP地址进行规则定义
• 扩展访问列表
– 根据数据包中源IP、目的IP、源端口、目的端 口、协议进行规则定义
IP标准访问列表 标准访问列表
平顶山学院 软件学院
标准访问列表配置实例(二)
• 需求:
– 你是某校园网络管理员,领导要你对网络的数据 流量进行控制,要求校长可以访问财务的主机,但 教师机不可以访问。
• 配置:
– ip access-list standard abc – permit host 192.168.2.8 – deny 192.168.2.0 0.0.0.255 F0/2 – ip access-group abc in
F0/1 财务 192.168.1.0 F0/6 F0/8 F0/10 教师 192.168.2.0
第七章 访问控制列表练习题参考答案
《网络互联技术》练习题第七章:访问控制列表参考答案一、填空题1、_访问控制列表_是用于控制和过滤通过路由器的不同接口去往不同方向的信息流的一种机制。
2、访问控制列表主要分为_标准访问控制列表_和扩展访问控制列表。
3、访问控制列表最基本的功能是_数据包过滤_。
4、标准访问控制列表的列表号范围是_1-99_。
5、将 66 号列表应用到fastethernet 0/0接口的in方向上去,其命令是_ip access-group 66 in 。
5、定义 77 号列表,只禁止192.168.5.0网络的访问,其命令是_access-list 77 deny 192.168.5.0 0.0.0.255;access-list 77 permit any_。
6、基于时间的访问控制列表,定义时间范围的关键字主要有两个,它们是_absolute_和_periodic_。
二、选择题1、标准访问控制列表应被放置的最佳位置是在( B )。
A、越靠近数据包的源越好B、越靠近数据包的目的地越好C、无论放在什么位置都行D、入接口方向的任何位置2、标准访问控制列表的数字标识范围是( B )。
A、1-50B、1-99C、1-100D、1-1993、标准访问控制列表以( B )作为判别条件。
A、数据包的大小B、数据包的源地址C、数据包的端口号D、数据包的目的地址4、IP扩展访问列表的数字标示范围是多少? ( C )。
A、0-99B、1-99C、100-199D、101-2005、下面哪个操作可以使访问控制列表真正生效:( A )。
A、将访问控制列表应用到接口上B、定义扩展访问控制列表C、定义多条访问控制列表的组合D、用access-list命令配置访问控制列表6、以下对思科系列路由器的访问列表设置规则描述不正确的是( B )。
A、一条访问列表可以有多条规则组成B、一个接口只可以应用一条访问列表C、对冲突规则判断的依据是:深度优先D、如果您定义一个访问列表而没有应用到指定接口上,思科路由器默认允许所有数据包通过该接口中。
《网络技术》PPT课件
25
NAT技术的基本原理
NAT就是将网络地址从一个地址空间转换到另外一个 地址空间的一个行为。
NAT的类型
NAT(Network Address Translation)
转换后,一个本地IP地址对应一个全局IP地址
NAPT (Network Address Port Translation)
多个VLAN信息
➢ 2.实现同一VLAN跨越不同的交换机
要求Trunk至少要 100M。
18.02.2022
第7章 网络技术 计算机网络
15
802.1q工作原理
Tag标签
数据帧
交换机1
交换机2
A
B
➢802.1q数据帧只在交换机的trunk链路上传输, 对于用户是完全透明的。
➢默认条件下,Trunk上会转发交换机上存在的所 有VLAN的数据。
跨交换机VLAN实现机制 实例
Sw itchA
Sw itchB
F 0 /2 3 F 0 /2 3 F0/5 F0/10 F0/15 F0/20
PC1
PC2
PC3
PC4
PC1 PC2 PC3 PC4
18.02.2022
第7章 网络技术 计算机网络
12
VLAN端口:Port VLAN
F0/1 F0/2 F0/3
168.168.12.1
192.168.12.3
Web服务
内部本地地址:端口 内部全局地址:端口 192.168.12.2:1024 200.168.12.2:1024 192.168.12.3:1222 200.168.12.2:1222
外部全局地址:端口 168.168.12.1:23 168.168.12.1:24
防火墙访问控制列表
4、访问控制列表还可以用于地址转换5、在配置路由策略时,可以利用访问控制列表来作路由信息的过滤PDF 文件使用 "pdfFactory Pro" 试用版本创建w 路由策略是指在发送与接收路由信息时所实施的策略,它能够对路由信息进行过滤。
路由策略有多种过滤方法。
其中,ACL作为它的一个重要过滤器被广泛使用,即用户使用ACL指定一个IP地址或子网的范围,作为匹配路由信息的目的网段地址或下一跳地址QoSQoS(Quality of Service)用来评估服务方满足客户需求的能力。
在Internet上保证QoS的有效办法是增加网络层在流量控制和资源分配上的功能,为有不同服务需求的业务提供有区别的服务。
流分类是有区别地进行服务的前提和基础。
实际应用中,首先制定流分类策略(规则),流分类规则既可以使用IP报文头的ToS字段内容来识别不同优先级特征的流量,也可以通过ACL定义流分类的策略。
例如综合源地址/目的地址/MAC地址、IP协议或应用程序的端口号等信息对流进行分类,然后在流量监管、流量整形、拥塞管理和拥塞避免等具体实施上引用流分类策略或ACL。
IPSecIPSec(IP Security)协议族是IETF制定的一系列协议,它通过IP层的加密与数据源验证机制,确保在Internet上参与通信的两个网络节点之间传输的数据包具有私有性、完整性和真实性。
IPSec能够对不同的数据流施加不同的安全保护。
例如防火墙对不同的数据流使用不同的安全协议、算法和密钥。
实际应用中,数据流首先通过ACL来定义,匹配同一个ACL的所有流量在逻辑上作为一个数据流。
然后,通过在安全策略中引用该ACL,从而确保指定的数据流受到保护。
PDF 文件使用 "pdfFactory Pro" 试用版本创建w 3、基于MAC地址的ACL4000~4099主要用于防火墙工作在透明模式的应用中,此时防火墙能够根据以太网帧头中的源MAC地址、目的MAC地址、类型字段等信息与ACL规则进行匹配,从而达到控制二层数据帧的目的。
ccna10访问控制列表
2012-8-23
配置访问控制列表-标准
Router(config)#access-list access-list-number {permit | deny | remark} source [mask]
Sets parameters for this list entry IP standard access lists use 1 to 99 Default wildcard mask = 0.0.0.0 no access-list access-list-number removes entire access list remark option lets you add a description for the access list
禁止来自特定子网的Telnet数据流通过的命名扩展访问列表
2012-8-23
22
控制Telnet会话
物理接口上设置访问控制列表?繁锁 在Telnet所使用的虚拟端口上设置ACL
2012-8-23 23
控制Telnet会话
创建一标准ACL,只允许所希望的主机能Telnet至路由器
Router(config)#line vty {vty# | vty-range}
20
命名的访问控制列表
Router(config)#ip access-list {standard | extended} name
Alphanumeric name string must be unique.
Router(config {std- | ext-}nacl)#{permit | deny} {ip access list test conditions} {permit | deny} {ip access list test conditions} no {permit | deny} {ip access list test conditions}
访问控制列表工作过程和执行流程
访问控制列表工作过程和执行流程网管员在日常工作中经常会接触到路由器,但是对路由器得了解程度有多少呢?今天来为您讲述一下访问控制列表(ACL),在日常的工作中可以利用ACL可以限制网络流量、提高网络性能,同时也提高了网络的安全等级。
在局域网中,路由器或网关负责网络中的内外沟通的信息,同时对内部的网络系统进行安全与稳定的保护作用,所以在安全方面负责对这些进进出出的数据进行识别,从而实现网络的数据安全过滤;在网络的稳定性方面对网络中的数据进行流量控制,从而改善网络的通行质量。
访问控制列表是应用在路由器接口上的一个控制列表,可以控制拒绝和允许进入以及离开路由器的数据包,也可以拒绝和允许用户访问某一网络资源。
由于其应用的非常广泛,可以对IP、协议、端口等功能上进行控制,从而对网络系统起到安全与保护的作用,所以它是一种网络安全防护技术,也可以当作一种网络控制的有力工具。
什么是访问控制列表(ACL)访问控制列表实际上就是一系列允许和拒绝匹配准则的集合。
简单的说就是利用这些准则来告诉路由器哪些数据包可以接收、哪些数据包需要拒绝。
至于数据包是被接收还是被拒绝,那就要根据这些准则中所定义的条件来决定控制数据包在输入与输出。
匹配准则的总类繁多,可以简单的数据包目标地址的单项目匹配,也可以是数据包目标地址、源地址,端口等多项目的综合匹配等,访问控制列表对符合匹配规则的数据包进行允许和拒绝的操作。
访问控制列表的作用建立访问控制列表后,主要任务是保证网络资源不被非法使用和访问,其次还可以用来限制网络流量,提高网络性能,对通信流量起到控制的手段,这些都是对网络访问的基本安全手段。
在路由器的接口上配置访问控制列表后,可以对入站接口、出站接口及通过路由器中继的数据包进行安全检测。
访问控制列表总的说起来有下面三个作用,我们来具体看一下:1、安全控制允许一些分合匹配规则的数据包通过访问的同时而拒绝另一部分不符合匹配规则的数据包。
举个例子说一下财务部的数据库服务器,上面的数据应该来说是比较机密的,不是说谁都可以访问上面的数据的,这个时候就需要用到访问控制列表,在此列表中定义那些主机可以访问财务部数据库服务器,当此列表外的主机访问此服务器的时候,就会被路由器过滤掉。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
第7章访问列表访问列表概述访问列表由一系列语句组成,这些语句主要包括匹配条件和采取的动作(允许或禁止)两个部分;访问列表应用在路由器的接口上,通过匹配数据包信息与访问列表参数来决定允许还是拒绝数据包通过某个接口。
数据包是通过还是拒绝,主要通过数据包中的源地址、目的地址、源端口、目的端口、协议等信息来决定。
访问列表的功能:控制网络流量,提高网络性能控制用户网络行为控制网络病毒的传播访问列表类型:可分为标准IP访问列表和扩展IP访问列表。
标准访问列表:其只检查数据包的源地址,从而允许或拒绝基于网络、子网或主机的IP 地址的所有通信流量通过路由器的出口。
扩展IP访问列表:它不仅检查数据包的源地址,还要检查数据包的目的地址、特定协议类型、源端口号、目的端口号等ACL的相关特性:每一个接口可以在进入(inbound)和离开(outbound)两个方向上分别应用一个ACL,且每个方向上只能应用一个ACL。
ACL语句包括两个动作:拒绝(deny)和允许(permit)数据包进入路由器时,进入方向(In方向)的ACL起作用。
数据包离开路由器时,出方向(Out方向)的ACL起作用;每个ACL列表结尾有一个隐含的“拒绝的所有数据包(deny any)”的语句IP地址与通配符掩码的作用规32位的IP地址与32位的通配符掩码逐位进行比较,通配符掩码为0的位要求IP地址的对应位必须匹配,通配符掩码为1的位所对应的IP地址位不必匹配例:IP地址为192.168.1.0,通配符掩码为0.0.0.255对应的二进制为:11000000 10101000 00000001 0000000000000000 00000000 00000000 11111111检查的地址范围为:192.168.1.0~192.168.1.255通配符掩码示例:通配符掩码掩码的两种特殊形式host表示一台主机,是通配符掩码0.0.0.0的简写形式192.168.1.10 0.0.0.0等价于host 192.168.1.10any表示所有主机,是通配符掩码掩码255.255.255.255的简写形式192.168.1.10 255.255.255.255等价于any访问列表配置步骤:第一步是配置访问列表语句;第二步是把配置好的访问列表应用到某个端口上;标准IP访问列表的配置命令配置标准访问列表access-list access-list-number deny|permit source-address source-wildcard [log]access-list-number:只能是1~99之间的一个数字deny|permit:deny表示匹配的数据包将被过滤掉;permit表示允许匹配的数据包通过source-address:表示单台或一个网段内的主机的IP地址source-wildcard:通配符掩码Log:访问列表日志,如果该关键字用于访问列表中,则对匹配访问列表中条件的报文作日志标准IP访问列表的配置命令续应用访问列表到接口ip access-group access-list-numberin|outIn:检查进入路由器的报文Out:检查离开路由器的报文显示所有协议的访问列表配置细节show access-list [access-list-number]显示IP访问列表show ip access-list [access-list-number]标准IP访问列表的配置举例主机192.168.1.1不能访问主机192.168.2.1,但可访问其他主机,对其他主机间的访问不做任何限制标准IP访问列表的配置举例配置,拓扑图如下:router# configure terminalrouter(config)# access-list 1 deny host 192.168.1.1router(config)# access-list 1 permit anyrouter(config)# interface Ethernet 1router(config)# ip access-group 1 out扩展IP访问列表的配置命令配置扩展访问列表access-list access-list-number permit|deny protocol source-address source-wildcard source-port destinaiton address destination-wildcard destination-port log optionsaccess-list-numberL:编号范围为100~199。
Permit:通过;deny:禁止通过Protocol:需要被过滤的协议的类型,如IP、TCP、UDP、ICMP、EIGRP,GRE等。
source-address :源IP地址source-wildcard:源通配符掩码扩展IP访问列表的配置命令续source-port:可以是单一的某个端口,也可以是一个端口范围扩展IP访问列表的配置命令续destination-address:目的IP地址destination-wildcard:目的地址通配符掩码destination-port:目的端口号,指定方法与源端口号的指定方法相同扩展IP访问列表配置举例要求允许LAN3的所有主机能登录Internet,但只能浏览WWW、FTP、SMTP、POP3协议的通信。
LAN2中的主机192.168.2.1向Internet提供WWW服务,主机192.168.2.2向Internet提供FTP服务,主机192.168.2.3向Internet提供SMTP服务,其余主机不能被Internet 访问。
LAN1中的主机不能访问Internet,但可以访问LAN2和LAN3扩展IP访问列表配置举例配置,拓扑图如下:router# configure terminal!允许网段LAN3的主机访问Internet的WWW,FTP,SMTP和POP3服务router(config)#access-list 101 permit tcp 192.168.3.00.0.0.255 any eq wwwrouter(config)#access-list 101 permit tcp 192.168.3.00.0.0.255 any eq ftprouter(config)#access-list 101 permit tcp 192.168.3.0 0.0.0.255 any eq smtprouter(config)#access-list 101 permit tcp 192.168.3.0 0.0.0.255 any eq pop3!禁止LAN1的主机访问internetrouter(config)#access-list 101 deny ip 192.168.1.0 0.0.0.255 any扩展IP访问列表配置举例配置续!应用访问列表101router(config)# interface serial 1router(config-if)# ip access-group 101 out!允许其他网段的主机访问LAN2的WWW,FTP,SMTP服务,拒绝其他请求router(config)#access-list 102 permit tcp any host 192.168.2.1 eq wwwrouter(config)#access-list 102 permit tcp any host 192.168.2.2 eq ftprouter(config)#access-list 102 permit tcp any host 192.168.2.3 eq smtprouter(config)#access-list 102 deny ip any any! 应用访问列表102router(config-if)#interface ethernet 0router(config-if)#ip access-group 102 out访问列表配置注意事项注意访问列表中语句的次序,尽量把作用范围小的语句放在前面新的表项只能被添加到访问表的末尾,即不允许将新的语句插入到原有的访问列表中标准的IP访问列表只匹配源地址,如果要检查更多的条件,则使用扩展的IP访问列表标准的访问列表尽量靠近目的在应用访问列表时,要特别注意应用的方向命名IP访问列表命名IP访问列表通过一个名称而不是一个编号来引用的。
命名的访问列表可用于标准的和扩展的访问表中。
编号IP访问列表和命名IP访问列表的区别名字能更直观地反映出访问列表完成的功能命名访问列表突破了99个标准访问列表和100个扩展访问列表的数量限制,能够定义更多的访问列表。
命名IP访问列表允许删除个别语句,而编号访问列表只能删除整个访问列表单个路由器上命名访问列表的名称必须是唯一的,而不同路由器上的命名访问列表名称可以相同编号与命名访问列表命令比较命名访问列表配置举例一通过配置命名访问列表来实现以下要求:主机192.168.1.1不能访问主机192.168.2.1,但可访问其他主机,对其他主机间的访问不做任何限制命名访问列表配置举例一配置router# configure terminalrouter(config)#ip access-list standard denyhost1router(config-std-nacl)#deny host 192.168.1.1router(config-std-nacl)# permit anyrouter(config-std-nacl)#exit!应用访问列表denyhost1router(config)# interface Ethernet 0router(config)# ip access-group denyhost1 out命名访问列表配置举例二LAN3的所有主机只能访问Internet中的WWW、FTP、SMTP、POP3服务。
LAN2中的主机192.168.2.1只提供WWW服务,主机192.168.2.2 只提供FTP服务,主机192.168.2.3只提供SMTP服务。
LAN1中的主机不能访问Internet,但可以访问LAN2和LAN3命名访问列表配置举例二配置router# configure terminal!允许网段LAN3的主机访问Internet的WWW,FTP,SMTP和POP3服务router(config)#ip access-list extended acl_lan1_lan3Router(config-ext-nacl)# permit tcp 192.168.3.0 0.0.0.255 any eq wwwRouter(config-ext-nacl)# permit tcp 192.168.3.0 0.0.0.255 any eq ftpRouter(config-ext-nacl)# permit tcp 192.168.3.0 0.0.0.255 any eq smtpRouter(config-ext-nacl)# permit tcp 192.168.3.0 0.0.0.255 any eq pop3!禁止LAN1的主机访问internetRouter(config-ext-nacl)# deny ip 192.168.1.0 0.0.0.255 anyRouter(config-ext-nacl)# exit!应用访问列表acl_lan1_lan3router(config)# interface serial 1router(config-if)# ip access-group acl_lan1_lan3 out命名访问列表配置举例二配置续!允许其他网段的主机访问LAN2的WWW,FTP,SMTP服务,拒绝其他请求Router(config)# ip access-list extended acl_lan2Router(config-ext-nacl)# permit tcp any host 192.168.2.1 eq wwwRouter(config-ext-nacl)# permit tcp any host 192.168.2.2 eq ftpRouter(config-ext-nacl)# permit tcp any host 192.168.2.3 eq smtpRouter(config-ext-nacl)# deny ip any anyRouter(config-ext-nacl)# exit! 应用访问列表acl_lan2router(config)#interface ethernet 0router(config-if)#ip access-group acl_lan2 out常用的周期时间范围定义形式周期时间举例指定的时间范围为从星期六的早上8:00到星期日的下午5:00,日期为2000年6月1日到2000年的12月31日:router(config)#time-range examplerouter(config-time-range)#absolute start 8:00 1 June 2000 end 17:00 31 December 2000router(config-time-range)#periodic weekend 8:00 to 17:00实验部分:实验20:访问控制列表的配置拓扑图如下:1)在路由器上配置访问控制列表,阻止PC1和PC0间的互访2)在路由器上配置访问控制列表,阻止PC2和PC1间互访项目21:扩展访问控制列表拓扑图如下:配置扩展访问控制列表阻止PC4到服务器的网页访问服务、。