访问控制列表acl
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
通配掩码某位是0,表示检查相应bit位的值;
通配掩码某位是1,表示不检查(忽略)相应位的值。
• 掩码的计算方法: • 方法一: 255.255.255.255 - 网络的子网掩码 • 如:192.168.10.0 255.255.255.240 通配符为 0.0.0.15 • 方法二:IP地址块的大小,记住,除了0外,每个十进制数应为奇数 • 如:CIDR为/27 的通配符为0.0.0.31 • 再如:一个B类地址,有8位的子网地址。想使用通配掩码,允许所有来自于
如果放在源地址E的较近的位 置,那么E到所有的流量都会 被禁止。即E哪都不能去。
15
ACL的配置
P509
• 创建一个ACL访问控制 Router(config)# access-list access_list_number {permit|deny} {test_conditions}
• 将访问控制绑定到接口上 Router(config-if)# {protocol} access-group access_list_number {in|out}
• 3.在每个访问列表的最后是一行隐含“deny any”(拒绝所有)语句 ,意味着如果数据包与访问列表中的所有行都不匹配,将被丢弃。
Presentation_ID
© 2001, Cisco Systems, Inc. All rights reserved.
9
ACL的配置指南——一般规则
• 先创建访问列表,然后将列表应用到一个接口。任何应用到一个接口 的访问列表如果不是现成的访问列表,那么此列表不会过滤流量。
• 命名访问列表,从技术上来说实际上只有两种,命名的访问列表可以 是标准的或扩展的访问列表,并不是一种真正的新类型列表。
Presentation_ID
© 2001, Cisco Systems, Inc. All rights reserved.
4
标准列表——基于源地址
A说,请路由器Lab_a帮助我限制数据:1. 阻止来自B、E的数据 2.允许来自C、D的数据
Presentation_ID
© 2001, Cisco Systems, Inc. All rights reserved.
8
ACL的运行过程
• 1.从第一行开始,按顺序比较访问列表的每一行,例如,从第一行开 始,然后转到第二行、第三行等等。
• 2.比较访问列表的各行直到比较到匹配的一行,一旦数据包与访问列 表的某一行匹配,遵照规定行事,不再进行后续比较。
ACL访问控制列表
Access Control List
Presentation_ID
© 2001, Cisco Systems, Inc. All rights reserved.
1
百度文库
课程内容
• ACL定义 • ACL分类 • ACL应用
Presentation_ID
© 2001, Cisco Systems, Inc. All rights reserved.
2
What are ACLs?
• 访问控制列表是一系列允许或拒绝数据的指令的集合。
A说,请路由器Lab_a帮助我限制数据:1. 阻止来自B、E的数据 2.允许来自C、D的数据
A
BC
DE
Lab_A接口检查
请每个源数据包接受检查: 1.来自B、E的数据丢弃 2.来自C、D的数据允许
Presentation_ID
• 当一个数据报进入一个端口,路由器检查这个数据报是否可路由。 如果是可以路由的,路由器检查这个端口是否有ACL控制进入数据报。 如果有,根据ACL中的条件指令,检查这个数据报。 如果数据报是被允许的,就查询路由表,决定数据报的目标端口。
• 路由器检查目标端口是否存在ACL控制流出的数据报 不存在,这个数据报就直接发送到目标端口。 如果存在,就再根据ACL进行取舍。然后在转发到目的端口。
Presentation_ID
• 1.Lab_A(config)#access-list 10 deny host 172.16.30.2 拒绝主机172.16.30.2
• 2. Lab_A(config)#access-list 10 permit 172.16.10.0 0.0.0.255 允许网络172.16.10.1~255
Access List Processes
Source and
Destination 进入路由过程
Protocol Permit?
Outgoing Packet
S0
Presentation_ID
© 2001, Cisco Systems, Inc. All rights reserved.
7
ACL的工作流程
A
BC
DE
Lab_A接口检查
请每个源数据包接受检查: 1.来自B、E的数据丢弃 2.来自C、D的数据允许
Presentation_ID
© 2001, Cisco Systems, Inc. All rights reserved.
5
扩展列表——基于源地址、目的地址、协议、端口
A说,请路由器Lab_a帮助我限制数据: 1.阻止来自B、E的FTP数据,但允许来自B、E的HTTP数据 2.允许来自C、D的FTP数据,阻止来自C、D的Telnet数据
10
ACL的配置指南——放置位置
• 标准访问列表尽可能放置在靠近目的地址的位置。不能将标准的访问 列表放置在靠近源主机或源网络的位置,因为这样会过虑基于源地址 的流量而造成不能转发任何数据。
• 扩展访问列表尽可能放置在靠近源地址的位置。既然扩展的访问列表 可以过滤每个特定的地址和协议,那么你不希望你的流量穿过整个网 络后再被拒绝。通过将这样的列表放置在尽量靠近源地址的位置.可 以在它使用宝贵的带宽之前过滤掉此流量。
Presentation_ID
© 2001, Cisco Systems, Inc. All rights reserved.
13
标准的ACL
• 标准访问列表,通过使用数据包的源IP地址过滤流量。一般用号码区 别访问列表类型。可以使用访问列表号1~99或1300~1999创建标准 的访问列表。
• 标准访问列表的创建根据 “动作”+“源地址”,即允许谁,拒绝 谁的方法来创建。
© 2001, Cisco Systems, Inc. All rights reserved.
19
通配掩码举例
• 假设一个B类地址,有8位的子网地址。想使用通配掩码,允许所有来 自于网络171.30.16.0~171.30.31.0网络的数据报访问。 首先,检查前面两个字节(171.30),通配掩码中的前两个字节位全 为0。由于没有兴趣检查主机地址,通配掩码的最后一个字节位全 为1。 通配掩码的第三个字节应该是15 (00001111)。 与之相应的通配掩码是0.0.15.255,将匹配子网171.30.16.0到 171.30.31.0的IP地址。
A
BC
DE
Lab_A接口检查
•扩展访问列表具有在控制流量时做更细粒度决定的能力。
Presentation_ID
© 2001, Cisco Systems, Inc. All rights reserved.
6
ACL的方向——Inbound or Outbound
• Inbound 进入路由器接口的方向 • Outbound 出路由器的出口方向 • 输入型访问列表:当访问列表被用于检测从接口输入的包时,包在进入路
如果放在源地址E的较近的位 置,那么E到所有的流量都会 被禁止。即E哪都不能去。
12
扩展列表——靠近源地址
A说,请路由器Lab_a帮助我限制数据: 1.阻止来自E的FTP数据,但允许来自E的HTTP数据
A
BC
DE
位置?
Here!!!! 离源近
如果放在离目的地址A较近的位置,那么E到A的FTP流量将 会穿过整个网络,在到达目的地的时候却被告知不可以到达 ,浪费网络带宽。即E的FTP流量白来一趟
© 2001, Cisco Systems, Inc. All rights reserved.
3
访问控制列表ACL作用、分类
• ACL具有灵活的数据流过滤和控制能力。例如,网络管理者可能允许 用户访问Internet,而不允许外部的用户登录到局域网中。
• ACL可以应用在路由器的接口上,也可以运行在路由协议上,更可以 运行在Telnet线路上。
由器之前要经过访问列表的处理。路由器不能路由任何被拒绝的包,因为 在路由之前这些包就会被丢弃掉。
• 输出型访问列表:当访问列表用于检测从接口输出的包时,数据包已经应 首先被路由到该输出接口,然后在进入该接口的输出队列之前经过访问列 表的处理。即在被发送出去之前被处理。
E0
Incoming Packet
Presentation_ID
© 2001, Cisco Systems, Inc. All rights reserved.
11
标准列表——靠近目的地址
A说,请路由器Lab_a帮助我限制数据:1. 阻止来自E的数据
A
BC
DE
Here!!!! 离目的近
位置?
Presentation_ID
© 2001, Cisco Systems, Inc. All rights reserved.
• 不能从访问列表中删除一行。如果试着这样做,将删除整个列表。可 以从命名访问列表中删除单独的一行。
• 访问列表设计为过滤通过路由器的流量,但不过滤路内器产生的流量 ,如路由器间交换路由信息等。
• ACL可以指定到一个或者多个端口。
Presentation_ID
© 2001, Cisco Systems, Inc. All rights reserved.
• 分类:一般用号码区别访问列表类型。
• 标准访问列表:只使用数据包的源地址作为测试条件。所有决定是基 于源IP地址的。这意味着标准的访问列表基本上允许或拒绝整个协议 组。
• 扩展访问列表:可以测试IP包的第3层和第4层报头中的字段。包括源 IP地址、目的IP地址、网络层报头中的协议字段(如,TCP、UDP、 ICMP等)以及位于传输层报头中的端口号。扩展访问列表具有在控制 流量时做更细粒度决定的能力。
• 关闭访问控制列表 Router(config)# no access-list access_list_number
Presentation_ID
© 2001, Cisco Systems, Inc. All rights reserved.
16
通配掩码
• 通配掩码(wildcard mask)是分成4字节的32bit数。通配掩码与IP地址位位 配对,相应位为0/1,用于表示如何对待IP地址中的相应位。
网络171.30.16.0~171.30.31.0网络的数据报访问。 • 块大小为:171.30.31.255 – 171.30.16.0 = 0.0.0.15.255
Presentation_ID
© 2001, Cisco Systems, Inc. All rights reserved.
17
通配掩码的工作原理
Presentation_ID
© 2001, Cisco Systems, Inc. All rights reserved.
14
标准列表——靠近目的地址
A说,请路由器Lab_a帮助我限制数据:1. 阻止来自E的数据
A
BC
DE
Here!!!! 离目的近
位置?
Presentation_ID
© 2001, Cisco Systems, Inc. All rights reserved.
Presentation_ID
© 2001, Cisco Systems, Inc. All rights reserved.
18
通配掩码举例
• 假设一个B类地址,有8位的子网地址。想使用通配掩码,允许所有来 自于网络171.30.16.0~171.30.31.0网络的数据报访问。
Presentation_ID
• 除非在访问列表未尾有permit any (允许所有),否则所有和列表的 测试条件都不符合的数据包将被丢弃。因为每个访问列表的最后是一 行隐含“deny any”(拒绝所有)语句每个列表应当至少有一个允许 语句,否则将会拒绝所有流量。
• 每个接口、每个协议或每个方向只可以分派一个访问列表。这意味着 如果创建了IP 访问列表,每个接口只能有一个输入型访问列表和一 个输出型访问列表。
通配掩码某位是1,表示不检查(忽略)相应位的值。
• 掩码的计算方法: • 方法一: 255.255.255.255 - 网络的子网掩码 • 如:192.168.10.0 255.255.255.240 通配符为 0.0.0.15 • 方法二:IP地址块的大小,记住,除了0外,每个十进制数应为奇数 • 如:CIDR为/27 的通配符为0.0.0.31 • 再如:一个B类地址,有8位的子网地址。想使用通配掩码,允许所有来自于
如果放在源地址E的较近的位 置,那么E到所有的流量都会 被禁止。即E哪都不能去。
15
ACL的配置
P509
• 创建一个ACL访问控制 Router(config)# access-list access_list_number {permit|deny} {test_conditions}
• 将访问控制绑定到接口上 Router(config-if)# {protocol} access-group access_list_number {in|out}
• 3.在每个访问列表的最后是一行隐含“deny any”(拒绝所有)语句 ,意味着如果数据包与访问列表中的所有行都不匹配,将被丢弃。
Presentation_ID
© 2001, Cisco Systems, Inc. All rights reserved.
9
ACL的配置指南——一般规则
• 先创建访问列表,然后将列表应用到一个接口。任何应用到一个接口 的访问列表如果不是现成的访问列表,那么此列表不会过滤流量。
• 命名访问列表,从技术上来说实际上只有两种,命名的访问列表可以 是标准的或扩展的访问列表,并不是一种真正的新类型列表。
Presentation_ID
© 2001, Cisco Systems, Inc. All rights reserved.
4
标准列表——基于源地址
A说,请路由器Lab_a帮助我限制数据:1. 阻止来自B、E的数据 2.允许来自C、D的数据
Presentation_ID
© 2001, Cisco Systems, Inc. All rights reserved.
8
ACL的运行过程
• 1.从第一行开始,按顺序比较访问列表的每一行,例如,从第一行开 始,然后转到第二行、第三行等等。
• 2.比较访问列表的各行直到比较到匹配的一行,一旦数据包与访问列 表的某一行匹配,遵照规定行事,不再进行后续比较。
ACL访问控制列表
Access Control List
Presentation_ID
© 2001, Cisco Systems, Inc. All rights reserved.
1
百度文库
课程内容
• ACL定义 • ACL分类 • ACL应用
Presentation_ID
© 2001, Cisco Systems, Inc. All rights reserved.
2
What are ACLs?
• 访问控制列表是一系列允许或拒绝数据的指令的集合。
A说,请路由器Lab_a帮助我限制数据:1. 阻止来自B、E的数据 2.允许来自C、D的数据
A
BC
DE
Lab_A接口检查
请每个源数据包接受检查: 1.来自B、E的数据丢弃 2.来自C、D的数据允许
Presentation_ID
• 当一个数据报进入一个端口,路由器检查这个数据报是否可路由。 如果是可以路由的,路由器检查这个端口是否有ACL控制进入数据报。 如果有,根据ACL中的条件指令,检查这个数据报。 如果数据报是被允许的,就查询路由表,决定数据报的目标端口。
• 路由器检查目标端口是否存在ACL控制流出的数据报 不存在,这个数据报就直接发送到目标端口。 如果存在,就再根据ACL进行取舍。然后在转发到目的端口。
Presentation_ID
• 1.Lab_A(config)#access-list 10 deny host 172.16.30.2 拒绝主机172.16.30.2
• 2. Lab_A(config)#access-list 10 permit 172.16.10.0 0.0.0.255 允许网络172.16.10.1~255
Access List Processes
Source and
Destination 进入路由过程
Protocol Permit?
Outgoing Packet
S0
Presentation_ID
© 2001, Cisco Systems, Inc. All rights reserved.
7
ACL的工作流程
A
BC
DE
Lab_A接口检查
请每个源数据包接受检查: 1.来自B、E的数据丢弃 2.来自C、D的数据允许
Presentation_ID
© 2001, Cisco Systems, Inc. All rights reserved.
5
扩展列表——基于源地址、目的地址、协议、端口
A说,请路由器Lab_a帮助我限制数据: 1.阻止来自B、E的FTP数据,但允许来自B、E的HTTP数据 2.允许来自C、D的FTP数据,阻止来自C、D的Telnet数据
10
ACL的配置指南——放置位置
• 标准访问列表尽可能放置在靠近目的地址的位置。不能将标准的访问 列表放置在靠近源主机或源网络的位置,因为这样会过虑基于源地址 的流量而造成不能转发任何数据。
• 扩展访问列表尽可能放置在靠近源地址的位置。既然扩展的访问列表 可以过滤每个特定的地址和协议,那么你不希望你的流量穿过整个网 络后再被拒绝。通过将这样的列表放置在尽量靠近源地址的位置.可 以在它使用宝贵的带宽之前过滤掉此流量。
Presentation_ID
© 2001, Cisco Systems, Inc. All rights reserved.
13
标准的ACL
• 标准访问列表,通过使用数据包的源IP地址过滤流量。一般用号码区 别访问列表类型。可以使用访问列表号1~99或1300~1999创建标准 的访问列表。
• 标准访问列表的创建根据 “动作”+“源地址”,即允许谁,拒绝 谁的方法来创建。
© 2001, Cisco Systems, Inc. All rights reserved.
19
通配掩码举例
• 假设一个B类地址,有8位的子网地址。想使用通配掩码,允许所有来 自于网络171.30.16.0~171.30.31.0网络的数据报访问。 首先,检查前面两个字节(171.30),通配掩码中的前两个字节位全 为0。由于没有兴趣检查主机地址,通配掩码的最后一个字节位全 为1。 通配掩码的第三个字节应该是15 (00001111)。 与之相应的通配掩码是0.0.15.255,将匹配子网171.30.16.0到 171.30.31.0的IP地址。
A
BC
DE
Lab_A接口检查
•扩展访问列表具有在控制流量时做更细粒度决定的能力。
Presentation_ID
© 2001, Cisco Systems, Inc. All rights reserved.
6
ACL的方向——Inbound or Outbound
• Inbound 进入路由器接口的方向 • Outbound 出路由器的出口方向 • 输入型访问列表:当访问列表被用于检测从接口输入的包时,包在进入路
如果放在源地址E的较近的位 置,那么E到所有的流量都会 被禁止。即E哪都不能去。
12
扩展列表——靠近源地址
A说,请路由器Lab_a帮助我限制数据: 1.阻止来自E的FTP数据,但允许来自E的HTTP数据
A
BC
DE
位置?
Here!!!! 离源近
如果放在离目的地址A较近的位置,那么E到A的FTP流量将 会穿过整个网络,在到达目的地的时候却被告知不可以到达 ,浪费网络带宽。即E的FTP流量白来一趟
© 2001, Cisco Systems, Inc. All rights reserved.
3
访问控制列表ACL作用、分类
• ACL具有灵活的数据流过滤和控制能力。例如,网络管理者可能允许 用户访问Internet,而不允许外部的用户登录到局域网中。
• ACL可以应用在路由器的接口上,也可以运行在路由协议上,更可以 运行在Telnet线路上。
由器之前要经过访问列表的处理。路由器不能路由任何被拒绝的包,因为 在路由之前这些包就会被丢弃掉。
• 输出型访问列表:当访问列表用于检测从接口输出的包时,数据包已经应 首先被路由到该输出接口,然后在进入该接口的输出队列之前经过访问列 表的处理。即在被发送出去之前被处理。
E0
Incoming Packet
Presentation_ID
© 2001, Cisco Systems, Inc. All rights reserved.
11
标准列表——靠近目的地址
A说,请路由器Lab_a帮助我限制数据:1. 阻止来自E的数据
A
BC
DE
Here!!!! 离目的近
位置?
Presentation_ID
© 2001, Cisco Systems, Inc. All rights reserved.
• 不能从访问列表中删除一行。如果试着这样做,将删除整个列表。可 以从命名访问列表中删除单独的一行。
• 访问列表设计为过滤通过路由器的流量,但不过滤路内器产生的流量 ,如路由器间交换路由信息等。
• ACL可以指定到一个或者多个端口。
Presentation_ID
© 2001, Cisco Systems, Inc. All rights reserved.
• 分类:一般用号码区别访问列表类型。
• 标准访问列表:只使用数据包的源地址作为测试条件。所有决定是基 于源IP地址的。这意味着标准的访问列表基本上允许或拒绝整个协议 组。
• 扩展访问列表:可以测试IP包的第3层和第4层报头中的字段。包括源 IP地址、目的IP地址、网络层报头中的协议字段(如,TCP、UDP、 ICMP等)以及位于传输层报头中的端口号。扩展访问列表具有在控制 流量时做更细粒度决定的能力。
• 关闭访问控制列表 Router(config)# no access-list access_list_number
Presentation_ID
© 2001, Cisco Systems, Inc. All rights reserved.
16
通配掩码
• 通配掩码(wildcard mask)是分成4字节的32bit数。通配掩码与IP地址位位 配对,相应位为0/1,用于表示如何对待IP地址中的相应位。
网络171.30.16.0~171.30.31.0网络的数据报访问。 • 块大小为:171.30.31.255 – 171.30.16.0 = 0.0.0.15.255
Presentation_ID
© 2001, Cisco Systems, Inc. All rights reserved.
17
通配掩码的工作原理
Presentation_ID
© 2001, Cisco Systems, Inc. All rights reserved.
14
标准列表——靠近目的地址
A说,请路由器Lab_a帮助我限制数据:1. 阻止来自E的数据
A
BC
DE
Here!!!! 离目的近
位置?
Presentation_ID
© 2001, Cisco Systems, Inc. All rights reserved.
Presentation_ID
© 2001, Cisco Systems, Inc. All rights reserved.
18
通配掩码举例
• 假设一个B类地址,有8位的子网地址。想使用通配掩码,允许所有来 自于网络171.30.16.0~171.30.31.0网络的数据报访问。
Presentation_ID
• 除非在访问列表未尾有permit any (允许所有),否则所有和列表的 测试条件都不符合的数据包将被丢弃。因为每个访问列表的最后是一 行隐含“deny any”(拒绝所有)语句每个列表应当至少有一个允许 语句,否则将会拒绝所有流量。
• 每个接口、每个协议或每个方向只可以分派一个访问列表。这意味着 如果创建了IP 访问列表,每个接口只能有一个输入型访问列表和一 个输出型访问列表。