06-访问控制列表工作原理及基本配置

All rights reserved
Page 13
高级IP访问控制列表的配置命令（二）
配置基于ICMP协议的高级IP访问列表：
Switch(config)# access-list <num> {deny | permit} icmp {{<sIpAddr> <sMask>} | any-source |{host-source <sIpAddr>}} {{<dIpAddr> <dMask>} | any-destination |{host-destination <dIpAddr>}} [<icmp-type> [<icmp-code>]] [precedence <prec>][tos <tos>][time-range<time-range-name>]
显示包过滤功能配置信息
Switch# show firewall
显示端口上ACL 绑定情况
Switch# show access-group [interface [Ethernet] <name>]
All rights reserved
Page 17
在物理端口上应用访问控制列表
将访问控制列表应用到物理端口上 指明是OUT还是IN方向 在物理端口配置模式下：
绝。
从 202.110.10.0/24 来的数据包可以 通过！
从192.110.10.0/24 来的数据包不能 通过！
路由器
All rights reserved
Page 9
标准IP访问控制列表的配置
命令格式如下：
Switch(config)# access-list <num> {deny | permit} {{<sIpAddr> <sMask >} | any-source |{host-source <sIpAddr>}}
Page 6
All rights reserved
神州数码产品对ACL的定义标准
access-list可以有如下分类：
根据过滤信息： − ip access-list（三层及以上信息），mac access-list（二层信息）， mac-ip access-list（二层及以上信息）。
根据配置的复杂程度：
All rights reserved
Page 14
高级IP访问控制列表举例
access-list 110 deny icmp 10.1.0.0 0.0.255.255 any-destination icmp-type host-redirect
ICMP主机重定向报文 10.1.0.0/16
此命令创建一条数字标准IP 访问列表，如果已有此访问列表，则增加一
条rule 表项
怎样利用 IP 地址 和 反掩码sMask 来表示 一个网段?
All rights reserved
Page 10
如何使用反掩码
反掩码和子网掩码相似，但写法不同：
0表示需要比较 1表示忽略比较
反掩码和IP地址结合使用，可以描述一个地址范围。
{ip|mac|mac-ip} access-group [<num>|<acl-name>]{in|out}
访问控制列表2001 作用在Ethernet0/0/1接 口，在out方向有效 Ethernet0/0/1
访问控制列表3001 作用在Ethernet0/0/2接 口，在in方向上有效 Ethernet0/0/2
All rights reserved
Page 15
如何使用访问控制列表
启用防火墙
Internet
公司总部网络
将访问控制列表应用到接 口上
防火墙配置常见步骤：
启用防火墙 定义访问控制列表 将访问控制列表应用到接口上
All rights reserved Page 16
防火墙的属性配置命令
All rights reserved
Page 18
基于时间段的包过滤
“特殊时间段内应用特殊的规则”
Internet
上班时间 （上午8：00 － 下午5：00） 只能访问特定的站点；其余 时间可以访问其他站点
All rights reserved
Page 19
时间段的配置命令
创建一个名为time_range_name 的时间范围名，并同时进入时间范围模式
All rights reserved Page 20
包过滤技术的基本规则和原理
小结
标准和扩展访问控制列表的配置方法
列表的种类 标准IP访问列表 扩展IP访问列表 标准MAC访问列表 扩展MAC访问列表 扩展MAC-IP访问列表
数字标识的范围 1－99 100－199 700－799 1100 －1199 3100－3199
All rights reserved
Page 8
标准IP访问控制列表
标准IP访问控制列表只使用源IP地址描述数据，表明是允许还是拒
配置基于其它协议的高级IP访问列表：
Switch(config)# access-list <num> {deny | permit} {eigrp | gre | igrp | ipinip | ip | <int>}{{<sIpAddr> <sMask>} | any-source | {hostsource <sIpAddr>}} {{<dIpAddr><dMask>} | any-destination | {host-destination <dIpAddr>}} [precedence <prec>][tos <tos>][time-range<time-range-name>]
访问控制列表是什么？
一个以太网帧如下图所示：
可以是 TCP/UDP/ICMP/ OSPF。。。。
以太网帧头
IP包头
TCP/UDP报头
数据
源MAC
协议号
源地址
源端口
目的MAC
帧头字段
目的端口
目的地址
对于以太网帧来说， 帧头的相关字段可以 用来定义规则；甚至 可以将二、三、四层 各字段同时用于规则 定义。
访问控制列表工作原理 及基本配置
All rights reserved
学习完此课程，您将会：
理解访问控制列表的基本原理
掌握标准和扩展访问控制列表的配置方法 掌握在交换机上配置基于二层的访问控制列表的方法
All rights reserved
Page 2
IP包过滤技术介绍
如何在保证合法访问的同时，对非法访问进行控制？
对路由器/交换机需要转发的数据包，先获取包头信息，然后 和设定的规则进行比较，根据比较的结果对数据包进行转发 或者丢弃。而实现包过滤的核心技术是访问控制列表。
R
内部网络 Internet 办事处 公司总部
All rights reserved
ቤተ መጻሕፍቲ ባይዱ
未授权用户
Page 3
访问控制列表的作用
访问控制列表可以用于防火墙； 访问控制列表可以用于Qos（Quality of Service），对数据流量进
打开或者关闭防火墙
Switch(config)# firewall { enable | disable }
设置防火墙的缺省过滤模式
Switch(config)# firewall default { permit | deny }
显示配置的访问控制列表
Switch# show access-lists [<num>|<acl-name>]
0 0 0
0 0 255
0 3 255
255 255 255
只比较前24位 只比较前22位 只比较前8位
All rights reserved
Page 11
扩展IP访问控制列表
扩展IP访问控制列表使用除源IP地址外更多的信息描述数据包，
表明是允许还是拒绝。
从202.110.10.0/24来的, 到179.100.17.10的， 使用TCP协议， 利用HTTP访问的 数据包可以通过！
路由器
All rights reserved
Page 12
高级IP访问控制列表的配置命令（一）
配置基于TCP协议的高级IP访问列表：
Switch(config)# access-list <num> {deny | permit} tcp {{<sIpAddr> <sMask>} | any-source |{host-source <sIpAddr>}} [sPort <sPort>] {{<dIpAddr> <dMask>} | any-destination |{host-destination <dIpAddr>}} [dPort <dPort>] [ack+ fin+ psh+ rst+ urg+ syn] [precedence <prec>] [tos <tos>][time-range<time-range-name>]
定义一个绝对时间段，这个时间段是根据本设备的时钟运行
Switch (Config-Time-Range) # absolute start <start_time> <start_data> [end <end_time> <end_data>]
显示时间范围功能配置信息
Switch(config)# show time-range<word>
行控制；
在DCC中，访问控制列表还可用来规定触发拨号的条件；
访问控制列表还可以用于地址转换；
在配置路由策略时，可以利用访问控制列表来作路由信息的过滤； 在配置策略路由时，可以利用访问控制列表来过滤特定的报文做特
殊处理。
All rights reserved
Page 4
访问控制列表是什么？
一个IP数据包如下图所示（图中IP所承载的上层协议为TCP/UDP）：
IP包头
TCP/UDP报头
数据
协议号 源地址 目的地址
源端口
目的端口
对于TCP/UDP应用来说，这5 个元素组成了一个TCP/UDP 相关，访问控制列表就是利 用这些元素定义相应的规则
All rights reserved
Page 5
− 标准（standard）和扩展（extended）；扩展方式可以指定更加 细致的过滤信息。 根据命名方式： − 数字（numbered）和命名（named）。
对一条ACL的说明应当从这三个方面加以描述。
All rights reserved
Page 7
如何标识访问控制列表？
利用数字标识访问控制列表 利用数字范围标识访问控制列表的种类（神州数码交换机产品）
access-list 120 deny tcp 129.9.0.0 0.0.255.255 202.38.160.0 0.0.0.255 dport 80
TCP报文
WWW 端口 202.38.160.0/24
129.9.0.0/16
问题: 下面这条规则表示什么意思? deny udp 129.9.8.0 0.0.0.255 202.38.160.0 0.0.0.255 dport 128
Switch(config)# time-range <time_range_name>
定义一周内的各种不同要求的时间范围，每周都循环这个时间
Switch (Config-Time-Range) # absolute-periodic { Monday | Tuesday | Wednesday |Thursday |Friday |Saturday |Sunday }<start_time> to {Monday| Tuesday |Wednesday |Thursday |Friday |Saturday |Sunday} <end_time>
配置基于UDP协议的高级IP访问列表：
Switch(config)# access-list <num> {deny | permit} udp {{<sIpAddr> <sMask>} | any-source |{host-source <sIpAddr>}} [sPort <sPort>] {{<dIpAddr> <dMask>} | any-destination |{hostdestination <dIpAddr>}} [dPort <dPort>] [precedence <prec>] [tos<tos>][time-range<time-range-name>]