访问控制列表(ACL)
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
• interface ethernet 1 :作用到E1口。
• ip access-group 1 out:ip access-group 1 与access-list
1 配对使用。 “out”表示为输出时测试。
© 1999, Cisco Systems, Inc.
ICND—10-7
目的端口号。
© 1999, Cisco Systems, Inc.
ICND—10-14
ACL表的号码
ACL表类型
IP Standard Extended Named
号码范围
1-99 100-199, 1300-1999, 2000-2699 Name (Cisco IOS 11.2 以上)
© 1999, Cisco Systems, Inc.
ICND—10-9
两种类型的ACL表
E0 进入的分组
ACL表处理 源地址 允许?
输出分组 S0
(1) 标准型(粗粒度的安全检查)
– 在过滤时只检查IP数据包的源地址。
– 基本上允许或拒绝整个协议组(比如 TCP/IP或IPX/SPX)。
© 1999, Cisco Systems, Inc.
ICND—10-10
标准型 IP ACL表的号码
ACL表类型
IP Standard
号码范围
1- 99
标准型 IP ACL表 (号码为1 到 99) 测试 的是源地址。
© 1999, Cisco Systems, Inc.
允许
ICND—10-17
4. 使用通配符检测IP地址
128 64 32 16
000 0 001 1 000 0 111 1 111 1
84 2
0 00 1 11 1 11 1 10 1 11
1
0= 1= 1= 0= 1=
八位组的比特 举例:
(① ② ③ ④ ⑤
• 0 表示检测相应的地址比特位。 • 1 表示忽略(不检测)相应的地址比特位。
ICND—10-6
1. 什么是访问控制列表 (ACL)
•接下来的处理是,将ACL作用到相应的接口上,并在输出
方向上进行测试:
• interface ethernet 0:作用到E0口。
• ip access-group 1 out: ip access-group 1 与access-list
•
1 配对使用。 “out”表示为输出时测试。
ICND—10-20
(2) 忽略所有主机的 IP地址
测试条件: 忽略所有比特 (不检测所有比特)。 任意 IP 地址: 0.0.0.0
通配掩码: 255.255.255.255 (忽略所有比特)
即:0.0.0.0 255.255.255.255表示接受任意地址。
© 1999, Cisco Systems, Inc.
概述
5. 测试条件的使用
当把进入的数据包与ACL表中设置的测试 条件进行比较时,需要遵循如下规则:
通常是按顺序比较ACL表中的每一行测试 条件。比如,从第1行开始,然后转到第2行, 第3行,等等,直到比较到相匹配的一行。一 旦数据包与ACL表的某一行相匹配,就进行相 应的处理,不再进行后续的比较。
IPX Standard Extended SAP filters Named
800- 899 900- 999 1000- 1099 Name (Cisco IOS 11.2. F 以上)
其他范围的号码测试其他的stems, Inc.
© 1999, Cisco Systems, Inc.
ICND—10-12
3. 两种类型的ACL表
E0 进入的分组
ACL表处理
源地址 目的地址
协议
允许?
输出分组
S0
S0
(2) 扩展型(细粒度的安全检查) – 检查IP数据包的源地址和目的地址。 – 可以允许或拒绝某个协议 (比如Telnet)。
© 1999, Cisco Systems, Inc.
ICND—10-8
概述
2.访问控制列表 (ACL)的作用 1) 对网络流量(traffic)进行管理。 2) 过滤(filtering)不安全数据,保护敏感设备 ,防止非授权的访问。
正确地使用和配置ACL表是路由器配置中 至关重要的部分。网络管理员可以使用ACL表 来实现网络管理,过滤不安全的数据包。
© 1999, Cisco Systems, Inc.
ICND—10-5
1. 什么是访问控制列表 (ACL)
access-list 1 :此语句用来定义访问控制列表。“1”表
示是标准型 ACL,它测试的是源地址。
permit: 表示“允许” (如果是deny,则拒绝)。
172.16.0.0 0.0.255.255:
ICND—10-11
访问控制列表 (ACL)
相应的配置命令为: (在全局模式下)
Router(config)# access-list 1 permit 172.16.0.0 0.0.255.255
Router(config)# interface ethernet 0 Router(config-if)#ip access-group 1 out Router(config)# interface ethernet 1 Router(config-if)# ip access-group 1 out
ICND—10-21
(3) 检测IP子网的地址
例如:要检测出子网172.30.16.0/24的IP地址。 IP 地址和通配掩码如何设置? 172.30.16.0 0.0.0.255
© 1999, Cisco Systems, Inc.
ICND—10-22
ICND—10-19
(1) 检测特定主机的 IP 地址
测试条件:检测所有比特。 例如,某主机的 IP 地址为: 172.30.16.29
通配掩码为: 0.0.0.0 (检测所有比特)
172.30.16.29 0.0.0.0 表示检测所有比特, 即检测特定主机的IP地址。
© 1999, Cisco Systems, Inc.
© 1999, Cisco Systems, Inc.
ICND—10-13
扩展型 IP ACL表的号码
ACL表类型
IP Standard Extended
号码范围
1- 99 100-199
扩展型 IP ACL表 (号码为100 到 199) 可以测试源地址、目的地址、特定的协议和
ICND—10-15
使用标准型ACL测试分组的源地址 (号码为1-99)
帧头
( 例如, HDLC )
分组
数据段( 例如,
( IP 报头 ) TCP 报头 )
数据
© 1999, Cisco Systems, Inc.
源地址
拒绝
使用ACL表 (199)检测分组
允许
ICND—10-16
第五章 附加内容 访问控制列表(ACL)
© 1999, Cisco Systems, Inc.
10-1
1 概述
1. 什么是访问控制列表 (ACL) 访问控制列表是在路由器上配置的,是一 系列的测试条件(语句),用来确定数据包能否 通过某个网络,即实现对网络的访问控制。
如果在路由器上配置了访问控制列表,路 由器就会在指定的方向(in/out)上,根据测试条 件对通过某个接口的每个数据包进行分析,并 进行相应的处理(permit/deny)。
1. 什么是访问控制列表 (ACL)
访问控制列表是一系列设置好的测试条件
,这些条件用来控制对一个网络的访问,同时 也可以控制网络内部的访问。ACL表可以过 滤不安全的数据包,并实现安全策略。
IP ACL表实际上是一种包过滤器(packet filter),它对数据包进行比较、分类并做出相 应处理。如果使用了ACL表,路由器就会在 指定的方向上(in/out)分析通过某个接口的每 个数据包,并进行相应的处理(permit/deny) 。
拒绝 拒绝
拒绝
第一条语句 Y? Y
YN Y
Y配是下否一匹条Y 语句? N
Y 是否匹 Y 配最后一 条语句?
允许 允许
允许
分组丢弃筐
拒绝
© 1999, Cisco Systems, Inc.
目的 接口
ICND—10-26
测试访问表: 拒绝或允许
分组进入配有 ACL表的接口
是否匹配 第一条语句
© 1999, Cisco Systems, Inc.
ICND—10-23
测试访问表: 拒绝或允许
分组进入配有 ACL表的接口
拒绝
是否匹配
第一条语句
Y?Y
Y
Y
允许
目的 接口
分组丢弃筐
© 1999, Cisco Systems, Inc.
拒绝
ICND—10-24
© 1999, Cisco Systems, Inc.
ICND—10-2
1. 什么是访问控制列表 (ACL)
172.16.3.0/24
非 172.16.0.0
E0
S0
A E1
172.16.4.0/24 172.16.4.13
考虑一下:现在我们想让172.16.0.0的两 个内部网络之间互通,拒绝来自其他网络(非
© 1999, Cisco Systems, Inc.
ICND—10-4
1. 什么是访问控制列表 (ACL)
相应的配置命令为: (在全局模式下)
Router(config)#access-list 1 permit 172.16.0.0 0.0.255.255 Router(config)# interface ethernet 0 Router(config-if)#ip access-group 1 out Router(config)# interface ethernet 1 Router(config-if)# ip access-group 1 out
172.16.0.0)的流量进入这两个网络,此时应 当如何在路由器A上配置相应的ACL?
© 1999, Cisco Systems, Inc.
ICND—10-3
1. 什么是访问控制列表 (ACL)
此时需要解决的问题是: 1) 如何识别出来自172.16.0.0内部网络的流 量? permit/deny? 答案: 编写测试语句,对源地址进行检查。 2) 在那些接口上起作用? in/out? 答案:编写语句,指定相应的接口,并指定 方向。
测试条件的使用: 拒绝或允许
是否匹配
分组进入配有 ACL表的接口
第一条语句 Y?Y
YN Y
拒绝
允许
拒绝
是否匹配
下一条语句
Y? N
Y
允许
目的 接口
分组丢弃筐
© 1999, Cisco Systems, Inc.
拒绝
ICND—10-25
测试访问表: 拒绝或允许
是否匹配
分组进入配有 ACL表的接口
© 1999, Cisco Systems, Inc.
ICND—10-18
4. 使用通配符检测IP地址
•① 检测所有比特。 •② 忽略后面6个地址比特位。 •③ 忽略后面4个地址比特位。 •④ 检测后面2个地址比特位。 •⑤ 不检测地址 (忽略所有地址)。
© 1999, Cisco Systems, Inc.
为测试条件。检测数据包是否来自网络172.16.0.0 。
0.0.255.255 为通配掩码,“0” 表示检测相应的地址比
特位;“1 ”表示不检测相应的地址比特位。因此,此测试
条件为:检测数据包是否来自网络172.16.0.0。
© 1999, Cisco Systems, Inc.
使用扩展型ACL测试分组的源 地址、目的地址或某个协议
帧头 ( 例如, HDLC )
分组 ( IP 头 )
数据段 (例如, T端C口P号报头)
数据
协议
源地址 目的地址
(号码为:100-199, 拒绝 1300-1999, 2000-2699)
使用ACL表 (100-199)检测
分组
© 1999, Cisco Systems, Inc.
?Y YN Y