访问控制列表
合集下载
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
目录
访问控制列表概述 标准访问控制列表实验
扩展访问控制列表实验
2018/9/29
访问控制列表的基本概念
访问控制列表(ACL,Access Control List)也称为访问列表 (ACcess List),是应用在网络设备接口的有序指令序列,通过指 令定义一些规则,依据规则对经过该接口上的数据包进行转发(接 受)或丢弃(拒绝)控制 访问控制列表主要有标准访问控制列表和扩展访问控制列表
扩展访问控制列表实验
2018/9/29
标准访问控制列表实验
配置相关实验环境
WebServer地址:192.168.1.1/24,PC0地址:172.16.14.11/24, PC1地址:172.16.14.12/24 路由器地址:f0/0:192.168.1.254/24,F0/1:172.16.14.254/24 测试:经过上述简单配置,PC与WebServer间能否ping通
标准访问控制列表只能针对源地址来定义规则,即定义规则接受 (permit)或拒绝(deny)某个地址发出的数据分组(包括主动发出 的分组和应答分组) 扩展访问控制列表可以针对数据流的源地址/目的地址、源端口/目的 端口、协议或其他信息来定义规则
注意:访问控制列表不能对网络设备自身产生的数据分组进行控制
2018/9/29
应用ACL
ip access-group <标识号码> {in │out}:对进入或流出网络设备特定端 口的数据分组应用指定的访问控制列表 例如: router(config)#interface fastethernet 0/0 router(config-if)#ip access-group 3 in 站 数据应用标准访问控制列表3 的规则处理 //对f0/0 的入
说明:通配符用反掩码表示,路由器只检查通配符(以二进制表示)中 “0”对应的地址位
2018/9/29
ACL常用命令汇总
应用访问控制列表
ip access-group <标识号码> {in │out}:对进入或流出特定端口的数据 分组应用指定的访问控制列表 例如: router(config)#interface fastethernet 0/0 router(config-if)#ip access-group 3 in 站 数据应用标准访问控制列表3 的规则处理 router(config-if)#ip access-group 109 out 站 数据应用扩展访问控制列表109 的规则处理 //对f0/0 的入 //对f0/0 的出
Router#show ip interface fastethernet 1பைடு நூலகம்0 //查看指定端口的访 问控制列表绑定情况
FastEthernet0/1 is up, line protocol is up (connected) Internet address is 172.16.14.254/23 Broadcast address is 255.255.255.255
2018/9/29
标准访问控制列表实验
问题:无法单独删除访问控制列表的某条或某几条规则
键入以下配置
router(config)#access-list 1 deny 172.16.14.10 0.0.0.0 router(config)#access-list 1 permit 0.0.0.0 255.255.255.255
2018/9/29
ACL常用命令汇总
查看访问控制列表的定义:show ip access-list
2018/9/29
ACL常用命令汇总
查看接口的访问控制列表绑定情况:show ip interface <接口类型>
<接口编号>
2018/9/29
目录
访问控制列表概述 标准访问控制列表实验
//可查看访问控制列表的定义
2018/9/29
标准访问控制列表实验
测试效果(建议在CPT的仿真模式下观察效果)
从PC0 ping WebServer,通否?为什么?
从PC1 ping WebServer,通否?为什么?
从WebServer ping PC0,通否?为什么? 从WebServer ping PC1,通否?为什么?
然后用show running-config查看的配置结果:
…… access-list 1 deny host 172.16.14.10 access-list 1 permit any ……
这样建立的ACL不能只删除其中某条或某几条规则,只能将编号相同的整个 ACL列表删除,如用命令“no access-list 1”删除整个access-list 1
2018/9/29
定义ACL
访问控制列表定义示例
定义标准访问控制列表,列表号为1,拒绝所有来源于主机172.16.14.11的 数据分组通过,允许其他来源的数据分组通过
router(config)#access-list 1 deny 172.16.14.11 0.0.0.0 router(config)#access-list 1 permit 0.0.0.0 255.255.255.255 access-list permit any //或者
2018/9/29
ACL常用命令汇总
Access-list:定义一个访问控制列表
标准访问控制列表的建立:
access-list <标识号码或名字> <deny│permit> <源地址> <通配符>
标识号码范围为1-99
扩展访问控制列表的建立:
access-list <标识号码或名字> <deny│permit> <协议标识> <源地址> <通配 符> <源端口> <目的地址> <通配符> <目的端口> 标识号码范围为100-199 协议标识如ip、tcp、udp、icmp等
//删除对入
//对出站数据应用
2018/9/29
标准访问控制列表实验
将前述access-list 1 的最后一条规则删除,再次进行前述的四项测 试并分析结果
Router(config)#no access-list 1
说明:用前述方法建立的访问控制列表,无法只删除其中的一条命令 ,例如,命令“no access-list 1”删除的是整个标准访问控制列表1。 要想能够单独删除访问控制列表中的某条或某几条命令,参阅接下来 的2张幻灯片
2018/9/29
标准访问控制列表实验
解决方法:
用ip access-list命令代替access-list命令建立ACL:
router(config)#ip access-list standard 1 //如果是扩展ACL则用ip access-list extended 101等命令 router(config-std-nacl)#deny 172.16.14.10 0.0.0.0 router(config-std-nacl)#permit 0.0.0.0 255.255.255.255 //或router(config-std-nacl)#permit any
router(config-if)#ip access-group 109 out 站 数据应用扩展访问控制列表109 的规则处理
//对f0/0 的出
2018/9/29
ACL的执行流程
对于一个到达网络设备的数据分组来说,一旦它与访问控制列表中 的某个表项的规则匹配,就执行该表项相应的操作,而对此数据分 组的检测就结束,不再匹配该分组与后面的表项 访问控制列表的隐含规则是拒绝所有数据包。即,如果所有的ACL 判断语句都检测完毕,仍没有匹配的语句出口,则该数据分组将视 为被拒绝而丢弃。因此,在实战中,标准访问控制列表往往在最后 加上一条permit any规则(表示不符合前面规则的分组全部允许通 过);而扩展访问控制列表则在最后加上一条permit ip any any (表示不符合前面规则的IP分组全部允许通过)或者permit tcp any any(表示不符合前面规则的并且使用TCP的IP分组全部允许通 过) 等规则
Router#show running-config 及绑定情况
…… interface FastEthernet0/1 ip address 172.16.14.254 255.255.254.0 ip access-group 1 in 制列表1 …… ! access-list 1 deny host 172.16.14.11 access-list 1 permit any ! …… //标准访问控制列表1 的定义 //已设置对f0/1 口的入站数据应用标准访问控
2018/9/29
标准访问控制列表实验
在路由器的F0/1端口启用访问控制列表
Router(config)#interface f0/1
Router(config-if)#ip access-group 1 in access-list 1
//对入站数据应用
2018/9/29
标准访问控制列表实验
……
Outgoing access list is not set //没设置对f0/1 口的出 站绑定 Inbound access list is 1 制列表1 //已设置对f0/1 口的入站数据应用标准访问控
……
2018/9/29
标准访问控制列表实验
可用以下几条命令查看访问控制列表的定义及其绑定情况
2018/9/29
标准访问控制列表实验
建立访问控制列表
Router(config)#access-list 1 deny 172.16.14.11 0.0.0.0
Router(config)#access-list 1 permit 0.0.0.0 255.255.255.255 //或Router(config)#access-list 1 permit any
2018/9/29
定义ACL
访问控制列表定义示例
定义标准访问控制列表,列表号为2,拒绝所有来源于172.16.14.0/24子网 的数据分组通过,允许其他来源的数据分组通过
router(config)#access-list 2 deny 172.16.14.0 0.0.0.255 router(config)#access-list 2 permit any //或者access-list 2 permit
2018/9/29
标准访问控制列表实验
在路由器的f0/1 端口上改变启用access-list 1 的模式(由in改为 out),再次进行前述的四项测试并分析结果
Router(config-if)#no ip access-group 1 in 站数据的绑定设置
Router(config-if)#ip access-group 1 out access-list 1
可用以下几条命令查看访问控制列表的定义及其绑定情况
Router#show ip access-lists
Standard IP access list 1
deny host 172.16.14.11 permit any
//查看访问控制列表的定义
2018/9/29
标准访问控制列表实验
可用以下几条命令查看访问控制列表的定义及其绑定情况
0.0.0.0 255.255.255.255
2018/9/29
定义ACL
访问控制列表定义示例
定义扩展访问控制列表,列表号为101,拒绝子网172.16.14.0/24的设备 通过HTTP访问主机172.16.14.1,允许其他使用TCP协议的数据分组通过
router(config)#access-list 101 deny tcp 172.16.14.0 0.0.0.255 192.168.1.1 0.0.0.0 eq 80 router(config)#access-list 101 permit tcp any any // access-list 101 permit ip any any则是允许所有使用IP协议的数据分组通过
访问控制列表概述 标准访问控制列表实验
扩展访问控制列表实验
2018/9/29
访问控制列表的基本概念
访问控制列表(ACL,Access Control List)也称为访问列表 (ACcess List),是应用在网络设备接口的有序指令序列,通过指 令定义一些规则,依据规则对经过该接口上的数据包进行转发(接 受)或丢弃(拒绝)控制 访问控制列表主要有标准访问控制列表和扩展访问控制列表
扩展访问控制列表实验
2018/9/29
标准访问控制列表实验
配置相关实验环境
WebServer地址:192.168.1.1/24,PC0地址:172.16.14.11/24, PC1地址:172.16.14.12/24 路由器地址:f0/0:192.168.1.254/24,F0/1:172.16.14.254/24 测试:经过上述简单配置,PC与WebServer间能否ping通
标准访问控制列表只能针对源地址来定义规则,即定义规则接受 (permit)或拒绝(deny)某个地址发出的数据分组(包括主动发出 的分组和应答分组) 扩展访问控制列表可以针对数据流的源地址/目的地址、源端口/目的 端口、协议或其他信息来定义规则
注意:访问控制列表不能对网络设备自身产生的数据分组进行控制
2018/9/29
应用ACL
ip access-group <标识号码> {in │out}:对进入或流出网络设备特定端 口的数据分组应用指定的访问控制列表 例如: router(config)#interface fastethernet 0/0 router(config-if)#ip access-group 3 in 站 数据应用标准访问控制列表3 的规则处理 //对f0/0 的入
说明:通配符用反掩码表示,路由器只检查通配符(以二进制表示)中 “0”对应的地址位
2018/9/29
ACL常用命令汇总
应用访问控制列表
ip access-group <标识号码> {in │out}:对进入或流出特定端口的数据 分组应用指定的访问控制列表 例如: router(config)#interface fastethernet 0/0 router(config-if)#ip access-group 3 in 站 数据应用标准访问控制列表3 的规则处理 router(config-if)#ip access-group 109 out 站 数据应用扩展访问控制列表109 的规则处理 //对f0/0 的入 //对f0/0 的出
Router#show ip interface fastethernet 1பைடு நூலகம்0 //查看指定端口的访 问控制列表绑定情况
FastEthernet0/1 is up, line protocol is up (connected) Internet address is 172.16.14.254/23 Broadcast address is 255.255.255.255
2018/9/29
标准访问控制列表实验
问题:无法单独删除访问控制列表的某条或某几条规则
键入以下配置
router(config)#access-list 1 deny 172.16.14.10 0.0.0.0 router(config)#access-list 1 permit 0.0.0.0 255.255.255.255
2018/9/29
ACL常用命令汇总
查看访问控制列表的定义:show ip access-list
2018/9/29
ACL常用命令汇总
查看接口的访问控制列表绑定情况:show ip interface <接口类型>
<接口编号>
2018/9/29
目录
访问控制列表概述 标准访问控制列表实验
//可查看访问控制列表的定义
2018/9/29
标准访问控制列表实验
测试效果(建议在CPT的仿真模式下观察效果)
从PC0 ping WebServer,通否?为什么?
从PC1 ping WebServer,通否?为什么?
从WebServer ping PC0,通否?为什么? 从WebServer ping PC1,通否?为什么?
然后用show running-config查看的配置结果:
…… access-list 1 deny host 172.16.14.10 access-list 1 permit any ……
这样建立的ACL不能只删除其中某条或某几条规则,只能将编号相同的整个 ACL列表删除,如用命令“no access-list 1”删除整个access-list 1
2018/9/29
定义ACL
访问控制列表定义示例
定义标准访问控制列表,列表号为1,拒绝所有来源于主机172.16.14.11的 数据分组通过,允许其他来源的数据分组通过
router(config)#access-list 1 deny 172.16.14.11 0.0.0.0 router(config)#access-list 1 permit 0.0.0.0 255.255.255.255 access-list permit any //或者
2018/9/29
ACL常用命令汇总
Access-list:定义一个访问控制列表
标准访问控制列表的建立:
access-list <标识号码或名字> <deny│permit> <源地址> <通配符>
标识号码范围为1-99
扩展访问控制列表的建立:
access-list <标识号码或名字> <deny│permit> <协议标识> <源地址> <通配 符> <源端口> <目的地址> <通配符> <目的端口> 标识号码范围为100-199 协议标识如ip、tcp、udp、icmp等
//删除对入
//对出站数据应用
2018/9/29
标准访问控制列表实验
将前述access-list 1 的最后一条规则删除,再次进行前述的四项测 试并分析结果
Router(config)#no access-list 1
说明:用前述方法建立的访问控制列表,无法只删除其中的一条命令 ,例如,命令“no access-list 1”删除的是整个标准访问控制列表1。 要想能够单独删除访问控制列表中的某条或某几条命令,参阅接下来 的2张幻灯片
2018/9/29
标准访问控制列表实验
解决方法:
用ip access-list命令代替access-list命令建立ACL:
router(config)#ip access-list standard 1 //如果是扩展ACL则用ip access-list extended 101等命令 router(config-std-nacl)#deny 172.16.14.10 0.0.0.0 router(config-std-nacl)#permit 0.0.0.0 255.255.255.255 //或router(config-std-nacl)#permit any
router(config-if)#ip access-group 109 out 站 数据应用扩展访问控制列表109 的规则处理
//对f0/0 的出
2018/9/29
ACL的执行流程
对于一个到达网络设备的数据分组来说,一旦它与访问控制列表中 的某个表项的规则匹配,就执行该表项相应的操作,而对此数据分 组的检测就结束,不再匹配该分组与后面的表项 访问控制列表的隐含规则是拒绝所有数据包。即,如果所有的ACL 判断语句都检测完毕,仍没有匹配的语句出口,则该数据分组将视 为被拒绝而丢弃。因此,在实战中,标准访问控制列表往往在最后 加上一条permit any规则(表示不符合前面规则的分组全部允许通 过);而扩展访问控制列表则在最后加上一条permit ip any any (表示不符合前面规则的IP分组全部允许通过)或者permit tcp any any(表示不符合前面规则的并且使用TCP的IP分组全部允许通 过) 等规则
Router#show running-config 及绑定情况
…… interface FastEthernet0/1 ip address 172.16.14.254 255.255.254.0 ip access-group 1 in 制列表1 …… ! access-list 1 deny host 172.16.14.11 access-list 1 permit any ! …… //标准访问控制列表1 的定义 //已设置对f0/1 口的入站数据应用标准访问控
2018/9/29
标准访问控制列表实验
在路由器的F0/1端口启用访问控制列表
Router(config)#interface f0/1
Router(config-if)#ip access-group 1 in access-list 1
//对入站数据应用
2018/9/29
标准访问控制列表实验
……
Outgoing access list is not set //没设置对f0/1 口的出 站绑定 Inbound access list is 1 制列表1 //已设置对f0/1 口的入站数据应用标准访问控
……
2018/9/29
标准访问控制列表实验
可用以下几条命令查看访问控制列表的定义及其绑定情况
2018/9/29
标准访问控制列表实验
建立访问控制列表
Router(config)#access-list 1 deny 172.16.14.11 0.0.0.0
Router(config)#access-list 1 permit 0.0.0.0 255.255.255.255 //或Router(config)#access-list 1 permit any
2018/9/29
定义ACL
访问控制列表定义示例
定义标准访问控制列表,列表号为2,拒绝所有来源于172.16.14.0/24子网 的数据分组通过,允许其他来源的数据分组通过
router(config)#access-list 2 deny 172.16.14.0 0.0.0.255 router(config)#access-list 2 permit any //或者access-list 2 permit
2018/9/29
标准访问控制列表实验
在路由器的f0/1 端口上改变启用access-list 1 的模式(由in改为 out),再次进行前述的四项测试并分析结果
Router(config-if)#no ip access-group 1 in 站数据的绑定设置
Router(config-if)#ip access-group 1 out access-list 1
可用以下几条命令查看访问控制列表的定义及其绑定情况
Router#show ip access-lists
Standard IP access list 1
deny host 172.16.14.11 permit any
//查看访问控制列表的定义
2018/9/29
标准访问控制列表实验
可用以下几条命令查看访问控制列表的定义及其绑定情况
0.0.0.0 255.255.255.255
2018/9/29
定义ACL
访问控制列表定义示例
定义扩展访问控制列表,列表号为101,拒绝子网172.16.14.0/24的设备 通过HTTP访问主机172.16.14.1,允许其他使用TCP协议的数据分组通过
router(config)#access-list 101 deny tcp 172.16.14.0 0.0.0.255 192.168.1.1 0.0.0.0 eq 80 router(config)#access-list 101 permit tcp any any // access-list 101 permit ip any any则是允许所有使用IP协议的数据分组通过