ACL访问控制技术
合集下载
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
5
ACL语句举例:
RA(config)#access-list 1 permit 192.168.0.0 0.0.0.255 RA(config)#access-list 1 permit 10.0.0.0 0.0.0.255 ip access-list extend server-protect Peimit tcp host 10.1.6.33 host 10.1.2.21 eq 1521 Deny tcp 10.1.6.0 0.0.0.255 host 10.1.2.21 eq 1521 Peimit tcp 10.1.0.0 0.0.255.255 host 10.1.2.21 eq 1521 Permit tcp 10.1.0.0 0.0.255.255 host 10.1.2.20 eq 80 Peimit tcp 10.1.0.0 0.0.255.255 host 10.1.2.22 eq 21
要求:PC1所在网络仅能访问PC2的WWW服务 器,PC3所在网络仅能访问PC2的FTP服务器, 其他计算机都不能访问PC2服务器。
9.1 ACL 概 述
访问控制列表(Access Control List,简称ACL)—— 网络操作系统所提供的一种访问控制技术。 ACL原理——ACL使用包过滤技术,在路由器上读取 第三层及第四层包头中的信息如源地址、目的地址、 源端口、目的端口等,根据预先定义好的规则对包进 行过滤,从而达到访问控制的目的。 功能——保护资源、阻止非法用户对资源的访问;限 制特定用户对资源的访问权限。 使用范围——路由器、三层交换机、部分最新的二层 交换机都提供ACL支持。
第二步,把扩展 lt, gt, eq, neq ACL应用到一个具体接口: 一个端口号 (小于, 大于, 等于, 或应用名称
不等于)
25
2.扩展ACL的配置——第一步
第一步,定义访问控制列表,命令:
Router(config)# access-list access-list-number { permit | deny } protocol source source-wildcard [operator operand] destination destination-wildcard [ operator operand] [ established ] [log]
ACL语句定义顺序: 先小范围精确匹配,再大范围匹配。
ip access-list extend server-protect Peimit tcp host 10.1.6.33 host 10.1.2.21 eq 1521 Deny tcp 10.1.6.0 0.0.0.255 host 10.1.2.21 eq 1521 Peimit tcp 10.1.0.0 0.0.255.255 host 10.1.2.21 eq 1521 Permit tcp 10.1.0.0 0.0.255.255 host 10.1.2.20 eq 80 Peimit tcp 10.1.0.0 0.0.255.255 host 10.1.2.22 eq 21
第一步,定义访问控制列表,命令如下: Router(config)# access-list access-list-number { permit | deny } source [source-wildcard] [log]
第二步,把标准 ACL应用到一个具体接口。
15
1.标准ACL的配置
第二步,把扩展 ACL应用到一个具体接口:
20
2.扩展ACL的配置
第一步,定义访问控制列表,命令:
Router(config)# access-list access-list-number { permit | deny } protocol source source-wildcard [operator operand] destination destination-wildcard [ operator operand] [ established ] [log]
第一步,定义访问控制列表,命令:
Router(config)# access-list access-list-number { permit | deny } protocol source source-wildcard [operator operand] destination destination-wildcard [ operator operand] [ established ] [log]
ACL的分类
1.标准ACL(standard ACL)
2.扩展ACL(extended ACL)
3.命名ACL
4.基于时间的访问控制列表
13
1. 标准ACL
标准ACL: 使用IP包中的源IP地址进行过滤。 在思科的路由器上使用的ACL编号为 1~99以及1300~1999。
14
1.标准ACL的配置
18
2. 扩展ACL
扩展ACL:
可以控制源IP,目的IP,源端口,目的端口等。
在思科路由器上,扩展ACL的编号为100~199 以及2000~2699。 缺点——在没有硬件ACL加速的情况下,消耗 大量的路由器CPU资源。中低档路由器上尽量 减少扩展ACL的条目数。
19
2.扩展ACL的配置
16
1.标准ACL的配置
第一步,定义访问控制列表,命令如下: Router(config)# access-list access-list-number { permit | deny } source [source-wildcard] [log]
生成日志文件
17
1.标准ACL的配置
第二步,把标准 ACL应用到一个具体接口: Router(config)# int interface Router(config-if)# { protocol } access-group access-list-number {in | out}
0—检查相应位;1—不检查相应位。 Any表示0.0.0.0 255.255.255.255 Host 172.30.16.29 表示172.30.16.29 0.0.0.0
23
2.扩展ACL的配置——第一步
第一步,定义访问控制列表,命令:
Router(config)# access-list access-list-number { permit | deny } protocol source source-wildcard [operator operand] destination destination-wildcard [ operator operand] [ established ] [log]
TCP TCP TCP TCP TCP IP
10.1/16 10.1/16 10.1/16 10.1.6/24 10.1.6.33/32 10.1/16
所有 10.1.2.20/32 所有 10.1.2.22/32 所有 10.1.2.21/32 所有 10.1.2.21/32 所有 10.1.2.21/32 N/A 所有
指定协议类型—IP, TCP, UDP, ICMP等
22
2.扩展ACL的配置
第一步,定义访问控制列表,命令:
Router(config)# access-list access-list-number { permit | deny } protocol source source-wildcard [operator operand] destination destination-wildcard [ operator [ established ] [log] 源地址operand] 及 通配符掩码。
配置ACL的基本原则:
(1)最小特权原则:只给受控对象完成任务所 必需的最小的权限; (2)最靠近受控对象原则:所有的网络层访问 权限控制尽可能离受控对象最近。
7
ACL语句的增加与删除
ACL由一系列访问控制语句组成。 当创建一个ACL列表后,新增加的语句总是放 到列表最后。 无法删除某一条ACL语句,只能删除整个ACL 列表。
扩展ACL编号 100~199,2000~2699
21
2.扩展Aቤተ መጻሕፍቲ ባይዱL的配置
第一步,定义访问控制列表,命令:
Router(config)# access-list access-list-number { permit | deny } protocol source source-wildcard [operator operand] destination destination-wildcard [ operator operand] [ established ] [log]
例如: Router(config)# access-list 1 permit 10.0.0.0 0.255.255.255
//允许源地址为10.0.0.0网段的数据通过
Router(config)# int s1/1 Router(config-if)# ip access-group 1 out
第二步,把扩展 ACL应用到一个具体接口: 目的地址 ,通配符掩 码, 0—检查,1—不检查
24
2.扩展ACL的配置——第一步
第一步,定义访问控制列表,命令:
Router(config)# access-list access-list-number { permit | deny } protocol source source-wildcard [operator operand] destination destination-wildcard [ operator operand] [ established ] [log]
标准ACL编号 1~99 , 1300~1999 第一步,定义访问控制列表,命令如下: 源地址 Router(config)# access-list access-list-number { permit | deny } source [source-wildcard] [log] 通配符掩码。 0—检查相应位;1—不检查相应位。 Any表示0.0.0.0 255.255.255.255 Host 172.30.16.29 表示172.30.16.29 0.0.0.0
80 21 1521 1521 1521 N/A
允许 允许 允许 禁止 允许 禁止
10
能否拒绝10.1.6.0网络中主机访问主机 10.1.2.21:1521?
ip access-list extend server-protect Permit tcp 10.1.0.0 0.0.255.255 host 10.1.2.20 eq 80 Peimit tcp 10.1.0.0 0.0.255.255 host 10.1.2.22 ep 21 Peimit tcp 10.1.0.0 0.0.255.255 host 10.1.2.21 eq 1521 Deny tcp 10.1.6.0 0.0.0.255 host 10.1.2.21 eq 1521 Peimit tcp host 10.1.6.33 host 10.1.2.21 eq 1521 Deny ip 10.1.0.0 0.0.255.255 any
第9章 ACL访问 控制技术
本章学习内容
9.1 ACL概述 9.1.1 什么是ACL 9.1.2 ACL的访问顺序(难点) 9.1.3 ACL的分类 9.2 ACL的基本配置举例 9.2.1 标准ACL配置举例(重点) 9.2.3 扩展ACL配置举例(重难点) 9.3 本章命令汇总
2
要求:PC1所在网络能访问PC3,PC2所在网络 不能访问PC3。
8
ACL的访问顺序
按照语句顺序,根据判定条件对数据包进行检 查。一旦找到了匹配条件就结束比较过程,不 再检查后面的判断条件。 如果所有条件语句都不匹配,则在最后强加一 条拒绝全部流量的隐含语句,即总是拒绝所有 流量。
9
ACL访问顺序 示例
协议 源地址 源端口 目的地址 目的端口 访问权限
ACL语句举例:
RA(config)#access-list 1 permit 192.168.0.0 0.0.0.255 RA(config)#access-list 1 permit 10.0.0.0 0.0.0.255 ip access-list extend server-protect Peimit tcp host 10.1.6.33 host 10.1.2.21 eq 1521 Deny tcp 10.1.6.0 0.0.0.255 host 10.1.2.21 eq 1521 Peimit tcp 10.1.0.0 0.0.255.255 host 10.1.2.21 eq 1521 Permit tcp 10.1.0.0 0.0.255.255 host 10.1.2.20 eq 80 Peimit tcp 10.1.0.0 0.0.255.255 host 10.1.2.22 eq 21
要求:PC1所在网络仅能访问PC2的WWW服务 器,PC3所在网络仅能访问PC2的FTP服务器, 其他计算机都不能访问PC2服务器。
9.1 ACL 概 述
访问控制列表(Access Control List,简称ACL)—— 网络操作系统所提供的一种访问控制技术。 ACL原理——ACL使用包过滤技术,在路由器上读取 第三层及第四层包头中的信息如源地址、目的地址、 源端口、目的端口等,根据预先定义好的规则对包进 行过滤,从而达到访问控制的目的。 功能——保护资源、阻止非法用户对资源的访问;限 制特定用户对资源的访问权限。 使用范围——路由器、三层交换机、部分最新的二层 交换机都提供ACL支持。
第二步,把扩展 lt, gt, eq, neq ACL应用到一个具体接口: 一个端口号 (小于, 大于, 等于, 或应用名称
不等于)
25
2.扩展ACL的配置——第一步
第一步,定义访问控制列表,命令:
Router(config)# access-list access-list-number { permit | deny } protocol source source-wildcard [operator operand] destination destination-wildcard [ operator operand] [ established ] [log]
ACL语句定义顺序: 先小范围精确匹配,再大范围匹配。
ip access-list extend server-protect Peimit tcp host 10.1.6.33 host 10.1.2.21 eq 1521 Deny tcp 10.1.6.0 0.0.0.255 host 10.1.2.21 eq 1521 Peimit tcp 10.1.0.0 0.0.255.255 host 10.1.2.21 eq 1521 Permit tcp 10.1.0.0 0.0.255.255 host 10.1.2.20 eq 80 Peimit tcp 10.1.0.0 0.0.255.255 host 10.1.2.22 eq 21
第一步,定义访问控制列表,命令如下: Router(config)# access-list access-list-number { permit | deny } source [source-wildcard] [log]
第二步,把标准 ACL应用到一个具体接口。
15
1.标准ACL的配置
第二步,把扩展 ACL应用到一个具体接口:
20
2.扩展ACL的配置
第一步,定义访问控制列表,命令:
Router(config)# access-list access-list-number { permit | deny } protocol source source-wildcard [operator operand] destination destination-wildcard [ operator operand] [ established ] [log]
第一步,定义访问控制列表,命令:
Router(config)# access-list access-list-number { permit | deny } protocol source source-wildcard [operator operand] destination destination-wildcard [ operator operand] [ established ] [log]
ACL的分类
1.标准ACL(standard ACL)
2.扩展ACL(extended ACL)
3.命名ACL
4.基于时间的访问控制列表
13
1. 标准ACL
标准ACL: 使用IP包中的源IP地址进行过滤。 在思科的路由器上使用的ACL编号为 1~99以及1300~1999。
14
1.标准ACL的配置
18
2. 扩展ACL
扩展ACL:
可以控制源IP,目的IP,源端口,目的端口等。
在思科路由器上,扩展ACL的编号为100~199 以及2000~2699。 缺点——在没有硬件ACL加速的情况下,消耗 大量的路由器CPU资源。中低档路由器上尽量 减少扩展ACL的条目数。
19
2.扩展ACL的配置
16
1.标准ACL的配置
第一步,定义访问控制列表,命令如下: Router(config)# access-list access-list-number { permit | deny } source [source-wildcard] [log]
生成日志文件
17
1.标准ACL的配置
第二步,把标准 ACL应用到一个具体接口: Router(config)# int interface Router(config-if)# { protocol } access-group access-list-number {in | out}
0—检查相应位;1—不检查相应位。 Any表示0.0.0.0 255.255.255.255 Host 172.30.16.29 表示172.30.16.29 0.0.0.0
23
2.扩展ACL的配置——第一步
第一步,定义访问控制列表,命令:
Router(config)# access-list access-list-number { permit | deny } protocol source source-wildcard [operator operand] destination destination-wildcard [ operator operand] [ established ] [log]
TCP TCP TCP TCP TCP IP
10.1/16 10.1/16 10.1/16 10.1.6/24 10.1.6.33/32 10.1/16
所有 10.1.2.20/32 所有 10.1.2.22/32 所有 10.1.2.21/32 所有 10.1.2.21/32 所有 10.1.2.21/32 N/A 所有
指定协议类型—IP, TCP, UDP, ICMP等
22
2.扩展ACL的配置
第一步,定义访问控制列表,命令:
Router(config)# access-list access-list-number { permit | deny } protocol source source-wildcard [operator operand] destination destination-wildcard [ operator [ established ] [log] 源地址operand] 及 通配符掩码。
配置ACL的基本原则:
(1)最小特权原则:只给受控对象完成任务所 必需的最小的权限; (2)最靠近受控对象原则:所有的网络层访问 权限控制尽可能离受控对象最近。
7
ACL语句的增加与删除
ACL由一系列访问控制语句组成。 当创建一个ACL列表后,新增加的语句总是放 到列表最后。 无法删除某一条ACL语句,只能删除整个ACL 列表。
扩展ACL编号 100~199,2000~2699
21
2.扩展Aቤተ መጻሕፍቲ ባይዱL的配置
第一步,定义访问控制列表,命令:
Router(config)# access-list access-list-number { permit | deny } protocol source source-wildcard [operator operand] destination destination-wildcard [ operator operand] [ established ] [log]
例如: Router(config)# access-list 1 permit 10.0.0.0 0.255.255.255
//允许源地址为10.0.0.0网段的数据通过
Router(config)# int s1/1 Router(config-if)# ip access-group 1 out
第二步,把扩展 ACL应用到一个具体接口: 目的地址 ,通配符掩 码, 0—检查,1—不检查
24
2.扩展ACL的配置——第一步
第一步,定义访问控制列表,命令:
Router(config)# access-list access-list-number { permit | deny } protocol source source-wildcard [operator operand] destination destination-wildcard [ operator operand] [ established ] [log]
标准ACL编号 1~99 , 1300~1999 第一步,定义访问控制列表,命令如下: 源地址 Router(config)# access-list access-list-number { permit | deny } source [source-wildcard] [log] 通配符掩码。 0—检查相应位;1—不检查相应位。 Any表示0.0.0.0 255.255.255.255 Host 172.30.16.29 表示172.30.16.29 0.0.0.0
80 21 1521 1521 1521 N/A
允许 允许 允许 禁止 允许 禁止
10
能否拒绝10.1.6.0网络中主机访问主机 10.1.2.21:1521?
ip access-list extend server-protect Permit tcp 10.1.0.0 0.0.255.255 host 10.1.2.20 eq 80 Peimit tcp 10.1.0.0 0.0.255.255 host 10.1.2.22 ep 21 Peimit tcp 10.1.0.0 0.0.255.255 host 10.1.2.21 eq 1521 Deny tcp 10.1.6.0 0.0.0.255 host 10.1.2.21 eq 1521 Peimit tcp host 10.1.6.33 host 10.1.2.21 eq 1521 Deny ip 10.1.0.0 0.0.255.255 any
第9章 ACL访问 控制技术
本章学习内容
9.1 ACL概述 9.1.1 什么是ACL 9.1.2 ACL的访问顺序(难点) 9.1.3 ACL的分类 9.2 ACL的基本配置举例 9.2.1 标准ACL配置举例(重点) 9.2.3 扩展ACL配置举例(重难点) 9.3 本章命令汇总
2
要求:PC1所在网络能访问PC3,PC2所在网络 不能访问PC3。
8
ACL的访问顺序
按照语句顺序,根据判定条件对数据包进行检 查。一旦找到了匹配条件就结束比较过程,不 再检查后面的判断条件。 如果所有条件语句都不匹配,则在最后强加一 条拒绝全部流量的隐含语句,即总是拒绝所有 流量。
9
ACL访问顺序 示例
协议 源地址 源端口 目的地址 目的端口 访问权限