L017访问控制列表.ppt

访问控制列表 目标 完成本章的学习后,您可以完成下面的任务： 配置基本及扩展的访问控制列表 监视访问控制列表的操作 访问控制列表概述 为什么使用访问控制列表 以信息包作为检测流量的单位 为什么使用访问控制列表（续） 采用访问控制列表为DDR路由 定义“感兴趣的包” 什么是访问控制? 标准访问控制列表 只根据地址进行转发 往往拒绝或允许整个协议族的包 扩展访问控制列表 可根据复杂的地址类型进行包的过滤 可根据具体的协议进行过滤 访问控制列表是怎样工作的 包被拒绝或允许的过程 访问控制列表命令一览 访问控制列表用编号进行区分 怎样识别访问控制列表 列表号代表了所应用的协议及类型 其它的协议使用剩余的列表号 TCP/IP 访问控制列表 用访问控制列表对信息包进行检测 一个TCP/IP包的构成 访问控制列表的主要概念 标准访问控制列表（1-99）只检测信息包的源IP地址 扩展访问控制列表可对下面的条件进行检测 源及目的IP地址 特定的TCP/IP协议族 目的端口号 反向地址掩码用于地址匹配 (0代表检测，1代表忽略) 怎样使用反向地址掩码 0代表检测相应位的 bit 值 1代表忽略相应位的 bit 值 怎样使用反向地址掩码（续） 地址和反向掩码分别为: 55 如何与任何IP地址匹配 55表示允许任何地址; 可简写为 any 如何与一个主机的IP地址匹配 9 代表检查地址的所有bit位 简化的写法是 host 9 配置标准访问控制列表 指定列表的作用范围 配置原则 从上到下的处理顺序 把对较特殊项的查询放在前面 隐含deny any 如果不在访问列表的最后显式指定permit any，就相当于在列表的最后deny any 新的命令行总是加在末尾 不能有选择地在列表中增加或删除命令行 未定义任何命令行的访问列表＝permit any 命令 要使隐含的deny any命令有效，必须在访问列表中加入命令行 标准访问控制列表举例 1 只允许内部的网段 标准访问控制列表举例 2 拒绝一个特定的主机 标准访问控制列表举例 3 拒绝一个特定的子网 标准访问列表举例 谁能与主机A通信？ 虚拟终端访问概述 标准访问控制列表和扩展访问控制列表不会拒绝来自路由器虚拟终端的访问 基于安全考虑，对路由器虚拟终端的访问和来自路由器虚拟终端的访问都应该被拒绝 虚拟终端线配置命令 进入配置一条虚拟终端线或配置一组虚拟终端线的模式 限制特定虚拟终端线和访问列表中地址之间的入连接和出连接 虚拟终端访问控制示例 只允许在网段上主机对路由器虚拟端口的访问 扩展的访问控制列表 提供更多的过滤条件 检查源及目的IP地址 可指定具体的IP协议及其端口号 列表号从100到199 配置扩展的访问控制列表 设定相应的参数 列表号从100到199 指定列表的作用范围 TCP命令语法 基于 TCP和TCP端口号的过滤器 TCP命令语法 基于 TCP和TCP端口号的过滤器 TCP端口名字 键入“?”获得与名字对应的端口编号 其它端口号可以从分配编号的RFC文档中查到 UDP命令语法 基于 UDP和UDP端口号的过滤器 UDP命令语法 基于 UDP和UDP端口号的过滤器 UDP端口名字 键入“?”获得与名字对应的端口编号 其它端口号可以从分配编号的RFC文档中查到 ICMP命令语法 基于 ICMP消息的过滤器 ICMP类型和消息名字 使用名称可以简化配置 扩展访问控制列表举例 1 从E0出端口时拒绝FTP的包 扩展访问控制列表举例2 只拒绝从E0端口telnet出去 允许其它的流量 使用以名字表示的控制列表 IP访问控制列表应设置在哪里 标准的控制列表设置得离目的越近越好 扩展的控制列表设置得离源越近越好 如何检验访问控制列表 如何监视访问控制列表的状态 全局配置模式下控制列表的配置参数十分繁琐，但总可以归纳成下面几个部分： access-list-number——为访问列表号，对于扩展访问控制列表应为 100-199之间的一个整数 permit | deny——表明与条件相匹配的包是从相应的端口转发出去还是被丢掉 protocol——协议类型，如IP，TCP，UDP，ICMP，GRE，IGRP source and destination——源及目的地址 source-mask and destination-mask ——源及目的地址的反向地址掩码 operator operand——操作符：lt（小于）、gt（大于）、eq（等于）、neq（不等于），而操作数为协议族的端口号 established——允许已经建立TCP连接的信息包通过 命令ip access-group将扩展访问控制列表设置到合适的端口中: access-list-num