存取控制清单(ACL).pptVIP

Access Control List (存取控制表) 王振生 定義存取控制表的指令 指令 設定模式 access-list {1-99, 1300-1999}{permit|deny} source-addr [source-mask] Router(config)#access-list {1-99,1300-1999} permit 標準式Global access-list {100-199,2000-2699}{permit|deny} protocol source-addr [source-mask] [operator operand] destination-addr [destination-mask][operator operand][established] Router(config)#access-list {100-199,2000-2699} permit tcp 延伸式Global ip access-list {standard|extended} name{permit|deny} protocol source-addr [source-mask] [operator operand] destination-addr [destination-mask] [operator operand] [established] 命名式Global ip access-group {number [in|out]} Interface Step1.定義存取控制表 Step2.在介面上啟動存取控制表 標準IP存取控制表 標準ACL只檢查封包的IP來源地址。 可用萬用遮罩設定IP區段 共四個位元組或32bits 0要符合(檢查)，1不檢查(任意數字) 設定要盡量靠近目的端 在任何一個ACL後，預設有一行「deny all」的設定 ACL的常用關鍵字 host：代表單一主機IP，例：host 6 permit：許可 deny：拒絕 any：代表任何IP (等於 55) eq：等於 lt：小於 gt：大於 延伸式IP存取控制表 允許比較封包中層的”來源IP位址”、”目的IP地位址”、傳輸層的” 來源連接埠”、” Protocol” 設定要盡量靠近來源端 萬用遮罩(Wildcard Mask) 要定義至55的區段，則設WM為55。001010000000000000101000111111110000000011111111 55 55 0代表「檢查位元」 紅色部分為相同 檢查位元會與設定的網段值比較 萬用遮罩(Wildcard Mask) 要定義至55的區段，則WM需定義為何？0010100000000000 ()0010100011111111 (55)0000000011111111 (0. 0.15.255)0010100011111111 ()0010100011111111 (55)0000000011111111 (55) 分成两個區段 延伸式IP存取控制表 IP TCP, UDP, ICMP 來源 IP 位址 目的 IP 位址 通訊協定 IP Field Identifies Next header (TCP, UDP,etc.) IP Field Identifies Next header (TCP, UDP,etc.) 目的連接埠 (僅用在UDP TCP) 來源連接埠(僅用在UDP TCP) 實驗的架構圖 1.1 1.2 1.1 1.2 PC1 PC2 PC3 1.1 1.2 1.2 1.1 1.2 1.1 E0 →FastEthernet0/0 S0 →Serial0/1/0 S1 →Serial0/1/1 存取控制表的運作 封包 進入介面(in) 離開介面(out) no no 路徑選擇 介面是否 啟用ACL ACL符合嗎? 都不符 合，拒絕 允許封包 ACL符合嗎? 介面是否 啟用ACL 都不符 合，拒絕 允許封包 存取控制表的處理流程 只要有設定，經過路由器的封包都必須被過濾 設定在進入介面(in)的ACL，封包將在進行路由處理之前被過濾。 設定在輸出介面(out)的ACL，封包將在進行路由處理之後，輸出前被過濾。 封包將依ACL設定的規則(rules)，依序檢查，若條件符合，後面規則不再檢查。