L021访问控制列表.pptVIP

访问控制列表 目标 完成本章的学习后,您可以完成下面的任务： 配置基本及扩展的访问控制列表 监视访问控制列表的操作 访问控制列表概述 为什么使用访问控制列表 以信息包作为检测流量的单位 为什么使用访问控制列表（续） 采用访问控制列表为DDR路由 定义“感性趣的包” 什么是访问控制? 标准访问控制列表 只根据源地址进行转发 往往拒绝或允许整个协议族的包 扩展访问控制列表 可根据复杂的地址类型进行包的过滤 可根据具体的协议进行过滤 访问控制列表是怎样工作的 包被拒绝或允许的过程 入端口数据的访问列表处理 出端口访问列表处理 访问控制列表命令一览 访问控制列表用编号进行区分 怎样识别访问控制列表 列表号代表了所应用的协议及类型 其它的协议使用剩余的列表号 标准访问控制列表举例 1 只允许内部的网段 标准访问控制列表举例 2 拒绝一个特定的主机 标准访问控制列表举例 3 拒绝一个特定的子网 标准访问列表举例 谁能与主机A通信？ 隐含掩码 省略设为的掩码 最后两条命令是不需要的（系统本身隐含deny any命令） 配置原则 从上到下的处理顺序 把对较特殊项的查询放在前面 隐含deny any 如果不在访问列表的最后显式指定permit any，就相当于在列表的最后deny any 新的命令行总是加在末尾 不能有选择地在列表中增加或删除命令行 未定义任何命令行的访问列表＝permit any 命令 要使隐含的deny any命令有效，必须在访问列表中加入命令行 标准的控制列表设置得离目的越近越好 访问控制列表的主要概念 标准访问控制列表（1-99）只检测信息包的源IP地址 扩展访问控制列表可对下面的条件进行检测 源及目的IP地址 特定的TCP/IP协议族 目的端口号 反向地址掩码用于地址匹配 (0代表检测，1代表忽略) 扩展的访问控制列表 提供更多的过滤条件 检查源及目的IP地址 可指定具体的IP协议及其端口号 列表号从100到199 配置扩展的访问控制列表 设定相应的参数 列表号从100到199 指定列表的作用范围 TCP命令语法 基于 TCP和TCP端口号的过滤器 TCP命令语法 基于 TCP和TCP端口号的过滤器 TCP端口名字 键入“?”获得与名字对应的端口编号 其它端口号可以从分配编号的RFC文档中查到 UDP命令语法 基于 UDP和UDP端口号的过滤器 UDP命令语法 基于 UDP和UDP端口号的过滤器 UDP端口名字 键入“?”获得与名字对应的端口编号 其它端口号可以从分配编号的RFC文档中查到 ICMP命令语法 基于 ICMP消息的过滤器 ICMP类型和消息名字 使用名称可以简化配置 扩展访问控制列表举例 1 从E0出端口时拒绝FTP的包 扩展访问控制列表举例2 只拒绝从E0端口telnet出去 允许其它的流量 使用以名字表示的控制列表 IP访问控制列表应设置在哪里 标准的控制列表设置得离目的越近越好 扩展的控制列表设置得离源越近越好 如何检验访问控制列表 如何监视访问控制列表的状态 access-list 101 deny tcp 55 any eq 23 access-list 101 permit ip any any (implicit deny all) interface ethernet 0 ip access-group 101 out 3 E0 S0 E1 Non- Router(config)# ip access-list { standard | extended } name { permit | deny } { ip access list test conditions } { permit | deny } { ip access list test conditions } no { permit | deny } { ip access list test conditions } Router(config {std- | ext-}nacl)# ip access-group { name | 1-199 { in | out } } Router(config-if)# Cisco IOS 11.2 及以后的版本支持 不同的列表不能使用相同的名字 Permit或deny 的语句不需要带列表号 用“no” 可以简单的删除一条列表匹配项 指定列表的作用范围 E0 E0 E1 S0 To0 S1 S0 S1 E0 E0 B A C D Router#show ip interfaceEthernet 0 is up, line protocol is up Internet address is , subnet mask