《《访问控制列表》PPT课件.pptx》由会员分享,可在线阅读,更多相关《《访问控制列表》PPT课件.pptx(10页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。
1、第七章第七章 访问控制列表控制列表每个接口,每个每个接口,每个方向,每种方向,每种协议,只能,只能设置置1个个ACL组织好用户的ACL的顺序不可能从ACL中除去1行,命名访问列表例外默默认ACL结尾尾语句句是是deny any,所以,所以要要记住的是在住的是在ACL里至少要有里至少要有1条条permit应用在需要过滤的接口上过滤经过router的数据包不会不会过滤router本身所本身所产生的数生的数据包据包IP标准准ACL靠近靠近目目标地址地址P扩展展ACL靠近靠近源源ACL的一些规则什么是什么是ACL ACL是应用到路由器接口的指令列表,这些指令列表用来告诉路由器哪些数据包可以接收,哪些数
2、据包需要拒绝。至于数据包是被接收还是被拒绝,可以由类似于源地址,目的地址,端口号等的特定指示条件来决定。ACL的定义是基于每一种协议的。换言之,如果想控制某种协议的通信数据流,那么必须要对该接口处的这种协议定义单独的ACL。对源IP地址来做过滤基于IP标准访问控制列表的编号为199,13001999标准访问列表比较源IP地址和目标IP地址,层3的协议字段,层4端口号来做过滤基于IP扩展访问控制列表的编号为100199,20002699扩展访问列表号号码式式 ACL 标准号准号码式式ACL 阻止来自某一网络的所有通信流量时,或允许来自某一特定网络的所有通信流量时,或想要拒绝某一协议簇的所有通信流
3、量时阻止来自某一网络的所有通信流量时,或允许来自某一特定网络的所有通信流量时,或想要拒绝某一协议簇的所有通信流量时。配置标准号码式IP 访问控制列表:CUIT(config)#access-listaccess-list-numberdeny|permitsourcesource-wildcardlog把访问控制列表在接口下应用:CUIT(config)#interfacefastEthernet1CUIT(config-if)#ipaccess-group1out参数参数参数参数说明明access-list-number访问控制列表表号,用来指出入口属于哪一个访问控制列表(对于标准ACL来说
4、,是从1到99的一个数字)deny如果满足测试条件,则拒绝从该入口来的通信流量permit如果满足测试条件,则允许从该入口来的通信流量source数据包的源地址,可以是主机IP地址,也可以是网络地址。source-wildcard(可选)用来跟源地址一起决定哪些位需要匹配操作。参数参数说明log(可选)生成相应的日志信息,用来记录经过的ACL入口的数据包的有关情况。号号码式式 ACL 控制控制VTY(Telnet)访问 使用标准的IP访问列表控制访问VTY线路。因为访问列表应用到VTY线路上时,不需要指定Telnet协议,既然访问VTY就隐含了终端访问的意思。也不需要指定目的地址,既然不关心用
5、户使用哪一个接口作为远程登录会话的目标接口。只需控制用户从哪里来它们的源IP地址。创建一个建一个标准准IP访问列表列表只允只允许那些你希望的主机能那些你希望的主机能够远程程登登录到路由器到路由器应用用访问控制控制列表列表使用使用access-class命令将此访问列表命令将此访问列表应用到应用到VTY线路线路允许主机远程登录到该路由器的例子:CUIT(config)#CUIT(config)#linevty04CUIT(config-line)#access-class10in号号码式式 ACL 扩展号展号码式式ACL扩展ACL既检查数据包的源地址,也检查数据包的目的地址。此外,还可以检查数据
6、包的特定协议类型,端口号等。这种扩展后的特性给了网络管理员更大的灵活性,可以灵活多变地设计ACL的测试条件。数据包是否被允许通过出口,既可以基于它的源地址,也可以基于它的目的地址。参数参数参数说明参数说明access-list-number访问控制列表表号permit|deny用来表示在满足测试条件的情况下,该入口是允许,还是拒绝后面指定特定地址的通信流量。protocol用来指定协议类型。Source And Destination源和目的,分别用来标识源地址和目的地址。source-wildcard and destination-wildcard通配符掩码。operator operan
7、dlt,gt,eq,neq(小于,大于,等于,不等于)一个端口号。established如果数据包使用一个已建连接(例如,具有ACK位组),便可允许TCP信息量通过。配置标准号码式IP访问控制列表:CUIT(config)#access-listaccess-list-numberpermit|denyprotocolsourcesource-wildcarddestinationdestination-wildcardoperatoroperandestablished把访问控制列表在接口下应用(同标准访问控制列表配置)命名式命名式 ACL标准命名式准命名式ACL标准命名ACL的命令,语法格
8、式如下:CUIT(config)#ipaccess-liststandard name在ACL配置模式下,通过指定一个或多个允许及拒绝条件,来决定一个数据包是允许通过还是遭到丢弃。CUIT(config-std-nacl)#permitsourcesource-wildcard|any或CUIT(config-std-nacl)#denysourcesource-wildcard|any把访问控制列表在接口下应用:CUIT(config)#intfastEthernet1CUIT(config-if)#ipaccess-groupdenystudentout命名式命名式 ACL扩展命名式展命名
9、式ACL给ACL命名:CUIT(config)#ipaccess-liststandard|extended name在ACL配置模式下,通过指定一个或多个允许及拒绝条件,来决定一个数据包是允许通过还是遭到丢弃:CUIT(config-ext-nacl)#permitsourcesource-wildcard|any或CUIT(config-ext-nacl)#denysourcesource-wildcard|any把访问控制列表在接口下应用:CUIT(config)#intfastEthernet0CUIT(config-if)#ipaccess-groupdenystudentwwwin验证ACL命令命令描述描述show access-list显示router上配置了的所有的ACL信息,但是不显示哪个接口应用了哪个ACL的信息 show access-list number显示具体第几号ACL信息,也不显示哪个接口应用了这个ACLshow ip access-list只显示IP访问列表信息show ip interface显示所有接口的信息和配置的ACL信息show running-config显示DRAM信息和ACL信息,以及接口对ACL的应用信息本章小本章小结
限制150内