思科CCNA培训胶片 第15章 IP访问控制列表.pptVIP

IP访问控制列表 引入 要增强网络安全性，网络设备需要具备控制某些访问或某些数据的能力。 ACL包过滤是一种被广泛使用的网络安全技术。它使用ACL来实现数据识别，并决定是转发还是丢弃这些数据包。 由ACL定义的报文匹配规则，还可以被其它需要对数据进行区分的场合引用。 ACL概述 ACL（Access Control List，访问控制列表）是用来实现数据包识别功能的 ACL可以应用于诸多方面 包过滤防火墙功能 NAT（Network Address Translation，网络地址转换） QoS（Quality of Service，服务质量）的数据分类 路由策略和过滤 按需拨号 ACL的包过滤技术 对进出的数据包逐个过滤，丢弃或允许通过 ACL应用于接口上，每个接口的出入双向分别过滤 仅当数据包经过一个接口时，才能被此接口的此方向的ACL过滤 出站包过滤工作流程 访问列表的测试 ACL的分类 标准ACL 基本访问控制列表只根据报文的源IP地址信息制定规则 扩展ACL 扩展访问控制列表根据报文的源IP地址、目的IP地址、IP承载的协议类型、协议特性等三、四层信息制定规则 ACL的标识 基于编号的标准ACL的范围是1-99 和1300-1999. 基于编号的扩展ACL的范围是100-199 和 2000-2699. 通配符掩码 通配符掩码和IP地址结合使用以描述一个地址范围 通配符掩码和子网掩码相似，但含义不同 0表示对应位须比较 1表示对应位不比较 标准IP访问列表的配置 标准访问列表举例 1 标准访问列表举例 2 扩展 IP 访问列表的配置 扩展访问列表应用举例1 扩展访问列表应用举例2 在路由器上过滤vty 五个虚拟通道 (0 到 4) 路由器的vty端口可以过滤数据 在路由器上执行vty访问的控制 如何控制vty访问 虚拟通道访问举例 End Http:// Http:// Http:// 王琳琳 Http:// Http:// Http:// Http:// Http:// Http:// Http:// 入方向过滤 入方向过滤 出方向过滤 出方向过滤 接口 接口 路由转发进程 Notify Sender If no access list statement matches then discard the packet N Y Packet Discard Bucket Choose Interface Routing Table Entry? N Y Test Access List Statements Permit? Y Access List? Discard Packet N Outbound Interfaces Packet Packet S0 S0 InboundInterface Packets Packets to Interface(s) in the Access Group Packet Discard Bucket Y Interface(s) Destination Deny Y Match First Test ? Permit N Deny Permit Match Next Test(s) ? Deny Match Last Test? Y Y N Y Y Permit Implicit Deny If no match deny all Deny N 标准 检查源IP地址 通常允许、拒绝的是完整的协议 扩展 检查源地址和目的地址 通常允许、拒绝的是某个特定的协议 基于命名的ACL 基于编号的ACL 接口 接口 从/24来的数据包不能通过 从/28来的数据包可以通过 DA= SA= DA= SA= 分组 分组 接口 接口 从/24来，到的TCP端口80去的数据包不能通过 从/24来，到的TCP端口23去的数据包可以通过 DA=, SA= TCP, DP=80, SP=2032 DA=, SA= TCP, DP=23, SP=3176 分组 分组 只比较前24位 55 只比较前22位 55 只比较前8位 55 含义 通配符掩码 access-list access-list-number {permit|deny} source [mask] Router(config)# 在端口上应用访问列表 指明是进方向还是出方向 缺省 = 出方向 “no ip access-group access-list-number” 命令在端口上删除访问列表 Router(config-if)# ip access-group access-list-number { in | out } 为访问列表设置参数 IP 标准访问列表编号 1 到 99