欢迎来到天天文库
浏览记录
ID:20055357
大小:2.13 MB
页数:5页
时间:2018-10-08
《第十五讲访问控制列表配置》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库。
1、第十章访问控制列表配置教学目的:1.了解访问控制列表的作用2.了解标准访问控制列表与扩展访问列表的异同3.掌握访问控制列表的原理4.掌握访问列表的配置方法知识点:1.访问列表2.包过滤3.流量控制4.通配掩码10.1访问控制列表(access-list)一、访问列表的作用访问控制列表是在使用路由技术的网络中,识别和过滤进入到网络或发出去的符合规定条件的数据流量,以决定是否允许发送或丢弃数据流量。访问控制是控制流量的一种方法,是实现防火墙的重要手段。二、访问列表的应用1.在物理接口上应用访问控制列表实现流量控制。2.在虚拟终端线路接口(vty)应用
2、访问控制列表,实现对登录用户的控制。3.还可以应用到队列技术、按需拨号、VPN、NAT等。三、访问列表的工作流程1.进方向上的工作流程:51.出方向上的工作流程:四、访问列表的控制条件根据IP数据包中包含的信息,可以对数据包的源IP地址、目的IP地址、被路由的协议类型、数据要访问的端口等作为判断条件。5五、访问列表执行流程访问控制列表实际上是一些列判断语句,被过滤的数据包会一个个和这些条件语句进行比较,当符合条件则执行操作(permit或deny);否则进行下一条件判断。六、注意事项1.访问控制列表的列表号指出是哪种协议的访问控制列表。即每种协议
3、(IP、IPX等)定义一个访问控制列表。2.一个访问控制列表的配置是每协议、每接口、每方向的。每种协议可以定义进出两个控制访问控制列表。3.访问控制列表的顺序决定了对数据包控制顺序。4.在访问控制列表最后,有一条隐含的“全部拒绝”命令,因此在控制列表里至少有一条“允许”语句。5.访问控制列表只能过滤穿过路由器的数据流量,不能过滤路由器本身发出的数据包。10.2访问控制列表分类访问控制列表有两种类型:标准访问控制列表、扩展访问控制列表。ü标准访问控制列表判断条件是数据包的源IP地址,只能过滤来自某个网络或主机的数据包。ü扩展访问控制列表判断条件是数
4、据包的源IP地址、目的IP地址、协议和数据要访问的端口。10.3访问控制列表配置方法一、在相应的接口上应用访问控制列表配置完标准或扩展访问列表后,再把列表绑定在路由器的某个端口上,就完成了访问控制的配置。进入到相应接口模式,然后采用以下命令:ipaccess-groupaccess-list-number{in
5、out}5默认时是out,即出方向。Out表示在数据包出去的端口上进行检查,in表示在数据包进去的端口上进行检查。二、标准访问控制列表配置命令在全局模式下配置。·命令格式Access-listaccess-list-number{perm
6、it
7、deny}source[source-wildcard]说明:access-list-number访问控制列表号,标准为1~99,扩展为100~199source源IP地址source-wildcard通配符掩码,该掩码与子网掩码刚好相反,如掩码为:192.168.1.0255.255.255.0则通配符掩码写成:0.0.0.255。特别的:0.0.0.0255.255.255.255写成any,把192.168.1.10.0.0.0写成host192.168.1.1(针对某一个主机)。注:当有多条访问控制条件时,采用同一列表号进行多次定义
8、即可。·举例过滤ip地址为192.168.1.0、192.168.3.0网段发来的数据包,可以采用如下配置access-list2deny192.168.1.00.0.0.255access-list2deny192.168.3.00.0.0.255access-list2permitanyintf0/1ipaccess-group2in三、扩展访问控制列表配置命令在全局模式下配置。·命令格式Access-listaccess-list-number{permit
9、deny}protocolsource[source-wildcard][oper
10、atorport]destination[destination-wildcard][operatorport][established]说明:protocol协议source[source-wildcard]源IP地址及通配符掩码destination[destination-wildcard]目标IP地址及通配符掩码operatorport端口号eq80(http)eq23(telnet)eq25(smtp)eq110(pop3)eq20(ftp数据端口)eq21(ftp控制端口)或eqhttp│80established可以在拒绝数据包通过
11、的方向上,让已经建立会话连接的TCP数据流通过,因此常用于企业网内防止外部攻击,同时又可以正常地与internet连接。·举例通过对路由
此文档下载收益归作者所有