1、,上次回顧：廣域網(wǎng)接口配置 配置PPP協(xié)議 PPP協(xié)議的驗(yàn)證方式,2,本次內(nèi)容（補(bǔ)充）,理解ACL的基本原理 會配置標(biāo)準(zhǔn)ACL 會配置擴(kuò)展ACL 會配置ACL對網(wǎng)絡(luò)進(jìn)行控制 理解NAT 會配置NAPT,3,需求,4,需求1,作為公司網(wǎng)絡(luò)管理員，當(dāng)公司領(lǐng)導(dǎo)提出下列要求時(shí)你該怎么辦？ 為了提高工作效率，不允許員工上班時(shí)間進(jìn)行QQ聊天、MSN聊天等，但需要保證正常的訪問Internet，以便查找資料了解客戶及市場信息等。 公司有一臺服務(wù)器對外提供有關(guān)本公司的信息服務(wù)，允許公網(wǎng)用戶訪問，但為了內(nèi)部網(wǎng)絡(luò)的安全，不允許公網(wǎng)用戶訪問除信息服務(wù)器之外的任何內(nèi)網(wǎng)節(jié)點(diǎn)。,5,需求2,6,訪問控制列表(ACL),A

2、CL概述 基本ACL配置 擴(kuò)展ACL配置,7,訪問控制列表概述,訪問控制列表（ACL） 讀取第三層、第四層包頭信息 根據(jù)預(yù)先定義好的規(guī)則對包進(jìn)行過濾,IP報(bào)頭,TCP報(bào)頭,數(shù)據(jù),源地址 目的地址,源端口 目的端口,訪問控制列表利用這4個(gè)元素定義的規(guī)則,8,訪問控制列表的工作原理,訪問控制列表在接口應(yīng)用的方向 訪問控制列表的處理過程,9,訪問控制列表類型,標(biāo)準(zhǔn)訪問控制列表 擴(kuò)展訪問控制列表 命名訪問控制列表 定時(shí)訪問控制列表,10,標(biāo)準(zhǔn)訪問控制列表配置3-1,創(chuàng)建ACL Router(config)#access-list access-list-number permit | deny sou

3、rce source-wildcard 刪除ACL Router(config)# no access-list access-list-number,允許數(shù)據(jù)包通過應(yīng)用了訪問控制列表的接口,拒絕數(shù)據(jù)包通過,11,標(biāo)準(zhǔn)訪問控制列表配置3-2,應(yīng)用實(shí)例 Router(config)# access-list 1 permit 55 Router(config)# access-list 1 permit 允許/24和主機(jī)的流量通過 隱含的拒絕語句 Router(config)

4、# access-list 1 deny 55 關(guān)鍵字 host any,12,Host any,Host = any= 55 R1(config)# access-list 1 deny R1config)# access-list 1 permit 55 與 R1(config)# access-list 1 deny host R1(confi

5、g)# access-list 1 permit any 相同,13,標(biāo)準(zhǔn)訪問控制列表配置3-3,將ACL應(yīng)用于接口 Router(config-if)# ip access-group access-list-number in |out 在接口上取消ACL的應(yīng)用 Router(config-if)# no ip access-group access-list-number in |out,14,標(biāo)準(zhǔn)訪問控制列表配置實(shí)例,15,實(shí)驗(yàn) 編號的標(biāo)準(zhǔn)IP訪問列表。,【實(shí)驗(yàn)?zāi)康摹?掌握路由器上編號的標(biāo)準(zhǔn)IP訪問列表規(guī)則及配置。 【背景描述】 你是一個(gè)公司的網(wǎng)絡(luò)管理員，公司的經(jīng)理部、財(cái)務(wù)部門和銷售部

6、門分屬不同的3個(gè)網(wǎng)段，三部門之間用路由器進(jìn)行信息傳遞，為了安全起見，公司領(lǐng)導(dǎo)要求銷售部門不能對財(cái)務(wù)部門進(jìn)行訪問，但經(jīng)理部可以對財(cái)務(wù)部門進(jìn)行訪問。 PC1代表經(jīng)理部的主機(jī)，PC2代表銷售部門的主機(jī)、PC3代表財(cái)務(wù)部門的主機(jī)。,16,【技術(shù)原理】 IP ACL（IP訪問控制列表或IP訪問列表）是實(shí)現(xiàn)對流經(jīng)路由器或交換機(jī)的數(shù)據(jù)包根據(jù)一定的規(guī)則進(jìn)行過濾，從而提高網(wǎng)絡(luò)可管理性和安全性。 標(biāo)準(zhǔn)IP訪問列表可以根據(jù)數(shù)據(jù)包的源IP地址定義規(guī)則，進(jìn)行數(shù)據(jù)包的過濾。,17,IP ACL基于接口進(jìn)行規(guī)則的應(yīng)用，分為：入棧應(yīng)用和出棧應(yīng)用。 入棧應(yīng)用是指由外部經(jīng)該接口進(jìn)行路由器的數(shù)據(jù)包進(jìn)行過濾。 出棧應(yīng)用是指路由器從該

7、接口向外轉(zhuǎn)發(fā)數(shù)據(jù)時(shí)進(jìn)行數(shù)據(jù)包的過濾。 IP ACL的配置有兩種方式：按照編號的訪問列表，按照命名的訪問列表。 標(biāo)準(zhǔn)IP訪問列表編號范圍是199、13001999，擴(kuò)展IP訪問列表編號范圍是100199、20002699。,18,【實(shí)現(xiàn)功能】 實(shí)現(xiàn)網(wǎng)段間互相訪問的安全控制。 【實(shí)驗(yàn)設(shè)備】 RSR10路由器（兩臺）、V.35線纜（1條）、交叉線（3條）,19,【實(shí)驗(yàn)拓?fù)洹?20,【實(shí)驗(yàn)步驟】,步驟1： Router1、 Router2 基本配置 IP地址等 步驟2： 路由表 步驟3： 訪問控制列表 訪問控制列表應(yīng)用在接口 步驟4： 測試,21,配置靜態(tài)路由 Router1(config)#ip r

8、oute serial 1/2 Router2(config)#ip route serial 1/2 Router2(config)#ip route serial 1/2 測試命令：show ip route。,22,步驟2 配置標(biāo)準(zhǔn)IP訪問控制列表。 Router2(config)#access-list 1 permit 55 ! 允許來自網(wǎng)段的流量通過Router2(config)

9、#access-list 1 deny 55 ! 拒絕來自網(wǎng)段的流量通過 驗(yàn)證測試： Router2#show access-lists 1 Standard IP access list 1 includes 2 items: deny , wildcard bits 55 permit , wildcard bits 55,23,步驟3 把訪問控制列表在接口下應(yīng)用。 Router2(config)# interface fastEthernet 1/0 Router2

10、(config-if)#ip access-group 1 out ! 在接口下訪問控制列表出棧流量調(diào)用,24,驗(yàn)證測試：,Router2#show ip interface fastEthernet 1/0,25,步驟4. 驗(yàn)證測試。 ping（網(wǎng)段的主機(jī)不能ping通網(wǎng)段的主機(jī)；網(wǎng)段的主機(jī)能ping通網(wǎng)段的主機(jī)）。 【注意事項(xiàng)】 1、注意在訪問控制列表的網(wǎng)絡(luò)掩碼是反掩碼。 2、標(biāo)準(zhǔn)控制列表要應(yīng)用在盡量靠近目的地址的接口。,26,【參考配置】,Router1#show running-config !查看路由器1

11、的全部配置,27,擴(kuò)展訪問控制列表配置2-1,創(chuàng)建ACL Router(config)# access-list access-list-number permit | deny protocol source source-wildcard destination destination-wildcard operator operan 刪除ACL Router(config)# no access-list access-list-number 將ACL應(yīng)用于接口 Router(config-if)# ip access-group access-list-number in |out 在

12、接口上取消ACL的應(yīng)用 Router(config-if)# no ip access-group access-list-number in |out,28,擴(kuò)展訪問控制列表配置2-2,應(yīng)用實(shí)例1 Router(config)# access-list 101 permit ip 55 55 Router(config)# access-list 101 deny ip any any 應(yīng)用實(shí)例2 Router(config)# access-list 101 deny tcp

13、55 host eq 21 Router(config)# access-list 101 permit ip any any 應(yīng)用實(shí)例3 Router(config)# access-list 101 deny icmp 55 host echo Router(config)# access-list 101 permit ip any any,29,擴(kuò)展ACL的編號為100 199，擴(kuò)展ACL增強(qiáng)了標(biāo)準(zhǔn)ACL的功能 增強(qiáng)ACL可以基于下列參數(shù)進(jìn)行網(wǎng)絡(luò)傳輸?shù)倪^濾 目的地址 IP協(xié)議 可以使用協(xié)議的名字來設(shè)定

14、檢測的網(wǎng)絡(luò)協(xié)議或路由協(xié)議，例如：ICMP、TCP和UDP等等 TCP/IP協(xié)議族中的上層協(xié)議 可以使用名稱來表示上層協(xié)議，例如：“ftp”或“www” 也可以使用操作符eq、gt、lt和neq (equal to, greater than, less than和not equal to)來處理部分協(xié)議 例如：希望允許除了http之外的所有通訊，其語句是permit tcp any any neq 80,30,請復(fù)習(xí)TCP和UDP的端口號 也可以使用名稱來代替端口號，例如：使用telnet來代替端口號23,端口號,31,放置擴(kuò)展ACL的正確位置,在下圖中，需要設(shè)定網(wǎng)絡(luò)中

15、的所有節(jié)點(diǎn)不能訪問地址為4服務(wù)器 在哪個(gè)路由器的哪個(gè)接口上放置ACL? 在Router C的E0接口上放置 這將防止中的所有機(jī)器訪問4，但是他們可以繼續(xù)訪問Internet,32,由于擴(kuò)展ACL可以控制目的地地址，所以應(yīng)該放置在盡量接近數(shù)據(jù)發(fā)送源的路由器上。減少網(wǎng)絡(luò)資源的浪費(fèi)。,放置擴(kuò)展ACL的正確位置,33,Router-C(config)#access-list 100 deny ip 55 4 Router-C(config)#acces

16、s-list 100 permit ip any any Router-C(config)#int e0 Router-C(config-if)#ip access-group 100 in,使用ACL,34,配置練習(xí),PC1不能對Server0進(jìn)行WWW訪問,35,擴(kuò)展訪問控制列表例,如上圖， 網(wǎng)絡(luò)中部門經(jīng)理使用的IP地址為,部門經(jīng)理可以訪問內(nèi)網(wǎng)server及與內(nèi)網(wǎng)結(jié)點(diǎn)通信，并訪問Internet，員工不能訪問server，但可以和內(nèi)網(wǎng)其他節(jié)點(diǎn)通信，只允許員工訪問Internet的WWW的服務(wù)和收發(fā)郵件。,36,答案 Access-list 1

17、00 permit ip host any Access-list deny ip 0.0.255 host 4 Access-list permit ip 55 55 Access-list permit tcp 55 any eq www(或80) Access-list permit tcp 55 any eq pop3(或110) Access-list

18、 permit tcp 55 any eq smtp(或25),擴(kuò)展訪問控制列表例,37,擴(kuò)展訪問控制列表例,如上圖，允許server ping網(wǎng)絡(luò)內(nèi)的節(jié)點(diǎn)，但是不允許該網(wǎng)絡(luò)內(nèi)節(jié)點(diǎn)ping server。允許其他所有訪問。 答案： access-list 100 permit icmp 55 host 4 echo-reply access-list 100 deny icmp 55 host 4 ech

19、o Access-list 100 permit ip any any,38,命名訪問控制列表配置5-1,創(chuàng)建ACL Router(config)# ip access-list standard | extended access-list-name 配置標(biāo)準(zhǔn)命名ACL Router(config-std-nacl)# Sequence-Number permit | deny source source-wildcard 配置擴(kuò)展命名ACL Router(config-ext-nacl)# Sequence-Number permit | deny protocol source sour

20、ce-wildcard destination destination-wildcard operator operan ,標(biāo)準(zhǔn)命名ACL,擴(kuò)展命名ACL,Sequence-Number決定ACL語句在ACL列表中的位置,39,命名訪問控制列表配置5-2,標(biāo)準(zhǔn)命名ACL應(yīng)用實(shí)例,查看ACL配置信息 Router#show access-lists Standard IP access list cisco 10 permit 20 deny any,Router(config)# ip access-list standard cisco Router(config-s

21、td-nacl)# permit host Router(config-std-nacl)# deny any 允許來自主機(jī)/24的流量通過,更改ACL,又允許來自主機(jī)/24的流量通過 Router(config)# ip access-list standard cisco Router(config-std-nacl)#15 permit host ,Router#show access-lists Standard IP access list cisco 10 permit

22、 15 permit 20 deny any,添加序列號為15的ACL語句,ACL語句添加到了 指定的ACL列表位置,40,命名訪問控制列表配置5-3,擴(kuò)展命名ACL應(yīng)用實(shí)例 Router(config)# ip access-list extended cisco Router(config-ext-nacl)# deny tcp 55 host eq 21 Router(config-ext-nacl)# permit ip any any,41,命名訪問控制列表配置5-4,刪除整組ACL Router(

23、config)# no ip access-list standard | extended access-list-name 刪除組中單一ACL語句 no Sequence-Number no ACL語句,創(chuàng)建ACL Router(config)# ip access-list standard cisco Router(config-std-nacl)# permit host Router(config-std-nacl)#end Router#show access-lists Standard IP access list cisco 10 permit 19

24、 刪除組中單一ACL語句 Router(config-std-nacl)# no 10 或 Router(config-std-nacl)#no permit host ,42,命名訪問控制列表配置5-5,將ACL應(yīng)用于接口 Router(config-if)# ip access-group access-list-name in |out 在接口上取消ACL的應(yīng)用 Router(config-if)# no ip access-group access-list-name in |out,43,命名訪問控制列表配置實(shí)例,公司添加服務(wù)器，要求如下 19

25、可以訪問服務(wù)器 /24中除上述地址外都不能訪問服務(wù)器 其他公司網(wǎng)段都可以訪問服務(wù)器 公司人員調(diào)整，更改服務(wù)器訪問權(quán)限 不允許和主機(jī)訪問服務(wù)器 允許0主機(jī)訪問服務(wù)器,44,定義時(shí)間范圍,定義時(shí)間范圍的名稱 Router(config)# time-range time-range-name 指定該時(shí)間范圍何時(shí)生效 定義一個(gè)時(shí)間周期 Router(config-time-range)# periodic days-of-the-week hh:mm to days-of-

26、the-week hh:mm 定義一個(gè)絕對時(shí)間 Router(config-time-range)# absolute start hh:mm day month year end hh:mm day month year,參數(shù)days-of-the-week的取值,45,定時(shí)訪問控制列表配置2-1,擴(kuò)展ACL中引入時(shí)間范圍 Router(config)# access-list access-list-number permit | deny protocol source source-wildcard destination destination-wildcard operator o

27、peran time-range time-range-name 將ACL應(yīng)用于接口 Router(config-if)# ip access-group access-list-number in |out ,46,定時(shí)訪問控制列表配置2-2,應(yīng)用實(shí)例1 Router(config)# time-range mytime Router(config-time-range)# periodic weekdays 8:30 to 17:30 Router(config-time-range)# exit Router(config)# access-list 101 permit ip any

28、any time-range mytime Router(config)# int f0/0 Router(config-if)# ip access-group 101 in 應(yīng)用實(shí)例2 Router(config)# time-range mytime Router(config-time-range)# absolute start 8:00 10 may 2009 end 18:00 20 may 2009 Router(config-time-range)# exit Router(config)# access-list 101 permit ip any any time-range mytime Router(config)# int f0/0 Router(config-if)# ip access-group 101 in,47,小結(jié),請思考 ACL的作用是什么？ ACL通過哪幾個(gè)參數(shù)過