07 ACL与NAT

访问控制 列表ACL 用途很广,很多方面都要用到ACL。 1. 实现网络的安全访问,对访问网络的流量进行过滤; 2.网络地址转换(NAT); 3.QOS及策略路由。 策略:要求1.1和1.2可以访问财务部(1.1和1.2是销售部经理),其他不允许访问财务. ● 标准 访问控制列表: Rou

访问控制列表ACL

用途很广,很多方面都要用到ACL。

1. 实现网络的安全访问,对访问网络的流量进行过滤;

2.网络地址转换(NAT);

3.QOS及策略路由。

策略:要求1.1和1.2可以访问财务部(1.1和1.2 是销售部经理),其他不允许访问财务.

标准访问控制列表:

Router(config)#access-list 编号 策略 源地址

编号: 标准访问控制列表范围.用1--- 99表示

策略: permit允许 | deny 拒绝

源地址: 要严格检查的地址( IP+通配符掩码 )

通配符掩码-----是用来限定特定的地址范围 (反掩码)

用0 表示严格匹配

用1 表示不检查

(为了确定一个具体的主机地址是否匹配条件。路由器必须检查IP地址的每一位 32 比特。

路由器是怎么知道要检查比特位是多少------通配符掩码)定义了要检查IP地址的位数。

例如:对于主机172.16.1.1 通配符掩码 0.0.0.0 32位都要检查

对于主网 172.16.0.0/16 通配符掩码 0.0.255.255 检查16位

对于子网 172.16.1.0/24 通配符掩码 0.0.0.255 24位要检查

任意的 0.0.0.0 通配符掩码 255.255.255.255 不检查

主机----host 172.16.1.1 任意----any 表示

通配符掩码 = 255.255.255.255 - 子网掩码 也称为反掩码

策略:要求1.1和1.2可以访问财务部(1.1和1.2 是销售部经理),其他不允许访问财务.

1.写表:Router(config)#access-list 1 permit host 172.16.1.1

Router(config)#access-list 1 permit 172.16.1.2 0.0.0.0

(表示两台主机允许)

Router(config)#access-list 1 deny any 系统默认拒绝所有

2.执行:Router(config)#interface f0/0

Router(config-if)#ip access-group 1 in

访问控制列表检查数据包的过程: 从上到下,逐条执行。

扩展的访问控制列表

标准访问控制列表只能根据源地址来检查数据包,它允许/拒绝的是整个TCP/IP协议集的数据.功能有限.

扩展的访问控制列表可以根据 源和目的地址,协议, 源和目的端口等来检查数据包.更加灵活,条件细化.

扩展的访问控制列表格式

Router(config)# access-list 编号 策略 协议 源地址 目的地址 端口

编号:扩展的访问控制列表范围 用(100--199)表示

策略:permit允许 | deny 拒绝

协议:检查特定协议的数据包 如TCP UDP ICMP

端口:协议的端口号

ICMP协议 3层 网络控制消息协议(测试网络连通性)

ECHO ICMP请求

ECHO Repley ICMP应答

TCP协议:HTTP 80 超文本传输协议(www服务)

FTP 21 文件传输协议

SMTP 25 简单邮件传输协议(发送邮件)

POP3 110 第三版邮局协议(接收邮件)

TELNET 23 远程登录协议

UDP协议:

TFTP 69 简化的文件传输协议

DNS 53 域名解析协议

DHCP 67 动态主机配置协议

SNMP 161 简单网络管理协议

实验:

要求: 禁止1.21.3 Telnet R2 192.168.2.2

允许其他流量.

1. 写表: eq =

R1(config)# access-list 100 deny tcp host 192.168.1.2 host 192.168.2.2 eq 23

R1(config)# access-list 100 deny tcp host 192.168.1.3 host 192.168.2.2 eq 23

R1(config)# access-list 100 permit ip any any

2. 执行:

R1(config)# interface f0/0

R1(config-if)# ip access-group 100 in

测试:1.2 和 1.2可以ping通2.2但不能Telnet R2 192.168.2.2

说明:扩展的访问控制列表 可以控制基于源/目的IP和端口。条件细化,非常灵活,在当前企业网络应用较为广泛。

控制Telnet会话

登录路由器有两种方法:

一种是通过本地控制台端口(CONSOLE )直接操作.

另一种是远程控制.在远程控制中最常用的方法Telnet,只要知道路由器的任意一个物理接口地址和Telnet口令,并且存在路由,就可以远程操作路由器.

为了提高安全性,有时要对Telnet进行控制.

一种是在物理线路上设置访问控制列表--------比较麻烦

另一种方法是在Telnet使用的虚拟口(VTY 0--4)上设置访问控制列表------比较简单

配置

Router(config)# access-list 12 permit 192.168.1.1 0.0.0.0

# access-list 12 permit 192.168.1.2 0.0.0.0

Router(config)#line vty 0 4

Router(config-line)# access-class 12 in

标准访问列表和扩展访问列表比较

标准

扩展

基于源地址

基于源地址和目标地址

允许和拒绝完整的TCP/IP协议

指定TCP/IP的特定协议和端口号

编号范围 1-99

编号范围 100-199

基于编号的访问列表的缺陷:

不能单独删除某条语句

R1(config)#no access-list 100

access-list 100 删除后,重新写表.(不可以删除语句的)

命名访问列表

R(config)#ip access-list standard/extended r2-telnet

标准 扩展 名字

R1(config)#ip access-list extended rich

R1(config-ext-nacl)#deny tcp host 172.16.1.2 host 172.16.2.2 eq 23

R1(config-ext-nacl)#deny tcp host 172.16.1.5 host 172.16.2.2 eq 23

R1(config-ext-nacl)#permit ip any any

(R1(config-ext-nacl)#deny ip any any)

R1(config)#interface E0

R1(config-if)# ip access-group rich in

郑重声明:本文版权包含图片归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们(delete@yzlfxy.com)修改或删除,多谢。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。

留言与评论(共有 0 条评论)
昵称:
匿名发表
   
验证码: