1、專 業 務 實 學 以 致 用學習情境3：實訓任務3.1補充專 業 務 實 學 以 致 用內容內容介紹介紹為什么要使用訪問列表1配置標準 ACLs2配置擴展 ACLs3配置命名 ACLs4ACL配置注意點5幾種配置實例6專 業 務 實 學 以 致 用1 1、為什么要使用訪問列表、為什么要使用訪問列表專 業 務 實 學 以 致 用FDDI172.16.0.0172.17.0.0TokenRingInternet為什么要使用訪問列表為什么要使用訪問列表管理網絡中逐步增長的管理網絡中逐步增長的 IP IP 數據數據當數據通過路由器時進行過濾當數據通過路由器時進行過濾專 業 務 實 學 以 致 用訪問

2、列表的應用訪問列表的應用允許、拒絕數據包通過路由器允許、拒絕數據包通過路由器允許、拒絕允許、拒絕TelnetTelnet會話的建立會話的建立沒有設置訪問列表時，所有的數據包都會在網絡上傳輸沒有設置訪問列表時，所有的數據包都會在網絡上傳輸虛擬會話虛擬會話 (IP)端口上的數據傳輸端口上的數據傳輸專 業 務 實 學 以 致 用 數據包過濾數據包過濾u 當數據包到達過濾數據包的路由器時，路由器會從數據包報頭中提取某些信息當數據包到達過濾數據包的路由器時，路由器會從數據包報頭中提取某些信息，根據過濾規則決定該數據包是應該通過還是應該丟棄，根據過濾規則決定該數據包是應該通過還是應該丟棄. . u ACL

3、 ACL 可以從數據包報頭中提取以下信息，根據規則進行測試，然后決定是可以從數據包報頭中提取以下信息，根據規則進行測試，然后決定是“允允許許”還是還是“拒絕拒絕”：源 IP 地址目的 IP 地址ICMP 消息類型u ACL ACL 也可以提取上層信息并根據規則對其進行測試。上層信息包括：也可以提取上層信息并根據規則對其進行測試。上層信息包括： TCP/UDP 源端口TCP/UDP 目的端口專 業 務 實 學 以 致 用數據包過濾數據包過濾專 業 務 實 學 以 致 用ACL ACL 工作原理工作原理u ACL ACL 工作原理工作原理ACL 要么配置用于入站流量，要么用于出站流量.入站 ACL

4、 傳入數據包經過處理之后才會被路由到出站接口。入站 ACL 非常高效，如果數據包被丟棄，則節省了執行路由查找的開銷。當測試表明應允許該數據包后，路由器才會處理路由工作. 出站 ACL 傳入數據包路由到出站接口后，由出站 ACL 進行處理. 隱含的“拒絕所有流量”條件語句專 業 務 實 學 以 致 用Cisco ACLsCisco ACLs的的類類型型u 有兩類有兩類 Cisco ACLs, Cisco ACLs, 標準的和擴展的標準的和擴展的. . 標準 ACLs:標準 ACL 根據源 IP 地址允許或拒絕流量. 擴展 ACLs:擴展 ACL 根據多種屬性.專 業 務 實 學 以 致 用標準訪

5、問列表和擴展訪問列表比較標準訪問列表和擴展訪問列表比較標準標準擴展擴展基于源地址基于源地址基于源地址和目標地址基于源地址和目標地址允許和拒絕完整的允許和拒絕完整的TCP/IP協議協議指定指定TCP/IP的特定協議的特定協議和端口號和端口號編號范圍編號范圍 100 到到 1992000-2699編號范圍編號范圍 1 到到 991300-1999專 業 務 實 學 以 致 用2 2、配置標準、配置標準 ACLsACLs專 業 務 實 學 以 致 用輸輸入條件入條件語語句句值值得注意得注意: : u 您應該將最頻繁使用的您應該將最頻繁使用的 ACL ACL 條目放條目放在列表頂部在列表頂部. . u

6、 您必須在您必須在 ACL ACL 中至少包含一條中至少包含一條 perpermit mit 語句，否則所有流量都會被阻止語句，否則所有流量都會被阻止. . For example,圖中的兩個 ACL（101 和 102）具有相同的效果. 專 業 務 實 學 以 致 用配置標準配置標準 ACLACLu在圖中，路由器會檢查進入在圖中，路由器會檢查進入 Fa0/0 Fa0/0 的數據包的源地址的數據包的源地址: :access-list 2 deny 192.168.10.1access-list 2 permit 192.168.10.0 0.0.0.255access-list 2 deny

7、192.168.0.0 0.0.255.255access-list 2 permit 192.0.0.0 0.255.255.255專 業 務 實 學 以 致 用ACL ACL 通配符掩碼通配符掩碼通配符掩碼使用以下規則 匹配二進制 1 和 0: u通配符掩碼位 0 匹配地址中對應位的值u通配符掩碼位 1 忽略地址中對應位的值專 業 務 實 學 以 致 用ACLACL通配符掩碼通配符掩碼u any any 和和 host host 關鍵字關鍵字專 業 務 實 學 以 致 用將將標標準準 ACLs ACLs 應應用到接口用到接口u 配置標準配置標準 ACL ACL 之后，可以使用之后，可以使用

8、 ip access-group ip access-group 命令將其關聯到接口命令將其關聯到接口: : Router(config-if)#ip access-group Router(config-if)#ip access-group access-list-number access-list-number | | access-list-nameaccess-list-name in | out in | out專 業 務 實 學 以 致 用將將標標準準 ACLs ACLs 應應用到接口用到接口uExample1Example1: : 允許單個網絡的允許單個網絡的 ACL ACL

9、 示例示例. .Example2: 查看拒絕特定主機的 ACL 示例.Example3: 查看拒絕特定子網的 ACL 示例.專 業 務 實 學 以 致 用將將標標準準 ACLs ACLs 應應用到接口用到接口使用使用 ACL ACL 控制控制 VTY VTY 訪問訪問：( (把定義的規則用到相應的把定義的規則用到相應的vtyvty進程下）進程下）u access-class access-class 命令的語法是命令的語法是: :access-class access-class access-list-numberaccess-list-number in vrf-also | out in

10、 vrf-also | out專 業 務 實 學 以 致 用編輯編號編輯編號 ACLsACLsu 對對 ACL ACL 添加注釋：添加注釋：專 業 務 實 學 以 致 用監監控和控和檢驗檢驗 ACLsACLsu show access-listsshow access-lists專 業 務 實 學 以 致 用3 3、配置擴展、配置擴展 ACLsACLs專 業 務 實 學 以 致 用擴展擴展 ACLsACLsu 為了更加精確地控制流量過濾，您可以使用編號在為了更加精確地控制流量過濾，您可以使用編號在 100 100 到到 199 199 之之間以及間以及 2000 2000 到到 2699 26

11、99 之間的擴展之間的擴展 ACLACL（最多可使用（最多可使用 800 800 個擴展個擴展 A ACLCL）。您也可以對擴展）。您也可以對擴展 ACL ACL 命名命名. . 專 業 務 實 學 以 致 用擴展擴展ACLsACLsu 測試端口和服務測試端口和服務專 業 務 實 學 以 致 用配置擴展配置擴展 ACLsACLs 舉例：舉例：專 業 務 實 學 以 致 用將將擴擴展展 ACL ACL 應應用于接口用于接口專 業 務 實 學 以 致 用4 4、配置命名、配置命名 ACLsACLs專 業 務 實 學 以 致 用問題問題u 無論是標準還是擴展無論是標準還是擴展ACL,ACL,刪除一句

12、就會刪除所有的刪除一句就會刪除所有的, ,也就是幾乎不能也就是幾乎不能修改修改? ?u 命名命名ACLACL是創建標準或擴展是創建標準或擴展ACLACL的另一中方法的另一中方法u 可以刪除任一句可以刪除任一句專 業 務 實 學 以 致 用創創建命名建命名擴擴展展 ACLsACLsu 怎怎樣樣建立命名建立命名擴擴展展 ACLs:ACLs:u Step 1.Step 1.進入全局配置模式，使用進入全局配置模式，使用 i ip access-list extendedname p access-list extendedname 命令創建命名命令創建命名 ACL. ACL. u Step 2.Ste

13、p 2.在命名在命名 ACL ACL 配置模式中配置模式中，指定您希望允許或拒絕的條件，指定您希望允許或拒絕的條件. .u Step 3.Step 3.返回特權執行模式，并使返回特權執行模式，并使用用 show access-lists number | show access-lists number | name name 命令檢驗命令檢驗 ACL.ACL.u Step 4. Step 4. （可選）建議您使用（可選）建議您使用 cocopy running-config startup-confpy running-config startup-config ig 命令將條目保存在配置文

14、件中命令將條目保存在配置文件中. .專 業 務 實 學 以 致 用標準命名標準命名ACLACLu (config)#ip access-list standard (config)#ip access-list standard abcabcu (config)#deny 1.1.1.1 0.0.0.0 (config)#deny 1.1.1.1 0.0.0.0 u (config)#permit any(config)#permit any專 業 務 實 學 以 致 用擴展命名擴展命名ACLACLu (config)#ip access-list extended (config)#ip a

15、ccess-list extended abcabc (config)#deny tcp 1.1.1.1 0.0.0.0 2.2.2.0 0.0.0.255 eq 80 (config)#deny tcp 1.1.1.1 0.0.0.0 2.2.2.0 0.0.0.255 eq 80 (config)#permit any any (config)#permit any any專 業 務 實 學 以 致 用5 5、ACLACL配置注意點配置注意點專 業 務 實 學 以 致 用訪問列表配置要點：訪問列表配置要點：訪問列表的編號指明了使用何種協議的訪問列表訪問列表的編號指明了使用何種協議的訪問列表

16、每個端口、每個方向、每條協議只能對應于一條訪問列表每個端口、每個方向、每條協議只能對應于一條訪問列表訪問列表的內容決定了數據的訪問列表的內容決定了數據的控制順序控制順序 具有嚴格限制條件的語句應放在訪問列表所有語句的最上面具有嚴格限制條件的語句應放在訪問列表所有語句的最上面在訪問列表的最后有在訪問列表的最后有一條隱含聲明：一條隱含聲明：deny anydeny any每一條正確的每一條正確的訪問列表都至少應該有一條允許語句訪問列表都至少應該有一條允許語句先創建訪問列表，然后應用到端口上先創建訪問列表，然后應用到端口上訪問列表不能過濾由路由器自己產生的數據訪問列表不能過濾由路由器自己產生的數據專

17、 業 務 實 學 以 致 用訪問列表配置準則訪問列表配置準則訪問列表中限制語句的位置是至關重要的訪問列表中限制語句的位置是至關重要的將限制條件嚴格的語句放在訪問列表的最上面將限制條件嚴格的語句放在訪問列表的最上面使用使用 no access-list no access-list numbernumber 命令刪除完整的訪問列表命令刪除完整的訪問列表隱含聲明隱含聲明 deny alldeny all在設置的訪問列表中要有一句 permit any專 業 務 實 學 以 致 用 ACLs ACLs的放置位置的放置位置 每個 ACL 都應該放置在最能發揮作用的位置。基本的規則是：將擴展 ACL 盡

18、可能靠近要拒絕流量的源。這樣，才能在不需要的流量流經網絡之前將其過濾掉.因為標準 ACL 不會指定目的地址，所以其位置應該盡可能靠近目的地. 專 業 務 實 學 以 致 用幾種配置實例幾種配置實例ACLACL配置實例補充配置實例補充實驗實驗1 1：配置：配置TELNETTELNET的訪問控制列表的訪問控制列表實驗實驗2 2：配置基于時間的訪問控制列表：配置基于時間的訪問控制列表專 業 務 實 學 以 致 用幾種配置實例幾種配置實例實驗實驗1 1：配置：配置TELNETTELNET的訪問控制列表的訪問控制列表u 定義一個訪問擴展控制列表TELNET的u Y_R(config)#access-li

19、st 11 permit 192.168.104.0 0.0.0.255u Y_R(config)#access-list 11 permit 192.168.105.0 0.0.0.255u Y_R(config)#access-list 11 permit 192.168.107.0 0.0.0.255u Y_R (config)#line vty 0 4u Y_R (config-line)#access-class 11 inu Y_R (config-line)#password ciscou Y_R (config-line)#loginu Y_R (config-line)#exitu Y_R (config)#enable password ciscou Y_R (config)#service password-encryption專 業 務 實 學 以 致 用幾種配置實例幾種配置實