Download
1 / 30
300 likes | 510 Views
ACL 在路由器上的應用. 鄭 彬. A ccess C ontrol L ist. 簡稱 ACL 。 網路存取控制。 許可或阻擋封包通過。 CCNA 證照考試重要單元之一。. 可参考文魁資訊的網路工程概論 (N2014). ACL 流程圖. 符合第一個條件. yes. 查驗工作 IP 範圍及欲管制之指令. no. permit or deny. 符合第二個條件. yes. no. 以上皆非. 許可或拒絕. 傳送封包. yes. yes. 預設值為拒絕所有封包. no. no. 拒絕封包 deny any. ACL 規則.
E N D
ACL在路由器上的應用 鄭 彬
Access Control List • 簡稱ACL。 • 網路存取控制。 • 許可或阻擋封包通過。 • CCNA證照考試重要單元之一。 可参考文魁資訊的網路工程概論(N2014)
ACL流程圖 符合第一個條件 yes 查驗工作IP範圍及欲管制之指令 no permit or deny 符合第二個條件 yes no ......... 以上皆非 許可或拒絕 傳送封包 yes yes 預設值為拒絕所有封包 no no 拒絕封包 deny any
ACL規則 • 依序由逐列檢查,直到符合條件。 • 若比對成功,就再對後面其他列作比對。 • 清單的結尾為一個預設的「拒絕」。 • 每一個清單中,至少要有一個permit條件,否則會擋掉所有封包。
Access Control List • 定義ACL: Router(config)#access-list 編號 {permit|deny} 條件敍述...... • 放置ACL: (放在介面卡設定上,必需設定) Router(config-if)#ip access-group 編號 [{in|out}] in為輸入至路由器, out為由路由器輸出
Wildcard Mask • 共四個位元組或32bits。 • 0代表不可變動(若想符合條件),ACL會檢查該位元。 • 0也可視為眼睛,代表欲檢出符合條件的封包。 • 1表示隨意,ACL會檢查該位元。 • 例如:要ACL查驗174.40.0.0至174.40.255.255的封包,則設WM(Wildcard Mask)為0.0.255.255。
Access Control List • 例如:要查驗174.40.16.0至174.40.31.255的封包,則設WM為0.0.15.255。 174.40.16.0 紅色部分為同號 10101110 0010100000010000 00000000 174.40.31.255 10101110 0010100000011111 11111111 00000000 00000000 00001111 11111111 0.0.15.255 0代表「檢查位元」 檢查位元會與設定的網段值比較
Access Control List • 例如:要查驗174.40.16.0至174.40.63.255的封包,則需設WM為何? 10101110 0010100000010000 00000000 (174.40.16.0) 10101110 0010100000011111 11111111 (174.40.31.255) 10101110 0010100000100000 11111111 (174.40.32.0) 10101110 0010100000111111 11111111 (174.40.63.255) 00000000 0000000000001111 11111111 (174.40.15.255) 00000000 0000000000011111 11111111 (174.40.31.255) 分成两個區段
查驗的範圍為2的次方 • 連續的0在左,連續的1在右,可全0或全1。 • 例如:2、8、16、32、64、128、256。 • 若查驗35個網段,則需設64,因為32太小,不夠用。 • 若查驗14個網段,則需設16,因為32太大,造成浪費。
Access Control List • Standard ACL(簡單型) (1~99及1300~1999) 標準式存取清單 • Extended ACL(常用)(100~199及2000~2699)延伸式存取清單 • Named ACL名稱式存取清單 其他號碼由其他型式的access list使用
ACL名詞 • host:代表單一主機IP,例:host 192.172.2.56 • permit:許可 • deny:拒絕 • any:代表任何IP (等於0.0.0.0 255.255.255.255) • eq:等於
Standard Access Control List語法 • Router(config)# access-list access-list-number {deny | permit} source [source-wildcard ] [log] • Router(config)# no access-list access-list-number • log: 回傳訊息
Standard Access Control List • 允許介於174.40.16.0至174.40.63.255的封包進入 • Router(config)#access-list 20 permit 174.40.16.0 0.0.15.255 • Router(config)#access-list 20 permit 174.40.32.0 0.0.31.255 • 不允許介於174.40.16.0至174.40.63.255的封包進入 • Router(config)#access-list 10 deny 174.40.16.0 0.0.15.255 • Router(config)#access-list 10 deny 174.40.32.0 0.0.31.255 • Router(config)#access-list 10 permit any 清單編號 來源IP 遮罩 此編號為10的清單共有3行 ACL的尾端預設值為deny any 只管來源封包
重點回顧 R1(config)#access-list 15 deny 175.17.30.0 0.0.7.255 請問此指令會阻檔那些區間的封包? (ANS:由175.17.30.0至175.17.37.0) R1(config)#access-list 15 permit 175.17.32.0 0.0.63.255 請問此指令會允那些區間的封包? (ANS:由175.17.30.0至175.17.95.0)
放置ACL到介面範例 管制輸入至路由器 • Router(config)#int FastEthernet 0 • Router(config-if)#ip access-group 110 in • Router(config)#int s 0 • Router(config-if)#ip access-group 110 out 管制由路由器輸出 輸出 s0/1 輸入 s0/0 路由器 輸出 輸入 e0/1 e0/1 交通管制
Extended ACL語法 • Router(config)#access-list access-list-number {permit | deny} protocol source [source-mask destination destination-mask operator operand] [established] • operator operand:lt, gt, eq, neq(less than, greater than, equal, not equal) port number
Extended ACL範例 句後無指令 • Router(config)#access-list 120 permit ip any any 表示任何網路協定 來源IP (0.0.0.0 255.255.255.255) 目的IP (0.0.0.0 255.255.255.255) 預設值是拒絕所有網路交通 允許所有的封包通過
允許任何人使用telnet • Router(config)#access-list 120 deny tcp any any eq telnet 此欄位亦可使用: ftp (21) telnet (23) www (80) 或也可寫成: Router(config)#access-list 120 deny tcp any any eq 23
允許任何人使用telnet • Router(config)#access-list 120 deny tcp any any eq telnet 此欄位亦可使用: icmp (Internet Control Message Protocol) ip (Internet Protocol) tcp (Transmission Control Protocol) udp (User Datagram Protocol) eq指令需配合適當指令
延伸式ACL範例 • 允許任何人瀏覽在某網址上的網頁 • Router(config)#access-list 120 permit tcp any 192.1.1.2 0.0.0.0 eq www • 禁止連接到網段192.192.232.0上的所有電腦 • access-list 123 deny ip any 192.192.232.0 0.0.0.255 • 禁止網段192.192.232.0上的所有電腦使用FTP • access-list 123 deny tcp 192.192.232.0 0.0.0.255 any eq ftp • 開放網段192.192.232.0上的所有電腦使用任何網路 • access-list 123 permit ip 192.192.232.0 0.0.0.255 any 或host 192.1.1.2
延伸式ACL範例 • 删除某ACL定義 • Router(config)#no access-list 編號 • 由介面中删除某ACL設定 • Router(config-if)#no ip access-group 編號 {in|out} • 查看ACL內容 • Router#show access-list • 查看ACL是否放置到介面 • Router#show run
延伸式ACL範例 • 顯示所有ACL的內容 • show access-lists • 顯示介面卡用了那些ACL設定 • show ip int
Named ACL • 命名式ACL • 可將數字編號改為文字,以方便使用者識別 • 或當標準式ACL超過99個,延伸式ACL超過100個 • 在Cisco IOS 11.2版前的不能使用
Named ACL 語法 • Router(config)#ip access-list standard 名稱 • Router(config-std-nacl)#{permit|deny}來源位址 來源遮罩 [log] 或者 • Router(config)#ip access-list extended 名稱 • Router(config-ext-nacl)# {permit|deny}協定 來源位址 來源遮罩 目的位址 目的遮罩 邏輯運算子 埠號
Named ACL範例 R1(config)#ip access-list extended my-server R1(config-ext-nacl)#permit TCP any host 135.100.100.34 eq smtp R1(config-ext-nacl)#permit UDP any host 135.100.100.34 eq domain R1(config-ext-nacl)#deny ip any any log R1(config-ext-nacl)#^z 設定到介面卡上 R1(config)#int fa0/0 R1(config-if)#ip access-group my-server out R1(config-if)#^z
access-class • 管制遠端登入telnet • 指令show users可查看有多少人連線 • 指令disconnect可切斷連線 • 只允許192.11.23.5的主機可遠端登入: R1(config)#access-list 40 permit 192.11.23.5 R1(config)#line vty 0 4 R1(config-line)#access-class 40 in
重點回顧 • 請問ACL有何功能? • 請簡述Wildcard Mask的工作原理。 • 請使用ACL,允許任何人瀏覽在某網址(192.192.232.17)上的網頁。並置放在s0/0輸出介面上。 • 請使用ACL,禁止連接到網段192.192.232.0上的所有電腦。並置放在e0/0輸出介面上。 • 請使用ACL,禁止網段192.192.232.0上的所有電腦使用FTP 。並置放在s0/1輸出介面上。 • 請使用ACL,開放網段192.192.232.0上的所有電腦使用任何網路。並置放在s0/0輸入介面上。
