第七章：访问列表安全性

第七章：理解访问列表安全性1、访问控制列表：是由一系列的匹配语句和相应的动作组成。当一个访问列表有多条语句时，第一条匹配的语句决定对匹配的包采取什么动作判断过程总结如下：A：访问列表的第一个语句与包中各值相比较B：如果匹配就做相关的动作（允许/拒绝）C：如果在第二步中没有匹配的，那将访问列表中的下一语气，并重复执行A/BD：如果整个访问列表都不匹配，将执行拒绝动作注：每一个访问列表的结尾有一个隐含的“denyall”。所以如果没有匹配项，那将被丢弃内向Acl路由逻辑位桶内向Acl允许允许拒绝拒绝访问控制列表分为：标准的与扩展的A标准的：是基于源地址的控制B扩展的：是基源IP与目标IP、源mac与标mac、源端口及目标端口/协议访问控制列表中放置的三个原则1.靠近包的来源处2.先将匹配的包放在列表的前端3.保证要实现功能访问列表通配符掩码示例通配符掩码掩码的二进制形式描述0.0.0.000000000.00000000.0000000.00000000整个IP地址必须匹配0.0.0.25500000000.00000000.0000000.11111111只有前24位要匹配255.255.255.2551111111.11111111.11111111.11111111不要匹配0.0.15.2550000000.00000000.00001111.11111111只有前20位要匹配3、标准IP访问列表配置Access-listaccess-list-number{deny|permit|}source[source-wildcard][log]:标准编号的的访问列表的全局命令Ipaccess-group{number|name[in|out]}:启用访问列表的接口子命令Access-classnumber|name[in|out]Showipinterface[typenumber]Showaccess-list[number|name]注：标准IP访问列表的编号是1到99sam10.1.2.1em10.1.2.2eL10.1.3.1eH10.1.3.2bug10.1.1.1da10.1.1.2ABCs0s1s1s0s1s0案例分析（标准）要求过滤标准（如图1）：1.Grigory可以使用Nova以太网上的主机2.在Gorno上的其它所有的主机（除Grigory外）不能使用Nova以太网的主机3.所有其它的通信是允许的Grigory10.1.2.1em10.1.2.2eL10.1.3.1eH10.1.3.2bug10.1.1.1da10.1.1.2GornoBNovas0s1s1s0s1s0Access-list43permithost10.1.2.1Access-list43deny10.1.2.00.0.0.255Access-list43PermitanyanyInterfaces0Ipaccess-group43inInterfaces1Ipaccess-group43in(请同学思考用以上方式是否会出问题）：如果有的话，有没有解决办法）Acces-list143permitiphost10.1.2.110.1.3.00.0.0.255Access-list143denyip10.1.2.00.0.0.25510.1.3.00.0.0.255Acces-list143permitipanyany3、扩展IP访问列表配置Access-listaccess-list-number[dynamicdynamic-name]{deny|permit}protocolsource[source-wildcard]destinationdesination-wildcard:扩展编号的的访问列表的全局命令Ipaccess-group{number|name[in|out]}:启用访问列表的接口子命令Access-classnumber|name[in|out]Showipinterface[typenumber]Showaccess-list[number|name]注：扩展IP访问列表的编号是100到199标准accest-list命令的例子access-listaccess-list101denytcpanyhost10.1.1.1eq23access-list101denytcpanyhost10.1.1.1eqtelnetaccess-list101denyudp1.0.0.00.255.255.255it1023anyaccess-list101denyudp1.0.0.00.255.255.255it102344.1.2.30.0.255.255access-list101denyip33.1.2.00.0.0.25544.1.2.30.0.255.255access-lis101denyicmp33.1.2.00.0.0.25544.1.2.30.0.255.255echosam10.1.2.1em10.1.2.2eL10.1.3.1eH10.1.3.2bug10.1.1.1ABCs0s1s1s0s1s0bug10.1.1.1bug210.1.1.2bug310.1.13bug410.1.1.284、命名IP访问列表编号IP访问列表和命名IP访问列表的主要区别：A：名字能直接反映出访问列表完成的功能B：命名访问列表突破99个标准和100个扩展列表的限制，能定义更多的访问列表C：命名IP访问列表允许删除个别语句，而编号的列表只能删除整个列表，D：在同一个路由器是，IP命名是唯一的例如：ipaccess-listextendedabcsam10.1.2.1em10.1.2.2eL10.1.3.1eH10.1.3.2bug10.1.1.1ABCs0s1s1s0s1s0bug10.1.1.1bug210.1.1.2bug310.1.13bug410.1.1.28案例分析2：如图2在barmaul以太网上的主机不能和Gorno以太网中的主机通信Grigory和Melissa不能和Nova以太网上的主机通信在Nova以太网和Gorno之间的其它的以太网的主机可以通信所有其它的主机可以通信（请同学写出控制过程）Grigory10.1.2.1Melissa10.1.2.2Ivan10.1.3.1Anna10.1.3.2sergei10.1.1.1Tonya10.1.1.2GornoBarnaulNovas0s1s1s0s1s0NAT实例分析interfaceFastEthernet0/0ipaddress124.74.234.178255.255.255.252noipdirected-broadcastipnatoutsideduplexautospeedauto!interfaceFastEthernet0/1ipaddress172.16.200.254255.255.255.0noipdirected-broadcastipnatinsideduplexautospeedauto!ipnatpoolxxx124.74.234.178124.74.234.178netmask255.255.255.252ipnatinsidesourcelist1poolbbboverloadipclasslessiproute0.0.0.00.0.0.0124.74.234.177noiphttpserver!access-list1permit172.16.200.00.0.0.255请学生画出以上符合上述网络的拓扑图（一种可能的图）（如果在172.16.200.0/24前端还有其它的网络段，知道如何操作吗）