1 ACL 7 Established ACL 2 ACL 8

章節大綱 1. ACL介紹 7. Established ACL 2. 標準ACL設定 8. ISP阻擋私有IP連線 3. 延伸ACL 9. Wildcard Mask進階應用 4. 使用命名方式設定ACL 10. vty啟動ACL 5. 檢查Source port的ACL 11. IPv 6 ACL介紹與練習 6. 進階ACL設定蕭志明老師 CCNA教學

規劃ACL指令 R 1中設定及啟動標準ACL指令指令說明 R 1(config)#access-list 10 permit host 192. 168. 10. 1 新增一筆編號 10的ACL敘述 R 1(config)#access-list 10 deny host 192. 168. 10. 2 編號 10的再新增一筆ACL敘述 R 1(config)#int fa 0/1 切換到fa 0/1 R 1(config-if)#ip access-group 10 out fa 0/1啟動編號 10 ACL檢查封包出去蕭志明老師 CCNA教學

R 1中設定延伸ACL敘述指令說明 R 1(config)#access-list 100 permit ip host 192. 168. 10. 1 any 檢查來源為 192. 168. 10. 1與目的不限制 R 1(config)#access-list 100 permit ip host 192. 168. 10. 2 host 207. 16. 10. 1 檢查來源為 192. 168. 10. 1與目的為 207. 16. 10. 1 R 1(config)#access-list 100 deny ip host 192. 168. 10. 2 host 207. 16. 10 檢查來源為 192. 168. 10. 1與目的為 207. 16. 10. 1 R 1(config)#int fa 0/1 R 1(config-if)#ip access-group 100 out 在fa 0/1啟動編號 100的ACL 蕭志明老師 CCNA教學

測試PCA連線 � PCA執行ping 207. 16. 10. 1及ping 207. 16. 10 ，結果應該都式連線成功 � 在R 1執行show access-list來查看，結果如下圖所示有 8 matches符合 permit ip host 192. 168. 10. 1 any 蕭志明老師 CCNA教學

15. 5 檢查SOURCE PORT的ACL 蕭志明老師 CCNA教學

檢查來源PORT NUMBER練習架構範例檔案：ACL-extended-source. pka Lab 15 -27影音教學蕭志明老師 CCNA教學

規劃ACL敘述 � Web Server只能回應HTTP封包，其它流量都禁止 � 以R 1的fa 0/1中in方向來設計，由於Web Server回應Http封包會由自己的 source port number為 80送出 � 要檢查來源IP位址的source port number 指令說明 R 1(config)#access-list 100 permit tcp host 207. 16. 10. 1 eq 80 any 檢查來源 port number的 ACL 阻擋所有封包通過 R 1(config)#access-list 100 deny ip any R 1(config)#int fa 0/1 R 1(config-if)#ip access-group 100 in 在fa 0/1中in的方向啟動編號 100 的ACL 蕭志明老師 CCNA教學

R 1中規劃三行ACL STATEMENT 請注意三個ACL的設定順序，當順序不對，其結果也會改變指令說明 R 1(config)#access-list 100 permit tcp host 192. 168. 33. 3 host 172. 242. 23 eq 80 來源電腦C，目的WWW Server，協定tcp，服務http R 1(config)#access-list 100 deny tcp any host 172. 242. 23 eq 80 來源任何電腦，目的WWW Server，協定tcp，服務http R 1(config)#access-list 100 permit ip any 全部允許 R 1(config)#int fa 0/0 R 1(config-if)#ip access-group 100 out 在fa 0/0� 動ACL 蕭志明老師 CCNA教學

更改需求ACL � 整個ACL敘述如下表所示，所以第一項ACL 敘述就是讓電腦C用http連線到WWW Server，如果電腦C用其它服務連到WWW Server就會符合第二項ACL敘述，結果被拒絕通過指令 R 1(config)#access-list 100 permit tcp host 192. 168. 33. 3 host 172. 242. 23 eq 80 R 1(config)#access-list 100 deny ip any host 172. 242. 23 R 1(config)#access-list 100 permit ip any R 1(config)#int fa 0/0 R 1(config-if)#ip access-group 100 out 說明來源電腦C，目的WWW Server，協定tcp，服務http 來源任何電腦，目的 WWW Server，協定ip 全部允許在fa 0/0啟動ACL 蕭志明老師 CCNA教學

15. 7 ESTABLISHED ACL 蕭志明老師 CCNA教學

ESTABLISHED ACL � ACL的established 功能來檢查TCP的連線狀態 � ACL功能的演進技術 � ACL演進的技術 established ACL reflexive ACL Context-based ACL Zone-Based ACL 蕭志明老師 CCNA教學

FIREWALL路由器中建立ACL 指令說明 Firewall(config)#ip access-list extended TCPIN Firewall(config-ext-nacl)# permit tcp any established Firewall(config-ext-nacl)# deny ip any 使用established 功能設定的ACL 當作簡易防火牆 Firewall(config)#ip access-list extended TCPOUT Firewall(config-ext-nacl)# permit tcp 192. 168. 10. 0. 0. 255 any eq www Firewall(config-ext-nacl)# permit tcp 192. 168. 30. 0. 0. 255 any eq ftp Firewall(config-ext-nacl)# deny ip any 達成公司內網需求的ACL Firewall(config)#int s 0/1/0 Firewall(config-if)# ip access-group TCPIN in Firewall(config-if)# ip access-group TCPOUT out 在Firewall中 s 0/1/0執行 TCPIN與 TCPOUT的ACL 蕭志明老師 CCNA教學

CLASS B 私有IP的萬用遮罩 deny 172. 16. 0. 0 0. 15. 255為萬用遮罩位元，二進位中的0有前面 12位元，其它20 位元都為 1 可以檢查來源IP是否有在Class B的私有IP範圍檢� 範圍二進位 172. 16. 0. 0/16 ~ 172. 31. 0. 0/16 10101100. 000100000000 ~ 10101100. 00011111. 00000000 萬用遮罩 000011111111 蕭志明老師 CCNA教學

ISP路由器阻擋私有IP的設定指令說明 ISP(config)#access-list 10 deny 192. 168. 0. 0. 255 阻擋來源IP為 192. 168. 0. 0~192. 168. 255. 0 ISP(config)#access-list 10 deny 10. 0 0. 255 阻擋來源IP為 10. 0 ISP(config)#access-list 10 deny 172. 16. 0. 0 0. 15. 255 阻擋來源IP為 172. 16. 0. 0~172. 31. 0. 0 ISP(config)#access-list 10 permit any 私有IP之外，其它IP 都允許通過 ISP(config)#int s 0/0/1 進入s 0/0/1介面模式 ISP(config-if)# ip access-group 10 in � 動access-list 10 蕭志明老師 CCNA教學

15. 9 WILDCARD MASK進階應用蕭志明老師 CCNA教學

WILDCARD設計練習架構範例檔案: ACL-Subnet-Check. pka Lab 15 -50影音教學蕭志明老師 CCNA教學

設計ACL檢查條件 � 要檢查 172. 10. 0. 0/16子網路為奇數或偶數網路IP位址，偶數子網路IP中的電腦可以通過，奇數子網路則要阻擋 � ISP路由器判斷奇數或偶數子網路ACL敘述指令 ISP(config)# access-list 10 permit 172. 10. 0. 0. 254. 255 ISP(config)# access-list 10 deny 172. 10. 1. 0 0. 0. 254. 255 說明檢查偶數子網路檢查奇數子網路 ISP(config)#access-list 10 permit any 都允許通過 ISP(config)#int s 0/0/1 進入s 0/0/1介面模式 ISP(config-if)# ip access-group 10 in 啟動access-list 10 蕭志明老師 CCNA教學

R 1中設定ACL並在VTY啟動指令說明 R 1(config)#access-list 10 permit host 10. 10. 1 R 1(config)#access-list 10 deny any 允許來源 10. 10. 1其他一律阻擋 R 1(config)#line vty 0 4 R 1(config-line)#password ccna R 1(config-line)#login 進入vty介面模式設定密碼 R 1(config-line)#access-class 10 in 在vty介面中起動編號 20 ACL 蕭志明老師 CCNA教學

R 1中設定阻擋2001: AAAA: : /64網路 � 要阻擋2001: AAAA: : /64連接到Server的IPv 6 ACL指令為 deny ipv 6 2001: AAAA: : /64 host 2001: CCCC: : 2，剩下的就是啟動的部份，如下表指令。指令 R 1(config)#ipv 6 access-list prefixacl R 1(config-ipv 6 -acl)#deny ipv 6 2001: AAAA: : /64 host 2001: CCCC: : 2 說明使用命名方式，名稱為prefixacl 阻擋特定IPv 6網路連接到Server R 1(config-ipv 6 -acl)#permit ipv 6 any 無條件允許IPv 6封包通過 R 1(config-ipv 6 -acl)#int fa 0/0 R 1(config-if)#ipv 6 traffic-filter prefixacl in 在 fa 0/0介面 in方向啟動 prefixacl ACL 蕭志明老師 CCNA教學

練習過濾IPV 6特定協定 � PC 3用Http連接Server的IPv 6 ACL指令為permit tcp host 2001: bbbb: : 2 host 2001: cccc: : 2 eq www，因此要符合這個需求的IPv 6 ACL如下表指令。指令說明 R 1(config)#ipv 6 access-list httpacl 使用命名方式，名稱為httpacl R 1(config-ipv 6 -acl)#permit tcp host 2001: bbbb: : 2 host 2001: cccc: : 2 eq www 允許PC 3使用http連接到Server R 1(config-ipv 6 -acl)#deny tcp any host 2001: cccc: : 2 eq www 阻擋任何電腦使用 http連接到 Server R 1(config-ipv 6 -acl)#permit ipv 6 any 無條件允許IPv 6封包通過 R 1(config-ipv 6 -acl)#int fa 0/1 R 1(config-if)#ipv 6 traffic-filter httpacl in 在fa 0/1介面in方向啟動httpacl ACL 蕭志明老師 CCNA教學

練習在VTY過濾IPV 6 � 只允許PC 2使用telnet連線到R 1，此需求啟動需要在vty介面中，所以來源為PC 2就好，目的為任何，此需求的 IPv 6 ACL的指令為 permit ipv 6 host 2001: BBBB: : 3 any，因此要符合這個需求的IPv 6 ACL如下表指令指令 R 1(config)#ipv 6 access-list vtyacl R 1(config-ipv 6 -acl)#permit ipv 6 host 2001: BBBB: : 3 any R 1(config-ipv 6 -acl)#deny ipv 6 any R 1(config-ipv 6 -acl)#permit ipv 6 any R 1(config-ipv 6 -acl)#line vty 0 4 R 1(config-line)#ipv 6 access-class vtyacl in R 1(config)#line vty 0 4 R 1(config-line)#password ccna R 1(config-line)#login 說明使用命名方式，名稱為vtyacl 允許PC 2連接到任何地方全部阻擋無條件允許IPv 6封包通過在vty介面in方向啟動 vtyacl ACL 啟動VTY密碼蕭志明老師 CCNA教學