網(wǎng)絡互聯(lián)及應用第6章 訪問控制列表

1、網(wǎng)絡互聯(lián)及應用第第6 6章章 訪問控制列表訪問控制列表訪問控制列表2022-2-14網(wǎng)絡互聯(lián)及應用2項目描述項目背景三方培訓學校的校園內(nèi)網(wǎng)，由主校區(qū)、分校區(qū)及生活區(qū)三大塊組成，三個區(qū)域均通過Cisco Catalyst2621型路由器進行連接，并通過主校區(qū)的路由器連接到外網(wǎng)。分校區(qū)通過Cisco Catalyst2950交換機連接汽車培訓部的若干臺主機，生活區(qū)通過Cisco Catalyst2950交換機連接學生宿舍的若干臺主機，網(wǎng)絡拓撲結(jié)構(gòu)如圖1所示。2022-2-14網(wǎng)絡互聯(lián)及應用3網(wǎng)絡拓撲圖2022-2-14網(wǎng)絡互聯(lián)及應用4圖1 三方培訓學校校園內(nèi)網(wǎng)路由拓撲圖項目構(gòu)成單元訪問控制列表基礎

2、 標準訪問控制列表擴展訪問控制列表 2022-2-14網(wǎng)絡互聯(lián)及應用5訪問控制列表2022-2-14網(wǎng)絡互聯(lián)及應用6訪問控制列表基礎 單元目標及任務單元目標及任務了解訪問控制列表的作用；了解訪問控制列表的原理；了解訪問控制列表的應用；了解訪問控制列表的分類；理解應用訪問控制列表的注意事項；掌握訪問控制列表的通配符掩碼；掌握不同類型的訪問控制列表號；掌握訪問控制列表命令的基本格式。2022-2-14網(wǎng)絡互聯(lián)及應用7訪問控制列表的作用ACL就是用來在使用路由技術的網(wǎng)絡里，識別和過濾那些由某些網(wǎng)絡發(fā)出的或者被發(fā)送去某些網(wǎng)絡的數(shù)據(jù)流量，以決定這些數(shù)據(jù)流量是應該轉(zhuǎn)發(fā)還是丟棄的技術。隨著網(wǎng)絡的不斷擴大，越

3、來越多不用種類的網(wǎng)絡被連接起來。網(wǎng)絡管理人員所面對的一個任務越來越顯得緊迫和棘手，這就是在允許正當訪問的同時，如何拒絕那些不受歡迎的訪問，因為它們大多對網(wǎng)絡的重要設備和數(shù)據(jù)具有危險性。在能夠選擇的管理網(wǎng)絡數(shù)據(jù)流量的方法中，最簡單方便且易于理解和使用的，就是ACL。ACL對網(wǎng)絡的安全和性能都起著重要的作用，在網(wǎng)絡安全方面，ACL通過對數(shù)據(jù)包的過濾，可以將特定的信息隔離在網(wǎng)絡外部，保護內(nèi)部網(wǎng)絡中設備和數(shù)據(jù)的安全，同時又不影響正常的網(wǎng)絡服務。同時，ACL還可以實現(xiàn)訪問限制，起到限制網(wǎng)絡流量、提高網(wǎng)絡性能的作用。正是由于具備這樣的特征，ACL成為實現(xiàn)防火墻的重要手段。2022-2-14網(wǎng)絡互聯(lián)及應用8

4、訪問控制列表的原理ACL實際上是一系列的判斷語句，這些語句是一種自上而下的邏輯排列關系。當把一個ACL放置在接口上時，被過濾的數(shù)據(jù)包會一個個地和這些語句的條件進行順序的比較，以找出符合條件的數(shù)據(jù)包。當數(shù)據(jù)包不能符合一條語句的條件時，它將與下一條語句的條件比較，直到它符合某一條語句的條件為止。如果一個數(shù)據(jù)包與所有語句的條件都不能匹配，在ACL的最后有一條隱含的語句，它將會強制性地把這個數(shù)據(jù)包丟棄，如圖2所示。2022-2-14網(wǎng)絡互聯(lián)及應用92022-2-14網(wǎng)絡互聯(lián)及應用10圖2 ACL的操作過程訪問控制列表的應用由于ACL是用來過濾數(shù)據(jù)流量的技術，所以它一定是被放置在路由器的接口上使用的。由

5、于在接口上數(shù)據(jù)流量有進接口（in）和出接口（out）兩個方向，所以在接口上使用ACL也有進（in）和出（out）兩個方向。進方向的ACL負責過濾進入接口的數(shù)量流量，出方向的ACL負責過濾從接口發(fā)出的數(shù)據(jù)流量。對于路由器的接口來說，在同一個接口上，每種被路由協(xié)議的ACL（如IP協(xié)議的訪問控制列表、IPX協(xié)議的訪問控制列表等）都可以配置兩個，一個是進方向的（in），一個是出方向的（out）。ACL只能過濾經(jīng)過路由器的數(shù)據(jù)包，對于路由器自己本身所產(chǎn)生的數(shù)據(jù)包，應用在接口上的ACL是不能過濾的。除了在串行接口、以太網(wǎng)接口等物理接口上應用ACL以實現(xiàn)控制數(shù)據(jù)流量的功能以外，ACL還具有很多其它的應用方式

6、，比如在虛擬終端線路接口（vty）上應用ACL，以實現(xiàn)允許網(wǎng)管員通過vty 接口遠程登錄（telnet）路由器的同時，阻止沒有權(quán)限的用戶遠程登錄路由器的功能。另外，ACL還可以應用在隊列技術、按需撥號、NAT、基于策略的路由等多種技術中。2022-2-14網(wǎng)絡互聯(lián)及應用11訪問控制列表的分類2022-2-14網(wǎng)絡互聯(lián)及應用12應用訪問控制列表的注意事項 ACL的列表號指明了所使用的協(xié)議類型。的列表號指明了所使用的協(xié)議類型。 ACL的配置是基于協(xié)議、接口和方向的。的配置是基于協(xié)議、接口和方向的。 ACL的語句順序決定了對數(shù)據(jù)包的控制順序。的語句順序決定了對數(shù)據(jù)包的控制順序。 最有限制性的語句應放

7、在最有限制性的語句應放在ACL語句的首行。語句的首行。 先建立先建立ACL，再應用到接口。，再應用到接口。 ACL的語句不能逐條刪除，只能一次性刪除整個的語句不能逐條刪除，只能一次性刪除整個ACL。 ACL的隱含語句。的隱含語句。 ACL只能過濾穿過路由器的數(shù)據(jù)流量，不能過濾由路只能過濾穿過路由器的數(shù)據(jù)流量，不能過濾由路由器本身發(fā)出的數(shù)據(jù)包。由器本身發(fā)出的數(shù)據(jù)包。2022-2-14網(wǎng)絡互聯(lián)及應用13訪問控制列表的通配符掩碼 (1) 通配符掩碼的概念在ACL中用來判斷IP地址的網(wǎng)絡位的掩碼是通配符掩碼（wildcard）。(2) 通配符掩碼的作用通配符掩碼是一個32位的數(shù)字字符串，它被用點號分成

8、4個8位組，每個8位組包含8位。在通配符掩碼中，0表示“檢查相應的位”，而1表示“不檢查(忽略)相應的位”。通配符掩碼與IP地址成對出現(xiàn)。在通配符掩碼的地址位使用1或0表明如何處理相應的IP地址位。ACL使用通配符掩碼來標識一個或幾個地址是被允許，還是被拒絕。2022-2-14網(wǎng)絡互聯(lián)及應用14(3) ACL通配符掩碼與IP子網(wǎng)掩碼的區(qū)別盡管都是32 位的數(shù)字字符串，ACL通配符掩碼跟IP子網(wǎng)掩碼的工作原理是不同的。在IP子網(wǎng)掩碼中數(shù)字1和0用來決定是網(wǎng)絡、子網(wǎng)還是相應的主機IP地址。正如剛才所講的，在ACL 通配符掩碼中，掩碼位的數(shù)字1和0用來決定相應的IP地址是被忽略，還是被檢查。ACL通

9、配符掩碼和IP子網(wǎng)掩碼正好相反，所以習慣上將通配符掩碼稱為“反碼”。(4) 兩種常見的通配符掩碼通配符any。在ACL中，通常把 55 簡寫為any。通配符host。在ACL中，通常把類似 的通配符掩碼簡寫為host 。2022-2-14網(wǎng)絡互聯(lián)及應用15不同類型訪問控制列表的列表號 表1列出了部分協(xié)議的ACL列表號。表 1 ACL類型及其對應的列表號2022-2-14網(wǎng)絡互聯(lián)及應用16ACL類型列表號IP標準的199擴展的10099，13001999，20002699命名的名字（IOS1

10、1.2版本以后可用）AppleTalk600699IPX標準的800899擴展的900999SAP過濾10001099命名的名字（IOS11.2版本以后可用）訪問控制列表命令的基本格式 l使用ACL時，必須先在全局模式下建立ACL。l建立ACL的命令基本格式如下：Router(config)# access-list access-list-number permit | deny test-conditions其中access-list-number 是指ACL列表號，起到區(qū)別不同類型ACL的作用。permit(允許)和deny（拒絕）可選項，兩者選一。test-conditions是用來與

11、數(shù)據(jù)包信息做比較的條件。建立完ACL之后，要在接口上應用它，命令如下：Router(config-if)# protocol access-group access-list-number其中protocol是指協(xié)議類型。刪除被建立的訪問控制列表的命令如下：Router(config)# no access-list access-list-numberlACL的語句不能逐條刪除，只能一次性刪除整個ACL（把列表號刪除）。2022-2-14網(wǎng)絡互聯(lián)及應用17訪問控制列表2022-2-14網(wǎng)絡互聯(lián)及應用18標準訪問控制列表 單元目標及任務單元目標及任務了解標準訪問控制列表的工作過程；掌握標準訪問

12、控制列表的配置命令格式；在三方培訓學校校園網(wǎng)中進行標準訪問控制列表的配置實訓。2022-2-14網(wǎng)絡互聯(lián)及應用19標準訪問控制列表的工作過程Standard ACL檢查可以被路由的IP分組的源地址，并且把它與Standard ACL中的條件判斷語句相比較，決定其是被允許，還是被拒絕。Standard ACL可以基于網(wǎng)絡、子網(wǎng)及主機IP地址允許或拒絕整個協(xié)議組(如IP)。例如，從路由器接口進來的分組經(jīng)過檢查其源地址和協(xié)議類型，并且與Standard ACL條件判斷語句相比較，如果匹配則執(zhí)行允許或拒絕。如果該分組被允許通過，就從路由器的出口轉(zhuǎn)發(fā)出去；如果該分組沒有被允許，就簡單地丟棄它。其工作過程

13、如圖3所示。2022-2-14網(wǎng)絡互聯(lián)及應用202022-2-14網(wǎng)絡互聯(lián)及應用21圖3 Standard ACL的工作過程標準訪問控制列表的配置命令配置Standard ACL的方法如下：在全局模式下建立Standard ACL：Router(config)# access-list access-list-number permit | deny source source-wildcard其中access-list-number是指Standard ACL的列表號，范圍為1-99。source表示源IP地址，source-wildcard是該地址的通配符掩碼。當一系列的建立Standar

14、d ACL的命令語句都使用同一個列表號時，這些語句就組成了一個Standard ACL，其與數(shù)據(jù)包信息相比較的順序就是命令語句鍵入的順序。在接口模式上應用Standard ACL的命令如下：Router(config-if)# ip access-group access-list-number in | out其中in | out是在路由器接口上應用Standard ACL的方向，默認是out（出方向）。2022-2-14網(wǎng)絡互聯(lián)及應用22標準訪問控制列表的配置實訓l步驟1：在分校區(qū)Branch_Router路由器上建立動態(tài)路由Branch_Router (config)# router r

15、ipBranch_Router (config-router)# network Branch_Router (config-router)# network l步驟2：在主校區(qū)Teaching_Router路由器上建立動態(tài)路由Teaching_Router (config)# router ripTeaching_Router (config-router)# network Teaching_Router (config-router)# network Teaching_Router (c

16、onfig-router)# network 2022-2-14網(wǎng)絡互聯(lián)及應用23l步驟3：在生活區(qū)Living_Router路由器建立動態(tài)路由Living_Router (config)# router ripLiving_Router (config-router)# network Living_Router (config-router)# network l步驟4：在分校區(qū)路由器Branch_Router上創(chuàng)建Standard ACL，禁止學生宿舍的主機訪問汽車培訓部的主機。 Branch_Router (

17、config) # access-list 99 deny 55Branch_Router (config) # access-list 99 permit anyBranch_Router (config) # interface fastethernet 0/1 Branch_Router (config-if) # ip access-group 99 out2022-2-14網(wǎng)絡互聯(lián)及應用24訪問控制列表2022-2-14網(wǎng)絡互聯(lián)及應用25擴展訪問控制列表 單元目標及任務單元目標及任務了解擴展訪問控制列表的工作過程；掌握擴展訪問控制列表的配置命令格

18、式；在三方培訓學校校園網(wǎng)中進行擴展訪問控制列表的配置實訓。2022-2-14網(wǎng)絡互聯(lián)及應用26擴展訪問控制列表的工作過程Extended ACL比Standard ACL使用得更廣泛，因為它提供了更大的彈性和控制范圍。Extended ACL既可檢查分組的源地址和目的地址，也可檢查協(xié)議類型和TCP或UDP的端口號。Extended ACL可以基于分組的源地址、目的地址、協(xié)議類型、端口地址和應用來決定訪問是允許還是拒絕。Standard ACL只能禁止或拒絕整個協(xié)議集，而Extended ACL可以允許或拒絕協(xié)議集中的某些協(xié)議。例如，允許HTTP而拒絕FTP。路由器根據(jù)Extended ACL來

19、檢查分組的工作過程如圖4所示。2022-2-14網(wǎng)絡互聯(lián)及應用272022-2-14網(wǎng)絡互聯(lián)及應用28圖4 路由器根據(jù)Extended ACL來檢查分組的工作過程擴展訪問控制列表的配置命令l配置Extended ACL的方法如下：l在全局模式下建立Extended ACL：Router(config)# access-list access-list-number permit | deny protocol source source wildcard operator port destination destination- wildcard operator port establis

20、hed log其中access-list-number是指Extended ACL的列表號，范圍為100-199，13001999，20002699；source source-wildcard表示源IP地址和源地址的IP地址的通配符掩碼；destination destination-wildcard 表示目的IP地址和目的IP地址的通配符掩碼；operator port表示端口號；“ ”中的是可選項。established可選項比較特殊，在訪問控制列表語句中鍵入該可選項，可以在拒絕數(shù)據(jù)包通過的方向上，讓已經(jīng)建立起會話連接的TCP數(shù)據(jù)流通過（如TCP的ACK確認包），從而達到單向訪問的目的。

21、在防火墻上經(jīng)常使用帶有established可選項的Extended ACL語句，以達到在防止外部攻擊的同時企業(yè)內(nèi)部的用戶可以正常地與Internet連接的目的。l從該命令可以看出，Extended ACL比Standard ACL具有更強的靈活性。2022-2-14網(wǎng)絡互聯(lián)及應用29l在接口模式上應用Extended ACL的命令如下：Router(config-line)#access-class access-list-number in | out其中in | out是在路由器接口上應用Extended ACL的方向，默認是out（出方向）。l其實在接口上應用訪問控制列表的命令格式，E

22、xtended ACL和Standard ACL是一樣的，只不過所使用的列表號不同而已。2022-2-14網(wǎng)絡互聯(lián)及應用30擴展訪問控制列表的配置實訓l步驟1：建立各路由器的動態(tài)路由（略，請參考Standard ACL中的配置）l步驟2：在生活區(qū)路由器Living_Router上創(chuàng)建Extended ACL，禁止學生宿舍的主機PC4訪問汽車培訓部的主機PC1，而其它主機之間則能正常通信。Living_Router (config-router)# exitLiving _Router (config) # access-list 199 deny ip host host Living _Router (config) # access-list 199 permit any anyLiving _Router (config) # interface fastethernet 0/0 Living _Router (config-if) # ip acc