第二章訪問(wèn)控制列表ACL

1、使用訪問(wèn)控制列表使用訪問(wèn)控制列表(ACL)(ACL)管理管理IPIP流量流量模塊模塊 6 目標(biāo)目標(biāo)本模塊完成后本模塊完成后,你能你能: 對(duì)于一個(gè)給定的路由器對(duì)于一個(gè)給定的路由器,你能使用你能使用IOS命令配置標(biāo)命令配置標(biāo)準(zhǔn)訪問(wèn)列表和擴(kuò)展訪問(wèn)列表準(zhǔn)訪問(wèn)列表和擴(kuò)展訪問(wèn)列表,并能熟練的應(yīng)用并能熟練的應(yīng)用NAT/PAT(網(wǎng)絡(luò)地址轉(zhuǎn)換網(wǎng)絡(luò)地址轉(zhuǎn)換/端口地址轉(zhuǎn)換端口地址轉(zhuǎn)換)來(lái)訪問(wèn)外來(lái)訪問(wèn)外部網(wǎng)絡(luò)部網(wǎng)絡(luò). 使用使用show命令顯示訪問(wèn)控制列表的內(nèi)容命令顯示訪問(wèn)控制列表的內(nèi)容;并通過(guò)并通過(guò)觀察記數(shù)器的數(shù)值來(lái)確定訪問(wèn)列表?xiàng)l目是否生效觀察記數(shù)器的數(shù)值來(lái)確定訪問(wèn)列表?xiàng)l目是否生效,從而明白你是否做的正確從而明白你是

2、否做的正確 2002, Cisco Systems, Inc. All rights reserved.3Access Lists(訪問(wèn)列表訪問(wèn)列表) 和它們和它們的應(yīng)用的應(yīng)用 目標(biāo)目標(biāo)完成本章后完成本章后,你能你能: 解釋訪問(wèn)列表的目的并知曉他們常用的應(yīng)用解釋訪問(wèn)列表的目的并知曉他們常用的應(yīng)用. 描述描述CISCO IOS軟件系統(tǒng)是如何在接口的軟件系統(tǒng)是如何在接口的”in”或或”out”方向上處理標(biāo)準(zhǔn)和擴(kuò)展訪問(wèn)列表的方向上處理標(biāo)準(zhǔn)和擴(kuò)展訪問(wèn)列表的. 當(dāng)網(wǎng)絡(luò)快速增長(zhǎng)時(shí)當(dāng)網(wǎng)絡(luò)快速增長(zhǎng)時(shí),ACL能夠更好地為企業(yè)控制流量的入能夠更好地為企業(yè)控制流量的入出出. 為穿越路由器或交換機(jī)的流量實(shí)施過(guò)濾為穿越

3、路由器或交換機(jī)的流量實(shí)施過(guò)濾.為什么使用訪問(wèn)控制列表為什么使用訪問(wèn)控制列表(ACL)? 應(yīng)用到路由器接口上控制數(shù)據(jù)流的通過(guò)應(yīng)用到路由器接口上控制數(shù)據(jù)流的通過(guò):Permit(允許允許)或或deny(拒絕拒絕)分組穿越路由器分組穿越路由器.允許或拒絕到路由器的允許或拒絕到路由器的vty(虛擬終端虛擬終端)訪問(wèn)訪問(wèn).如果沒(méi)有訪問(wèn)控制列表如果沒(méi)有訪問(wèn)控制列表,所有的數(shù)據(jù)流都能穿越路由器的接口隨所有的數(shù)據(jù)流都能穿越路由器的接口隨意訪問(wèn)意訪問(wèn).訪問(wèn)列表（訪問(wèn)列表（ACL）的應(yīng)用）的應(yīng)用 依照企業(yè)策略對(duì)各種不同類型的分組在不同情況下實(shí)行專門的依照企業(yè)策略對(duì)各種不同類型的分組在不同情況下實(shí)行專門的控制?？刂啤?/p>

4、訪問(wèn)列表的其他應(yīng)用訪問(wèn)列表的其他應(yīng)用 標(biāo)準(zhǔn)訪問(wèn)列表（標(biāo)準(zhǔn)訪問(wèn)列表（standard access lists) 只檢查分組的源地址信息只檢查分組的源地址信息 允許或拒絕的是整個(gè)協(xié)議棧允許或拒絕的是整個(gè)協(xié)議棧 擴(kuò)展訪問(wèn)列表（擴(kuò)展訪問(wèn)列表（extended access lists) 可以同時(shí)檢查源和目的地址信息可以同時(shí)檢查源和目的地址信息 可針對(duì)于三層或四層協(xié)議信息進(jìn)行控制，是目前使用可針對(duì)于三層或四層協(xié)議信息進(jìn)行控制，是目前使用非常廣泛的安全控制方法。非常廣泛的安全控制方法。訪問(wèn)控制列表的類型訪問(wèn)控制列表的類型 如何識(shí)別標(biāo)準(zhǔn)和擴(kuò)展訪問(wèn)列表如何識(shí)別標(biāo)準(zhǔn)和擴(kuò)展訪問(wèn)列表 標(biāo)準(zhǔn)標(biāo)準(zhǔn)IPIP訪問(wèn)列表訪問(wèn)

5、列表 (1-99)(1-99)：只使用源地址信息來(lái)做過(guò)濾決定：只使用源地址信息來(lái)做過(guò)濾決定. . 擴(kuò)展擴(kuò)展IPIP訪問(wèn)列表訪問(wèn)列表(100-199)(100-199)： 可以根據(jù)源和目的可以根據(jù)源和目的IPIP地址、協(xié)議類型、源和地址、協(xié)議類型、源和目的端口等信息綜合作出過(guò)濾決定目的端口等信息綜合作出過(guò)濾決定. . 延伸的標(biāo)準(zhǔn)延伸的標(biāo)準(zhǔn)IPIP訪問(wèn)列表編號(hào)：訪問(wèn)列表編號(hào)：1300-1999.1300-1999. 延伸的擴(kuò)展延伸的擴(kuò)展IPIP訪問(wèn)列表編號(hào)：訪問(wèn)列表編號(hào)：2000-2699.2000-2699. 其他的訪問(wèn)列表號(hào)碼用來(lái)進(jìn)行其他二層或三層網(wǎng)絡(luò)協(xié)議的過(guò)濾。其他的訪問(wèn)列表號(hào)碼用來(lái)進(jìn)行其他

6、二層或三層網(wǎng)絡(luò)協(xié)議的過(guò)濾。 命名的命名的IPIP訪問(wèn)控制列表：以列表名代替列表編號(hào)來(lái)定義訪問(wèn)控制列表：以列表名代替列表編號(hào)來(lái)定義IPIP訪問(wèn)控制列表，訪問(wèn)控制列表，同樣包括標(biāo)準(zhǔn)和擴(kuò)展兩種列表，定義過(guò)濾的語(yǔ)句與編號(hào)方式相似。同樣包括標(biāo)準(zhǔn)和擴(kuò)展兩種列表，定義過(guò)濾的語(yǔ)句與編號(hào)方式相似。 使用標(biāo)準(zhǔn)訪問(wèn)列表對(duì)分組實(shí)施過(guò)使用標(biāo)準(zhǔn)訪問(wèn)列表對(duì)分組實(shí)施過(guò)濾濾 使用擴(kuò)展訪問(wèn)控制列表對(duì)分組實(shí)使用擴(kuò)展訪問(wèn)控制列表對(duì)分組實(shí)施過(guò)濾施過(guò)濾 出站出站ACL是如何工作的？是如何工作的？ 如果沒(méi)有任何如果沒(méi)有任何ACL條目相匹配，則缺省丟棄此分組。條目相匹配，則缺省丟棄此分組。 ACL的過(guò)濾流程的過(guò)濾流程: 拒絕或允許拒絕或允許

7、 0 表示檢查相應(yīng)的位表示檢查相應(yīng)的位. 1 表示不檢查（忽略）相應(yīng)的位表示不檢查（忽略）相應(yīng)的位.通配符掩碼位通配符掩碼位: 如何檢查相應(yīng)的地如何檢查相應(yīng)的地址位址位 例如例如, 172.30.16.29 0.0.0.0 檢查所有的地址位檢查所有的地址位. 在訪問(wèn)控制列表中可以簡(jiǎn)寫為在訪問(wèn)控制列表中可以簡(jiǎn)寫為host 172.30.16.29. 檢查所有的地址位檢查所有的地址位(匹配所有匹配所有). 檢查一個(gè)檢查一個(gè)IP主機(jī)地址主機(jī)地址, 例如例如:通配符掩碼匹配特定的主機(jī)地址通配符掩碼匹配特定的主機(jī)地址 接受任何地址接受任何地址: 0.0.0.0 255.255.255.255可以縮寫為：

8、可以縮寫為：any. 測(cè)試條件測(cè)試條件: 忽略所有的地址位忽略所有的地址位(匹配所有匹配所有). An IP host address, for example:通配符掩碼匹配任何通配符掩碼匹配任何IP地址地址 如果你想實(shí)施路由通告過(guò)濾如果你想實(shí)施路由通告過(guò)濾,可以使用可以使用ACL結(jié)合路由通告命令結(jié)合路由通告命令 對(duì)需要通過(guò)的子網(wǎng)路由進(jìn)行過(guò)濾對(duì)需要通過(guò)的子網(wǎng)路由進(jìn)行過(guò)濾.比如你想讓下列路由信息通過(guò)比如你想讓下列路由信息通過(guò): 172.30.16.0/24 to 172.30.31.0/24.地址地址 和和 通配符掩碼通配符掩碼: 172.30.16.0 0.0.15.255使用通配符掩碼匹配

9、使用通配符掩碼匹配IP子網(wǎng)子網(wǎng) 總結(jié)總結(jié) 訪問(wèn)列表是實(shí)施各種網(wǎng)絡(luò)控制的強(qiáng)大的工具；不訪問(wèn)列表是實(shí)施各種網(wǎng)絡(luò)控制的強(qiáng)大的工具；不僅對(duì)數(shù)據(jù)包通過(guò)路由器接口實(shí)施安全控制，而且僅對(duì)數(shù)據(jù)包通過(guò)路由器接口實(shí)施安全控制，而且可以起到控制路由信息的發(fā)布和節(jié)省帶寬的作用?？梢云鸬娇刂坡酚尚畔⒌陌l(fā)布和節(jié)省帶寬的作用。 一個(gè)一個(gè)ACL是一組允許或拒絕的判斷語(yǔ)句的集合；是一組允許或拒絕的判斷語(yǔ)句的集合；它可以根據(jù)數(shù)據(jù)報(bào)的三層或四層協(xié)議信息進(jìn)行流它可以根據(jù)數(shù)據(jù)報(bào)的三層或四層協(xié)議信息進(jìn)行流量的過(guò)濾。量的過(guò)濾。ACL可以對(duì)通過(guò)路由器或到達(dá)路由器可以對(duì)通過(guò)路由器或到達(dá)路由器的流量進(jìn)行過(guò)濾，但對(duì)路由器自身產(chǎn)生的流量不的流量進(jìn)行

10、過(guò)濾，但對(duì)路由器自身產(chǎn)生的流量不能起到過(guò)濾作用。能起到過(guò)濾作用。 ACL作為一種安全控制的可選手段，網(wǎng)絡(luò)管理員作為一種安全控制的可選手段，網(wǎng)絡(luò)管理員可以根據(jù)企業(yè)的實(shí)際需要做流量的允許或拒絕操可以根據(jù)企業(yè)的實(shí)際需要做流量的允許或拒絕操作。作。 總結(jié)總結(jié)(繼續(xù)繼續(xù)) Inbound(入站入站)訪問(wèn)列表是先對(duì)數(shù)據(jù)報(bào)實(shí)施允許還是拒絕訪問(wèn)列表是先對(duì)數(shù)據(jù)報(bào)實(shí)施允許還是拒絕的操作的操作,如果允許的話再路由到路由器的相應(yīng)出口如果允許的話再路由到路由器的相應(yīng)出口. 而而outbound(出站出站)訪問(wèn)列表是先路由數(shù)據(jù)包訪問(wèn)列表是先路由數(shù)據(jù)包,再根據(jù)出口的再根據(jù)出口的訪問(wèn)規(guī)則實(shí)行數(shù)據(jù)包的允許還是拒絕的操作訪問(wèn)規(guī)則實(shí)行數(shù)據(jù)包的允許還是拒絕的操作. Cisco IOS 對(duì)對(duì)ACL是按照從上至下順序執(zhí)行的是按照從上至下順序執(zhí)行的,因此因此,推薦推薦你把最嚴(yán)格和最常用的條目放在上面你把最嚴(yán)格和最常