訪問控制列表ACL

1、ACL作用：ACL （Access Control List,訪問控制列表），是一系列運(yùn)用到路由器接口的指令列表，路由根 據(jù)ACL中指定的條件對經(jīng)過路由器接口的數(shù)據(jù)包進(jìn)行檢查。針對IP協(xié)議在路由的每個端口 可以創(chuàng)建兩個ACL： 一個用于過濾進(jìn)入端口的數(shù)據(jù)，另外一個用于過濾流出端口的數(shù)據(jù)。ACL的作用大致分為下面這幾點(diǎn)： 限制網(wǎng)絡(luò)流量，提高網(wǎng)絡(luò)性能。 提供數(shù)據(jù)流控制。為網(wǎng)絡(luò)訪問提供基本的安全層。決定轉(zhuǎn)發(fā)或阻止哪些類型的數(shù)據(jù)流。工作流程：a）當(dāng)路由器的進(jìn)入方向的接口收到一個分組的時候，首先檢查它是否是可路由的，如果不 可路由（比如并非是發(fā)往本路由的分組），則直接丟棄。b）如果可路由，接下來判斷進(jìn)入

2、方向的接口是否配置了 ACL，如果沒有配置進(jìn)入方向的ACL， 則直接查詢路由表，然后根據(jù)路由表中找到的端口準(zhǔn)備往外轉(zhuǎn)發(fā)；如果配置了進(jìn)入方向 的ACL則檢查指令組是否允許該分組通過，不允許則丟棄，允許則查詢路由表，選擇外 出接口準(zhǔn)備往外轉(zhuǎn)發(fā)，從這里可以看出入站的ACL檢查是在查詢路由表之前執(zhí)行的。c）外出接口選擇好之后，再檢查外出接口上有沒有配置ACL，如果配置了 ACL則檢查ACL 指令組是否允許，沒有配置ACL則直接轉(zhuǎn)發(fā)。ACL指令組是逐條執(zhí)行的，在逐條執(zhí)行的過程中，只要發(fā)現(xiàn)有一條匹配，則使用那一條規(guī) 定動作確定允許或拒絕（比如執(zhí)行第一條的時候就匹配了，那么就使用第一條規(guī)定的動作允 許或拒絕

3、，后面的語句就不會被執(zhí)行了），如果所有指令都不匹配，默認(rèn)的動作是拒絕。通配符掩碼路由器使用通配符掩碼（Wildcard Masking）與源或目標(biāo)地址一起來分辨匹配的地址范圍，在訪 問控制列表中，將通配符掩碼中的位設(shè)置成1表示忽略IP地址中對應(yīng)的位，設(shè)置成0表示 必須精確匹配IP地址中對應(yīng)的位，如： 55這個例子中，通配符掩碼是55,前面24位是0，最后8位是1，也就是前面24位必 須精確匹配，最后8位是什么都沒關(guān)系。將這個通配符和前面的IP地址結(jié)合起 來意思就是,匹配從到55的所有IP地址。又如： 55這個例子中，通配符掩碼的第三個數(shù)是7, IP地址的第三位是16,對他們進(jìn)行分解轉(zhuǎn)化成二 進(jìn)

4、制；7 = 00000 11116 = 00010 000前面說過，通配符掩碼中0的部分必須精確匹配，1的部分什么都可以，也就是說16的二 進(jìn)制表示法前面的5位（00010）必須精確匹配，最后3位的取值范圍可以是（000-111），那 么就是；00010 000-00010 111,轉(zhuǎn)化成十進(jìn)制就是16-23。所以這條規(guī)則匹配的IP地址范圍是-55”。 54匹配中所有偶數(shù)IP地址。 54匹配中所有奇數(shù)IP地址。上面這些例子說明了怎么通過規(guī)則中的通配符掩碼確定匹配的IP地址范圍，如果一個數(shù)據(jù) 包中包含了源IP地址到達(dá)路由器，假設(shè)路由器上的訪問控制列表語句中包含 55，路由器按照下面的步驟匹配這個

5、IP地址：使用訪問控制列表中的地址對 55執(zhí)行邏輯或操作(和 55執(zhí)行邏輯或運(yùn)算)，得到結(jié)果55。用地址對中的通配符掩碼(55)和數(shù)據(jù)包頭中的IP()執(zhí)行邏輯或操 作，結(jié)果為 55。將得到的兩個結(jié)果相減，如果結(jié)果是0則匹配，如果結(jié)果非0,則說明不匹配。對接下來 的ACL條目都重復(fù)以上三步相同的操作。在IP訪問控制列表地址掩碼對中，有兩個關(guān)鍵詞可以用來省略一些輸出：any:它可以用來代替地址掩碼對 55，該地址掩碼對匹配任何IP地 址。host：它可以用來代替通配符掩碼”，該通配符掩碼只能匹配一個IP地址。比如host 等同于地址對 。在標(biāo)準(zhǔn)的訪問控制列表中，如果僅匹配一個 IP地址，可以省略關(guān)

6、鍵字host，也就是說在標(biāo)準(zhǔn)訪問控制列表?xiàng)l目中，沒有通配符掩碼，說 明掩碼是；而在擴(kuò)展的訪問控制列表中不能省略host關(guān)鍵字。標(biāo)準(zhǔn)ACL兩中編寫方法：Router(config)#access-list ACL 的編號 deny|permint source source-wildcard|any其中大括號里面的類容表示必選，中括號里面的類容表示可選，ACL的編號:標(biāo)準(zhǔn)ACL的編號范圍是1-99之間的整數(shù)，擴(kuò)展ACL的編號是100-199之間的整數(shù)。source source-wildcard|any:指定了一個IP地址范圍，使用地址對的形式，比如, 55,host 或者any。Router(

7、config)#ip access-list standard ACL 的編號 |ACL 名稱Router(config-std-nacl)# Sequence Number deny|permint source source-wildcard|any在接口應(yīng)用：Router(config-if)#ip access-group ACL 的編號 |ACL 名稱 in|out示例試驗(yàn)：Router0:interface Loopback0ip address interface FastEthernet0/0ip address duplex autospeed autorouter ospf

8、 100log-adjacency-changesnetwork 55 area 1network 55 area 1routerl:interface FastEthernet0/0ip address duplex autospeed auto!interface FastEthernet0/1ip address duplex autospeed autorouter ospf 100log-adjacency-changesnetwork 55 area 1network 55 area 1 在f0/1接口增加訪問控制列表： access-list 1 deny host access

9、-list 1 permit anyinterface FastEthernet0/1ip address ip access-group 1 out duplex auto speed autorouter2:interface Loopback0 ip address !interface FastEthernet0/0ip address duplex auto speed auto !router ospf 100log-adjacency-changesnetwork 55 area 1network 55 area 1效果：router0 無法 ping標(biāo)準(zhǔn)ACL放置位置：標(biāo)準(zhǔn)的A

10、CL只能對源地址進(jìn)行控制ACL僅對穿越流量起作用，對本路由器起源的流量不起作用。標(biāo)準(zhǔn)訪問控制列表要盡可能的應(yīng)用在靠近目標(biāo)端，因?yàn)闃?biāo)準(zhǔn)ACL只針對源地址進(jìn)行過濾。拓展ACL：拓展ACL也有如下兩種寫法：Router(config)# access-list access-list-number deny|permit protocol source source-wildcard operator operand port port-name or name destination destination-wildcard operator operand port port-name or n

11、ameaccess-list-number是擴(kuò)展 ACL 編號，范圍從 100-199。deny|permit是這條ACL條目執(zhí)行的操作，拒絕|允許|注釋protocol代表協(xié)議，可以用具體的協(xié)議名稱代替，比如TCP、UDP、ICMP、IP等。source source-wildcard,表示源地址以及通配符掩碼。destination destination-wildcard,表 示目的地址以及通配符掩碼。port port-name or name表示端口號或名稱，輸入telnet和23的效果是一樣的。Router(config)#ip access-list extended ACL 的

12、編號 |ACL 名稱Router(config-std-nacl)# Sequence Number deny|permit protocol source source-wildcard operator operand port port-name or name destination destination-wildcard operator operand port port-name or name常見端口號:/tcp FTP控制文件傳輸協(xié)議/tcp SSH安全登錄、文件傳送(SCP)和端口重定向/tcp Telnet不安全的文本傳送25 /tcp SMTP 簡單郵件傳輸協(xié)議(Si

13、mple Mail Transfer Protocol)(E-mail)53 /tcp域名服務(wù)器69 /udp TFTP 日常文件傳輸協(xié)議(Trivial File Transfer Protocol)80 /tcp WWW (HTTP超文本傳送協(xié)議)443 /tcp HTTPS在接口應(yīng)用：Router(config-if)#ip access-group ACL 的編號 |ACL 名稱 in|out試驗(yàn)示例：I92.L68.0-： ip access-list extended ciscoPC-PT PCOSer 海 mPC-PT PCOSer 海 mRouter0:Router0:inte

14、rface FastEthernet0/0ip address duplex autospeed auto!interface FastEthernet0/1ip address ip access-group cisco induplex autospeed autorouter ospf 100log-adjacency-changesnetwork 55 area 1network 55 area 1network 55 area 1deny tcp host host eq www permit ip any any router1:interface FastEthernet0/0

15、ip address duplex auto speed auto !interface FastEthernet0/1 ip address duplex auto speed autorouter ospf 100 log-adjacency-changes network 55 area 1 network 55 area 1router2:interface FastEthernet0/0 ip address duplex auto speed auto !interface FastEthernet0/1 ip address duplex auto speed autoroute

16、r ospf 100 log-adjacency-changes network 55 area 1 network 55 area 1 network 55 area 1結(jié)果：PC0無法訪問SERVER0的HTTP web界面，其余流量一切正常。特殊ACL：基于時間ACL：R2(config)#time-range workingR2(config-time-range)#periodic weekdays 7:00 to 8:00ZZPCRF03BNK-SW01(config-time-range)#absolute start 01:00 1 Jan 2018 end start 01:

17、00 2 Jan 2018ZZPCRF03BNK-SW01(config-time-range)#periodic ?FridayFridayMondayMondaySaturdaySaturdaySundaySundayThursdayThursdayTuesdayTuesdayWednesdayWednesdaydailyEvery dayof theweekweekdaysMonday thru Fridayweekend Saturday and SundayR2(config)#access-list 100 permit tcp host host eq 23 time-range workingMAC ACL 配置定義 MAC ACL：sw1(config)#mac access-list extended cciesw1(config-ext-macl)#deny host 0001.0001.0001 host 0002.0002.000