訪問控制列表

訪問控制列表第七章工作任務(wù)1S0/0BS0/0R1R2F0/0F0/0PC1Server1/24/24/24要求:PC1不能訪問Server1，但PC2可以訪問。PC2工作任務(wù)2S0/0BS0/0R1R2F0/0F0/0PC1Server1/24/24/24要求:PC1、PC2都可以訪問Server1,但PC2不能訪問Server1的WWW服務(wù)。PC2學(xué)習(xí)目標(biāo)1.訪問控制列表2.配置標(biāo)準(zhǔn)訪問控制列表3.配置擴(kuò)展訪問控制列表4.驗(yàn)證和監(jiān)視ACL5.基于時(shí)間的訪問控制列表6.基于名稱的訪問控制列表訪問控制列表ACL：AccessList

應(yīng)用到路由器接口的指令序列，告訴路由器哪些數(shù)據(jù)包可以接收，哪些數(shù)據(jù)包需要拒絕。Internet

當(dāng)網(wǎng)絡(luò)訪問增長時(shí)，管理IP通信當(dāng)數(shù)據(jù)包通過路由器時(shí)，起到過濾作用

為什么使用ACL？ACL作用1．限制網(wǎng)絡(luò)流量、提高網(wǎng)絡(luò)性能。2．提供對通信流量的控制手段。3．提供網(wǎng)絡(luò)訪問的基本安全手段。4．在路由器接口處，決定哪種類型的通信流量被轉(zhuǎn)發(fā)、哪種類型的通信流量被阻塞。ACL如何工作ACL條件順序CiscoIOS按照各描述語句在ACL中的順序，根據(jù)各描述語句的判斷條件，對數(shù)據(jù)包進(jìn)行檢查。一旦找到了某一匹配條件，就結(jié)束比較過程，不再檢查以后的其他條件判斷語句。

ACL的類型

標(biāo)準(zhǔn)ACL檢查源地址允許或拒絕整個(gè)協(xié)議族OutgoingPacketfa0/0S0/0IncomingPacketAccessListProcessesPermit?Source

擴(kuò)展ACL檢查源和目的地址通常允許或拒絕特定的協(xié)議OutgoingPacketFa0/0s0/0IncomingPacketAccessListProcessesPermit?Sourceand

DestinationProtocolACL的類型用擴(kuò)展ACL檢查數(shù)據(jù)包常見端口號端口號協(xié)議20文件傳輸協(xié)議（FTP）數(shù)據(jù)21文件傳輸協(xié)議（FTP）程序23遠(yuǎn)程登錄（Telnet）25簡單郵件傳輸協(xié)議（SMTP）69普通文件傳送協(xié)議（TFTP）80超文本傳輸協(xié)議(HTTP)53域名服務(wù)系統(tǒng)（DNS）標(biāo)準(zhǔn)ACL配置access-listaccess-list-number{permit|deny}{source[wildcard]}Router(config)#例：Router(config)#access-list1permit55Step1:定義訪問控制列表ACL表號（access-list-number）協(xié)議ACL表號的取值范圍IP（Internet協(xié)議）1-99ExtendedIP(擴(kuò)展Internet協(xié)議)100-199AppleTalk600-699IPX（互聯(lián)網(wǎng)數(shù)據(jù)包交換）800-899ExtendedIPX(擴(kuò)展互聯(lián)網(wǎng)數(shù)據(jù)包交換)900-999IPXserviceAdvertisingProtocol(IPX服務(wù)通告協(xié)議)1000-1099通配符掩碼（wildcardmask）

是一個(gè)32比特位的數(shù)字字符串

0表示“檢查相應(yīng)的位”,1表示“不檢查（忽略）相應(yīng)的位”特殊的通配符掩碼1.Any552.Host9Host9{protocol}access-groupaccess-list-number{in|out}例：Router(config-if)#ipaccess-group1out標(biāo)準(zhǔn)ACL配置Step2:將訪問控制列表應(yīng)用到某一接口上Router(config)#ints0/0Router(config-if)#標(biāo)準(zhǔn)ACL配置ACL不在接口上應(yīng)用，ACL將不起任何作用

ACL最后隱含denyany命令

ACL不能對本路由器產(chǎn)生的數(shù)據(jù)包進(jìn)行控制

標(biāo)準(zhǔn)ACL要盡量靠近目的地址的接口處完成工作任務(wù)1S0/0BS0/0R1R2F0/0F0/0PC1Server1/24/24/24要求:PC1不能訪問Server1，但PC2可以訪問。PC2標(biāo)準(zhǔn)ACL與擴(kuò)展ACL比較標(biāo)準(zhǔn)（Standard）擴(kuò)展（Extended）過濾基于源過濾基于源和目的允許或拒絕整個(gè)協(xié)議族允許或拒絕特定的IP協(xié)議或端口范圍（100-199）范圍（1-99）擴(kuò)展ACL配置參數(shù)參數(shù)描述access-list-number訪問控制列表表號（100-109）permit|deny如果滿足條件，允許或拒絕后面指定特定地址的通信流量protocol用來指定協(xié)議類型，如IP、TCP、UDP、ICMP等sourceanddestination分別用來標(biāo)識源地址和目的地址source-mask通配符掩碼，跟源地址相對應(yīng)destination-mask通配符掩碼，跟目的地址相對應(yīng)operatorlt,gt,eq,neq(小于，大于，等于，不等于)port一個(gè)端口號established如果數(shù)據(jù)包使用一個(gè)已建立連接，便可允許TCP信息通過access-listaccess-list-number

{permit|deny}protocolsourcesource-wildcard[operatorport]

destinationdestination-wildcard[operatorport][established][log]擴(kuò)展ACL配置ACL要在接口上應(yīng)用

ACL最后隱含denyany命令擴(kuò)展ACL要盡量靠近源地址的接口處完成工作任務(wù)2S0/0BS0/0R1R2F0/0F0/0PC1Server1/24/24/24要求:PC1、PC2都可以訪問Server1,但PC2不能訪問Server1的WWW服務(wù)。PC2驗(yàn)證ACLShowaccess-listShowipaccess-listShowipinterfaceShowrun基于時(shí)間的訪問控制列表

基于時(shí)間的訪問控制列表用途：

可能公司會(huì)遇到這樣的情況，要求上班時(shí)間不能上QQ，下班可以上或者平時(shí)不能訪問某網(wǎng)站只有到了周末可以。對于這種情況僅僅通過發(fā)布通知規(guī)定是不能徹底杜絕員工非法使用的問題的，這時(shí)基于時(shí)間的訪問控制列表應(yīng)運(yùn)而生。

基于時(shí)間的訪問控制列表的格式：

基于時(shí)間的訪問控制列表由兩部分組成，第一部分是定義時(shí)間段，第二部分是用擴(kuò)展訪問控制列表定義規(guī)則。這里我們主要講解下定義時(shí)間段，具體格式如下：

time-range

時(shí)間段名稱

absolutestart[小時(shí)：分鐘][日月年][end][小時(shí)：分鐘][日月年]例如：time-rangesofter

absolutestart0:001may2005end12:001june2005路由器連接了二個(gè)網(wǎng)段，分別為/24,/24。在/24網(wǎng)段中有一臺(tái)服務(wù)器提供FTP服務(wù)，IP地址為3。只容許網(wǎng)段的用戶在周末訪問3上的FTP資源，工作時(shí)間不能下載該FTP資源。路由器配置命令：

time-rangesofter

定義時(shí)間段名稱為softer

periodicweekend00:00to23:59

定義具體時(shí)間范圍，為每周周末（6，日）的0點(diǎn)到23點(diǎn)59分。當(dāng)然可以使用periodicweekdays定義工作日或跟星期幾定義具體的周幾。

access-list101denytcpany3eqftptime-rangesofter

設(shè)置ACL，禁止在時(shí)間段softer范圍內(nèi)訪問3的FTP服務(wù)。

access-list101permitipanyany

設(shè)置ACL，容許其他時(shí)間段和其他條件下的正常訪問。

inte1

進(jìn)入E1端口。

ipaccess-group101out

宣告ACL101。

基于時(shí)間的ACL比較適合于時(shí)間段的管理，通過上面的設(shè)置的用戶就只能在周末訪問服務(wù)器提供的FTP資源了，平時(shí)無法訪問?；诿Q的訪問控制列表

不管是標(biāo)準(zhǔn)訪問控制列表還是擴(kuò)展訪問控制列表都有一個(gè)弊端，那就是當(dāng)設(shè)置好ACL的規(guī)則后發(fā)現(xiàn)其中的某條有問題，希望進(jìn)行修改或刪除的話只能將全部ACL信息都刪除。也就是說修改一條或刪除一條都會(huì)影響到整個(gè)ACL列表。用基于名稱的訪問控制列表來解決上述問題。基于名稱的訪問控制列表的格式：

ipaccess-list[standard|extended][ACL名稱]

例如：ipaccess-liststandardsofter就建立了一個(gè)名為softer的標(biāo)準(zhǔn)訪問控制列表。基于名稱的訪問控制列表的使用方法：當(dāng)我們建立了一個(gè)基于名稱的訪問列表后就可以進(jìn)入到這個(gè)ACL中進(jìn)行配置了。

例如：我們添加三條ACL規(guī)則

permit

permit

permit如果我們發(fā)現(xiàn)第二條命令應(yīng)該是而不是，如果使用不是基于名稱的訪問控制列表的話，使用nopermit后整個(gè)ACL信息都會(huì)被刪除掉。正是因?yàn)槭褂昧嘶诿Q的訪問控制列表，我們使用n