數(shù)據(jù)通信網(wǎng)絡(luò)組建與維護(hù)(項(xiàng)目式教學(xué)課件) 項(xiàng)目6 網(wǎng)絡(luò)的訪問控制實(shí)施

ACL網(wǎng)絡(luò)訪問控制項(xiàng)目六教學(xué)目標(biāo)知識(shí)內(nèi)容與要求了解訪問控制的基本原理；掌握訪問控制列表的基本概念和作用;掌握訪問控制列表的分類和工作原理；掌握訪問控制列表使用的基本規(guī)則；掌握標(biāo)準(zhǔn)訪問控制列表與擴(kuò)展訪問控制列表的配置。技能目標(biāo)與要求能夠熟練進(jìn)行ACL配置；能夠運(yùn)用ACL解決實(shí)際問題；能夠使用基于時(shí)間段的訪問控制列表進(jìn)行訪問控制。項(xiàng)目描述與分析項(xiàng)目背景

某重點(diǎn)中學(xué)的校園網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖如圖所示。校園網(wǎng)建成后，滿足了校區(qū)師生對(duì)信息化的需求，實(shí)現(xiàn)了校園網(wǎng)絡(luò)資源的共享。但由于在建設(shè)初期僅僅實(shí)現(xiàn)了互聯(lián)互通，沒有對(duì)網(wǎng)絡(luò)進(jìn)行安全加固，給網(wǎng)絡(luò)的使用和維護(hù)帶來了很多問題。例如，行政辦公子網(wǎng)被學(xué)生經(jīng)常訪問，有部分學(xué)生登錄到教務(wù)管理系統(tǒng)，也有學(xué)生在上課期間登錄媒體服務(wù)器影響正常學(xué)習(xí)。為了保證校園網(wǎng)的安全，必須對(duì)校園網(wǎng)重新進(jìn)行一系列的規(guī)劃，希望能夠達(dá)到以下功能：1）禁止學(xué)生子網(wǎng)訪問行政子網(wǎng)和教學(xué)子網(wǎng)；2）禁止學(xué)生子網(wǎng)訪問財(cái)務(wù)系統(tǒng)和教務(wù)管理系統(tǒng)；3）禁止學(xué)生子網(wǎng)在上課時(shí)間訪問媒體服務(wù)器；4）教務(wù)管理系統(tǒng)僅允許教學(xué)管理人員和教師子網(wǎng)訪問；5）財(cái)務(wù)系統(tǒng)僅允許行政子網(wǎng)訪問。

網(wǎng)絡(luò)拓?fù)湓O(shè)計(jì)與分析三層交換機(jī)三層交換機(jī)目錄基礎(chǔ)知識(shí)：ACL原理及應(yīng)用要增強(qiáng)網(wǎng)絡(luò)安全性，網(wǎng)絡(luò)設(shè)備需要具備控制某些訪問或某些數(shù)據(jù)的能力。包過濾技術(shù)是一種被廣泛使用的網(wǎng)絡(luò)安全技術(shù)。它使用ACL來（訪問控制列表）實(shí)現(xiàn)數(shù)據(jù)識(shí)別，并決定是轉(zhuǎn)發(fā)還是丟棄這些數(shù)據(jù)包。由ACL定義的報(bào)文匹配規(guī)則，還可以被其它需要對(duì)數(shù)據(jù)進(jìn)行區(qū)分的場(chǎng)合引用。引入IP包過濾技術(shù)介紹

對(duì)路由器需要轉(zhuǎn)發(fā)的數(shù)據(jù)包，先獲取包頭信息，然后和設(shè)定的規(guī)則進(jìn)行比較，根據(jù)比較的結(jié)果對(duì)數(shù)據(jù)包進(jìn)行轉(zhuǎn)發(fā)或者丟棄。而實(shí)現(xiàn)包過濾的核心技術(shù)是訪問控制列表。Internet公司總部?jī)?nèi)部網(wǎng)絡(luò)未授權(quán)用戶辦事處Internet訪問控制列表簡(jiǎn)稱為ACL（AccessControlList），它是對(duì)數(shù)據(jù)包進(jìn)行管理和限制的方法。什么是訪問控制列表?哪些場(chǎng)合需要使用ACL？允許或禁止對(duì)路由器或來自路由器的某些訪問QOS與隊(duì)列技術(shù)策略路由數(shù)據(jù)速率限制端口流鏡像NAT……ACL的使用場(chǎng)合目的IP地址源IP地址協(xié)議號(hào)目的端口段(如TCP報(bào)頭)數(shù)據(jù)數(shù)據(jù)包(IP報(bào)頭)幀報(bào)頭(如HDLC)使用ACL檢測(cè)數(shù)據(jù)包拒絕允許ACL的判別依據(jù)－五元組源端口

標(biāo)準(zhǔn)ACL

僅以源IP地址作為過濾標(biāo)準(zhǔn)只能粗略的限制某一大類協(xié)議擴(kuò)展ACL以源IP地址、目的IP地址、源端口號(hào)、目的端口號(hào)、協(xié)議號(hào)作為過濾標(biāo)準(zhǔn)，可以精確的限制到某一種具體的協(xié)議

Inbound或Outbound基于時(shí)間的ACL

在標(biāo)準(zhǔn)和擴(kuò)展ACL基礎(chǔ)上加上時(shí)間限制。ACL的分類數(shù)據(jù)包出接口數(shù)據(jù)包入接口

ACL處理過程允許?源地址、目的地址協(xié)議標(biāo)準(zhǔn)ACL標(biāo)準(zhǔn)訪問控制列表只根據(jù)報(bào)文的源IP地址信息制定規(guī)則接口接口從/24來的數(shù)據(jù)包不能通過從/28來的數(shù)據(jù)包可以通過DA=SA=DA=SA=分組分組擴(kuò)展ACL擴(kuò)展訪問控制列表根據(jù)報(bào)文的源IP地址、目的IP地址、IP承載的協(xié)議類型、協(xié)議特性等三、四層信息制定規(guī)則接口接口從/24來，到的TCP端口80去的數(shù)據(jù)包不能通過從/24來，到的TCP端口23去的數(shù)據(jù)包可以通過DA=,SA=TCP,DP=80,SP=2032DA=,SA=TCP,DP=23,SP=3176分組分組ACL具有方向性在路由器中使用訪問控制列表時(shí)，訪問控制列表是部署在路由器的某個(gè)接口的某個(gè)方向上。因此，對(duì)于路由器來說存在入口方向（Inbound）和出口方向（Outbound）兩個(gè)方向。否是丟棄處理選擇出接口

否ACL?路由表?數(shù)據(jù)包出接口ACL如何工作數(shù)據(jù)包入接口通信工程系《交換與路由技術(shù)》精品課程數(shù)據(jù)包出接口否是丟棄處理選擇接口

路由表?否ACL匹配控制允許?是ACL如何工作ACL?是數(shù)據(jù)包入接口數(shù)據(jù)包出接口否是丟棄處理選擇接口

路由表?否ACL匹配控制允許?是ACL如何工作ACL?是數(shù)據(jù)包入接口否ACL的匹配順序ACL內(nèi)部處理具體過程：丟棄處理是目的接口拒絕拒絕是匹配第一條規(guī)則?允許ACL的匹配順序ACL內(nèi)部處理具體過程：丟棄處理是目的接口是匹配第一條規(guī)則?否下一條?是是拒絕拒絕拒絕允許允許ACL的匹配順序ACL內(nèi)部處理具體過程：丟棄處理是目的接口是匹配第一條規(guī)則?否匹配下一條?匹配最后一條?是是否是是拒絕拒絕拒絕拒絕允許允許允許ACL的匹配順序ACL內(nèi)部處理具體過程：丟棄處理是目的接口是匹配第一條規(guī)則?否匹配下一條?匹配最后一條?是是否是是**說明：當(dāng)ACL的最后一條不匹配時(shí)，系統(tǒng)使用隱含的“丟棄全部”進(jìn)行處理！拒絕拒絕拒絕拒絕允許允許允許否ACL的使用位置對(duì)于標(biāo)準(zhǔn)ACL，由于它只能過濾源IP。為了不影響源主機(jī)的通信，一般我們將標(biāo)準(zhǔn)ACL放在離目的端比較近的地方。擴(kuò)展ACL可以精確的定位某一類的數(shù)據(jù)流。為了不讓無用的流量占據(jù)網(wǎng)絡(luò)帶寬，一般我們將擴(kuò)展ACL放在離源端比較近的地方。ACL的規(guī)則總結(jié)按照由上到下的順序執(zhí)行，找到第一個(gè)匹配后既執(zhí)行相應(yīng)的操作（然后跳出ACL）每條ACL的末尾隱含一條denyany

的規(guī)則ACL可應(yīng)用于某個(gè)具體的IP接口的出方向或入方向在引用ACL之前，要首先創(chuàng)建好ACL目錄ALC配置步驟1：創(chuàng)建ACL列表2：設(shè)置ACL規(guī)則ACL配置步驟3：將ACL應(yīng)用到接口上目錄標(biāo)準(zhǔn)訪問控制列表配置標(biāo)準(zhǔn)訪問控制列表標(biāo)準(zhǔn)訪問控制列表：根據(jù)數(shù)據(jù)包的源IP地址來允許或拒絕數(shù)據(jù)包；訪問控制列表號(hào)從1到99。標(biāo)準(zhǔn)訪問控制列表標(biāo)準(zhǔn)訪問控制列表只使用源地址進(jìn)行過濾，表明是允許還是拒絕從/24來的數(shù)據(jù)包可以通過！從/24來的數(shù)據(jù)包不能通過！路由器如果在訪問控制列表中有的話應(yīng)用條件拒絕允許更多條目？列表中的下一個(gè)條目否

有訪問控制列表嗎？源地址不匹配是匹配是否Icmp消息轉(zhuǎn)發(fā)數(shù)據(jù)包標(biāo)準(zhǔn)訪問控制列表標(biāo)準(zhǔn)訪問控制列表的配置第一步，使用access-list命令創(chuàng)建訪問控制列表第二步，使用ipaccess-group命令把訪問控制列表應(yīng)用到某接口Router(config)#access-listaccess-list-number{permit|deny}source[source-wildcard][log]Router(config-if)#ipaccess-groupaccess-list-number{in|out}第三步，測(cè)試1．顯示所有或指定表號(hào)的ACL的內(nèi)容Showaccess-lists[acl-number]/name<acl-name>]2．查看某物理端口是否應(yīng)用了ACLshowipinterface任務(wù)一：標(biāo)準(zhǔn)ACL應(yīng)用1（允許特定源的流量）Fa0/0Fa1/0S0loopback3PC1PC2接口ip地址Router(config)#inteloopback0Router(config-if)#ipaddrRouter(config-if)#noshutRouter(config)#intefa0/0Router(config-if)#ipaddrRouter(config-if)#noshutRouter(config)#intefa1/0Router(config-if)#ipaddrRouter(config-if)#noshut標(biāo)準(zhǔn)ACL應(yīng)用（允許特定源的流量）第一步，創(chuàng)建允許來自的流量的ACL第二步，應(yīng)用到接口fa0/0和fa1/0的出方向上Router(config)#access-list1permit55Router(config)#interfacefastethernet0/0Router(config-if)#ipaccess-group1outRouter(config)#interfacefastethernet1/0Router(config-if)#ipaccess-group1out測(cè)試在路由器上ping兩臺(tái)PC機(jī)。PingPing均能ping通注意取消訪問控制列表的應(yīng)用，兩個(gè)步驟首先取消其應(yīng)用在某個(gè)端口，如：noipaccess-group1out其次，還可以刪除訪問控制列表，如access-list1可用命令Showaccess-lists\showipinterface進(jìn)行驗(yàn)證配置的正確性任務(wù)二：標(biāo)準(zhǔn)ACL應(yīng)用（拒絕特定主機(jī)的通信流量）Fa0/0Fa1/0S0loopback3PC1PC2標(biāo)準(zhǔn)ACL應(yīng)用：拒絕特定主機(jī)的通信流量第一步，創(chuàng)建拒絕來自3的流量的ACL第二步，應(yīng)用到接口fa1/0的入方向Router(config)#access-list1denyhost3Router(config)#access-list1permit55Router(config)#interfacefastethernet1/0Router(config-if)#ipaccess-group1inany測(cè)試在PC2上測(cè)試PC1與FA0/0端口不通任務(wù)三：標(biāo)準(zhǔn)ACL應(yīng)用（拒絕特定子網(wǎng)的流量）Fa0/0Fa1/0S0loopback3PC1PC2標(biāo)準(zhǔn)ACL應(yīng)用：拒絕特定子網(wǎng)的流量第一步，創(chuàng)建拒絕來自子網(wǎng)的流量的ACL第二步，應(yīng)用到接口fa0/0的出方向Router(config)#access-list1deny55Router(config)#access—list1permitanyRouter(config)#interfacefastethernet0/0Router（config-if）#ipaccess-group1out55測(cè)試在pc2上pingfa0/0,pc1能ping通fa0/0,不能ping通pc1，為什么？在pc1上pingfa1/0,pc2能ping通fa1/0,不能ping通pc2，為什么？目錄擴(kuò)展訪問控制列表的配置擴(kuò)展訪問控制列表的配置第一步，使用access-list命令創(chuàng)建擴(kuò)展訪問控制列表Router(config)#access-listaccess-list-number{permit|deny}protocol[sourcesource-wildcarddestinationdestination-wildcard][operatorport][established][log]擴(kuò)展訪問控制列表操作符的含義操作符及語(yǔ)法意義eqportnumber等于端口號(hào)portnumbergtportnumber大于端口號(hào)portnumberltportnumber小于端口號(hào)portnumberneqportnumber不等于端口號(hào)portnumber擴(kuò)展訪問控制列表的配置擴(kuò)展訪問控制列表的配置第二步，使用ipaccess-group命令將擴(kuò)展訪問控制列表應(yīng)用到某接口Router（config-if）#ipaccess-groupaccess-list-number{in|out}任務(wù)一：擴(kuò)展標(biāo)準(zhǔn)ACL應(yīng)用（拒絕特定源、目的子網(wǎng)的ftp流量）Fa0/0Fa1/0S0loopback3PC1PC2擴(kuò)展ACL應(yīng)用1：拒絕ftp流量通過E0第一步，創(chuàng)建拒絕來自、去往、ftp流量的ACL第二步，應(yīng)用到接口fa0/0的出方向Router(config)#access-list101denytcp5555eq21Router(config)#access-list101permitipanyanyRouter(config)#interfacefastthernet0/0Router（config-if）#ipaccess-group101out擴(kuò)展ACL應(yīng)用2：拒絕telnet流量通過E0第一步，創(chuàng)建拒絕來自、去往、telnet流量的ACL第二步，應(yīng)用到接口fa0/0的出方向上Router(config)#access-list101denytcp5555eq23Router(config)#access-list101permitipanyanyRouter(config)#interfacefastethernet0/0Router（config-if）#ipaccess-group101out思考：如何測(cè)試？？？思考：架設(shè)ftp服務(wù)器，在PC機(jī)上，執(zhí)行命令：FTP服務(wù)器IP地址即可。命名的訪問控制列表標(biāo)準(zhǔn)ACL和擴(kuò)展ACL中可以使用一個(gè)字母數(shù)字組合的字符串（名字）代替來表示ACL的表號(hào)命名IP訪問列表允許從指定的訪問列表刪除單個(gè)條目如果添加一個(gè)條目到列表中，那么該條目被添加到列表末尾不能以同一個(gè)名字命名多個(gè)ACL在命名的訪問控制列表下，permit和deny命令的語(yǔ)法格式與前述有所不同命名的訪問控制列表第一步，創(chuàng)建名為cisco的命名訪問控制列表第二步，指定一個(gè)或多個(gè)permit及deny條件第三步，應(yīng)用到接口E0的出方向Router（config）#interfacefastethernet0/0Router（config-if）#ipaccess-groupciscooutRouter(config)#ipaccess-listextendedciscoRouter（config-ext-nacl）#denytcp5555eq23Router（config-ext-nacl）#permitipanyany查看訪問控制列表Router#showipinterfacefastethernet0/0FastEthernet0/0isup,lineprotocolisupInternetaddressis/24Broadcastaddressis55AddressdeterminedbysetupcommandMTUis1500bytesHelperaddressisnotsetDirectedbroadcastforwardingisdisabledOutgoingaccesslistisciscoInboundaccesslistisnotsetProxyARPisenabledLocalProxyARPisdisabledSecuritylevelisdefaultSplithorizonisenabledICMPredirectsarealwayssentICMPunreachablesarealwayssentICMPmaskrepliesareneversentIPfastswitchingisenabledIPfastswitchingonthesameinterfaceisdisabled……查看訪問控制列表Router#showaccess-listExtendedIPaccesslistcisco10denytcp5555eqtelnet20permitipanyanyZXR10(config)#aclstandard{number<acl-number>|name<acl-name>}ZXR10(config-std-acl)#rule<1-100>{permit|deny}{<source>[<source-wildcard>]|any}[time-range<timerange-name>]ZXR10(config)#IP標(biāo)準(zhǔn)ACL使用列表號(hào)1至99缺省通配符為“noaclstandardnumber<acl-number>”刪除整個(gè)ACL在接口上應(yīng)用ACL設(shè)置進(jìn)入或外出方向“noipaccess-groupacl-number”

去掉接口上的ACL設(shè)置ZXR10(config-if)#ipaccess-groupacl-number

{in|out}配置標(biāo)準(zhǔn)ACL（中興）3S0Fei_1/1非網(wǎng)段只允許兩邊的網(wǎng)絡(luò)互相訪問aclstandardnumber1rule1

permit

55(rule1deny55)－－隱含拒絕全部aclstandardnumber2rule1

permit

55interfaceFei_1/2ipaccess-group1outinterfaceFei_1/1ipaccess-group2outFei_1/2標(biāo)準(zhǔn)ACL配置示例1（中興）aclstandardnumber1rule1deny3rule2

permitany(access-list1deny55)－－隱含拒絕全部interfacefei_1/2ipaccess-group1outS0拒絕特定主機(jī)3對(duì)網(wǎng)段的訪問非網(wǎng)段Fei_1/1Fei_1/2標(biāo)準(zhǔn)ACL配置示例2（中興）3拒絕特定子網(wǎng)對(duì)網(wǎng)段的訪問3S0非網(wǎng)段aclstandardnumber1rule

1deny55rule2permitany(access-list1deny55)別忘了系統(tǒng)還有隱含的這條規(guī)則！interfacefei_1/2ipaccess-group1outFei_1/1Fei_1/2標(biāo)準(zhǔn)ACL配置示例3（中興）擴(kuò)展ACL的配置（中興）ZXR10(config)#設(shè)置擴(kuò)展ACLZXR10(config)#aclextend{number<acl-number>|name<acl-name>}ZXR10(config-ext-acl)#rule<rule-no>{permit|deny}<protocol>{<source><source-wildcard>|any}[<rule><port>]{<dest><dest-wildcard>|any}[<rule><port>][<icmp-type>[icmp-code<icmp-code>]]ZXR10(config)#ipaccess-groupacl-number{in|out}應(yīng)用到接口說明：1）<protocol>可以是關(guān)鍵字icmp，ip，tcp，udp之一，或者代表IP協(xié)議號(hào)的從0到254的一個(gè)整數(shù)；2）<rule>表示端口操作符，可以是le（小于等于）、ge（大于等于）、eq（等于）之一，端口操作符只對(duì)TCP和UDP協(xié)議有效；aclextendnumber101rule1denytcp5555eq21rule2denytcp5555eq20rule3

permitipanyany

interfacefei_2/1ipaccess-group101out拒絕從子網(wǎng)

到子網(wǎng)

通過fei_2/1口出去的FTP訪問允許其他所有流量擴(kuò)展ACL的配置實(shí)例1（中興）3S0非網(wǎng)段Fei_1/1Fei_2/1aclextendnumber101rule1denytcp55anyeq23rule2permitipanyanyinterfacefei_2/1ipaccess-group101out擴(kuò)展ACL的配置實(shí)例2（中興）3S0僅拒絕從子網(wǎng)

通過fei_2/1口外出的Telnet允許其他所有流量非網(wǎng)段Fei_1/1Fei_2/1基于時(shí)間的ACL配置（中興）（1）創(chuàng)建time-range列表（2）設(shè)置時(shí)間段1）配置絕對(duì)時(shí)間段，2）配置相對(duì)時(shí)間段ZXR10(config)#time-rangeenableZXR10(config)#time-range<time-range-name>ZXR10(config-tr)#absolute[start<time-date>][end<time-date>]ZXR10(config-tr)#periodic<days-of-weekhh:mm:ss>to[days-of-week]<hh:mm:ss>

說明：days-of-week表示一周中的特定的某天或某些天。可以為Monday、Tuesday、Wedensday、Thursday、Friday、Saturday、Sunday，還可以是daily,weekend（周六、周日）,weekdays（周一至周五）；基于時(shí)間的ACL配置（中興）（3）在標(biāo)準(zhǔn)和擴(kuò)展ACL中應(yīng)用時(shí)間段ZXR10(config-std-acl)#rule<rule-no>{permit|deny}{<source>[<source-wildcard>]|any}[time-range<timerange-name>]ZXR10(config-ext-acl)