訪問控制列表acl

ACL訪問控制列表AccessControlList

課程內(nèi)容ACL定義ACL分類ACL應(yīng)用WhatareACLs?訪問控制列表是一系列允許或拒絕數(shù)據(jù)的指令的集合。ABCDEA說，請路由器Lab_a幫助我限制數(shù)據(jù)：1.阻止來自B、E的數(shù)據(jù)2.允許來自C、D的數(shù)據(jù)請每個源數(shù)據(jù)包接受檢查：1.來自B、E的數(shù)據(jù)丟棄2.來自C、D的數(shù)據(jù)允許Lab_A接口檢查訪問控制列表ACL作用、分類ACL具有靈活的數(shù)據(jù)流過濾和控制能力。例如，網(wǎng)絡(luò)管理者可能允許用戶訪問Internet，而不允許外部的用戶登錄到局域網(wǎng)中。ACL可以應(yīng)用在路由器的接口上，也可以運(yùn)行在路由協(xié)議上，更可以運(yùn)行在Telnet線路上。分類：一般用號碼區(qū)別訪問列表類型。標(biāo)準(zhǔn)訪問列表：只使用數(shù)據(jù)包的源地址作為測試條件。所有決定是基于源IP地址的。這意味著標(biāo)準(zhǔn)的訪問列表基本上允許或拒絕整個協(xié)議組。擴(kuò)展訪問列表：可以測試IP包的第3層和第4層報頭中的字段。包括源IP地址、目的IP地址、網(wǎng)絡(luò)層報頭中的協(xié)議字段（如，TCP、UDP、ICMP等）以及位于傳輸層報頭中的端口號。擴(kuò)展訪問列表具有在控制流量時做更細(xì)粒度決定的能力。命名訪問列表，從技術(shù)上來說實際上只有兩種，命名的訪問列表可以是標(biāo)準(zhǔn)的或擴(kuò)展的訪問列表，并不是一種真正的新類型列表。標(biāo)準(zhǔn)列表——基于源地址ABCDEA說，請路由器Lab_a幫助我限制數(shù)據(jù)：1.阻止來自B、E的數(shù)據(jù)2.允許來自C、D的數(shù)據(jù)請每個源數(shù)據(jù)包接受檢查：1.來自B、E的數(shù)據(jù)丟棄2.來自C、D的數(shù)據(jù)允許Lab_A接口檢查擴(kuò)展列表——基于源地址、目的地址、協(xié)議、端口ABCDEA說，請路由器Lab_a幫助我限制數(shù)據(jù)：1.阻止來自B、E的FTP數(shù)據(jù)，但允許來自B、E的HTTP數(shù)據(jù)2.允許來自C、D的FTP數(shù)據(jù)，阻止來自C、D的Telnet數(shù)據(jù)Lab_A接口檢查擴(kuò)展訪問列表具有在控制流量時做更細(xì)粒度決定的能力。ACL的方向——InboundorOutboundInbound進(jìn)入路由器接口的方向Outbound出路由器的出口方向輸入型訪問列表：當(dāng)訪問列表被用于檢測從接口輸入的包時，包在進(jìn)入路由器之前要經(jīng)過訪問列表的處理。路由器不能路由任何被拒絕的包，因為在路由之前這些包就會被丟棄掉。輸出型訪問列表：當(dāng)訪問列表用于檢測從接口輸出的包時，數(shù)據(jù)包已經(jīng)應(yīng)首先被路由到該輸出接口，然后在進(jìn)入該接口的輸出隊列之前經(jīng)過訪問列表的處理。即在被發(fā)送出去之前被處理。OutgoingPacketE0S0IncomingPacketAccessListProcessesPermit?Sourceand

Destination進(jìn)入路由過程ProtocolACL的工作流程當(dāng)一個數(shù)據(jù)報進(jìn)入一個端口，路由器檢查這個數(shù)據(jù)報是否可路由。如果是可以路由的，路由器檢查這個端口是否有ACL控制進(jìn)入數(shù)據(jù)報。如果有，根據(jù)ACL中的條件指令，檢查這個數(shù)據(jù)報。如果數(shù)據(jù)報是被允許的，就查詢路由表，決定數(shù)據(jù)報的目標(biāo)端口。路由器檢查目標(biāo)端口是否存在ACL控制流出的數(shù)據(jù)報不存在，這個數(shù)據(jù)報就直接發(fā)送到目標(biāo)端口。如果存在，就再根據(jù)ACL進(jìn)行取舍。然后在轉(zhuǎn)發(fā)到目的端口。ACL的運(yùn)行過程1.從第一行開始，按順序比較訪問列表的每一行，例如，從第一行開始，然后轉(zhuǎn)到第二行、第三行等等。2.比較訪問列表的各行直到比較到匹配的一行，一旦數(shù)據(jù)包與訪問列表的某一行匹配，遵照規(guī)定行事，不再進(jìn)行后續(xù)比較。3.在每個訪問列表的最后是一行隱含“denyany”（拒絕所有）語句，意味著如果數(shù)據(jù)包與訪問列表中的所有行都不匹配，將被丟棄。ACL的配置指南——一般規(guī)則先創(chuàng)建訪問列表，然后將列表應(yīng)用到一個接口。任何應(yīng)用到一個接口的訪問列表如果不是現(xiàn)成的訪問列表，那么此列表不會過濾流量。除非在訪問列表未尾有permitany(允許所有)，否則所有和列表的測試條件都不符合的數(shù)據(jù)包將被丟棄。因為每個訪問列表的最后是一行隱含“denyany”（拒絕所有）語句每個列表應(yīng)當(dāng)至少有一個允許語句，否則將會拒絕所有流量。每個接口、每個協(xié)議或每個方向只可以分派一個訪問列表。這意味著如果創(chuàng)建了IP訪問列表，每個接口只能有一個輸入型訪問列表和一個輸出型訪問列表。不能從訪問列表中刪除一行。如果試著這樣做，將刪除整個列表?？梢詮拿L問列表中刪除單獨的一行。訪問列表設(shè)計為過濾通過路由器的流量，但不過濾路內(nèi)器產(chǎn)生的流量，如路由器間交換路由信息等。ACL可以指定到一個或者多個端口。ACL的配置指南——放置位置標(biāo)準(zhǔn)訪問列表盡可能放置在靠近目的地址的位置。不能將標(biāo)準(zhǔn)的訪問列表放置在靠近源主機(jī)或源網(wǎng)絡(luò)的位置，因為這樣會過慮基于源地址的流量而造成不能轉(zhuǎn)發(fā)任何數(shù)據(jù)。擴(kuò)展訪問列表盡可能放置在靠近源地址的位置。既然擴(kuò)展的訪問列表可以過濾每個特定的地址和協(xié)議，那么你不希望你的流量穿過整個網(wǎng)絡(luò)后再被拒絕。通過將這樣的列表放置在盡量靠近源地址的位置．可以在它使用寶貴的帶寬之前過濾掉此流量。標(biāo)準(zhǔn)列表——靠近目的地址ABCDEA說，請路由器Lab_a幫助我限制數(shù)據(jù)：1.阻止來自E的數(shù)據(jù)位置？如果放在源地址E的較近的位置，那么E到所有的流量都會被禁止。即E哪都不能去。Here!!!!離目的近擴(kuò)展列表——靠近源地址ABCDEA說，請路由器Lab_a幫助我限制數(shù)據(jù)：1.阻止來自E的FTP數(shù)據(jù)，但允許來自E的HTTP數(shù)據(jù)Here!!!!離源近如果放在離目的地址A較近的位置，那么E到A的FTP流量將會穿過整個網(wǎng)絡(luò)，在到達(dá)目的地的時候卻被告知不可以到達(dá)，浪費網(wǎng)絡(luò)帶寬。即E的FTP流量白來一趟位置？標(biāo)準(zhǔn)的ACL標(biāo)準(zhǔn)訪問列表，通過使用數(shù)據(jù)包的源IP地址過濾流量。一般用號碼區(qū)別訪問列表類型。可以使用訪問列表號1～99或1300～1999創(chuàng)建標(biāo)準(zhǔn)的訪問列表。標(biāo)準(zhǔn)訪問列表的創(chuàng)建根據(jù)“動作”＋“源地址”，即允許誰，拒絕誰的方法來創(chuàng)建。1.Lab_A(config)#access-list10deny

host拒絕主機(jī)2.Lab_A(config)#access-list10permit

55允許網(wǎng)絡(luò)～255標(biāo)準(zhǔn)列表——靠近目的地址ABCDEA說，請路由器Lab_a幫助我限制數(shù)據(jù)：1.阻止來自E的數(shù)據(jù)位置？如果放在源地址E的較近的位置，那么E到所有的流量都會被禁止。即E哪都不能去。Here!!!!離目的近ACL的配置 P509創(chuàng)建一個ACL訪問控制Router(config)#access-listaccess_list_number{permit|deny}{test_conditions}將訪問控制綁定到接口上Router(config-if)#{protocol}access-groupaccess_list_number{in|out}關(guān)閉訪問控制列表Router(config)#noaccess-listaccess_list_number通配掩碼通配掩碼（wildcardmask）是分成4字節(jié)的32bit數(shù)。通配掩碼與IP地址位位配對，相應(yīng)位為0/1，用于表示如何對待IP地址中的相應(yīng)位。通配掩碼某位是0，表示檢查相應(yīng)bit位的值；通配掩碼某位是1，表示不檢查(忽略)相應(yīng)位的值。掩碼的計算方法：方法一：55－網(wǎng)絡(luò)的子網(wǎng)掩碼如：40通配符為5方法二：IP地址塊的大小，記住，除了0外，每個十進(jìn)制數(shù)應(yīng)為奇數(shù)如：CIDR為/27的通配符為1再如：一個B類地址，有8位的子網(wǎng)地址。想使用通配掩碼，允許所有來自于網(wǎng)絡(luò)～網(wǎng)絡(luò)的數(shù)據(jù)報訪問。塊大小為：55–＝5.255通配掩碼的工作原理通配掩碼舉例假設(shè)一個B類地址，有8位的子網(wǎng)地址。想使用通配掩碼，允許所有來自于網(wǎng)絡(luò)～網(wǎng)絡(luò)的數(shù)據(jù)報訪問。通配掩碼舉例假設(shè)一個B類地址，有8位的子網(wǎng)地址。想使用通配掩碼，允許所有來自于網(wǎng)絡(luò)～網(wǎng)絡(luò)的數(shù)據(jù)報訪問。首先，檢查前面兩個字節(jié)(171.30)，通配掩碼中的前兩個字節(jié)位全為0。由于沒有興趣檢查主機(jī)地址，通配掩碼的最后一個字節(jié)位全為1。通配掩碼的第三個字節(jié)應(yīng)該是15(00001111)。與之相應(yīng)的通配掩碼是55，將匹配子網(wǎng)到的IP地址。通配掩碼舉例IP地址的第三個字節(jié)為16(00010000)。通配掩碼中的前四位為0，告訴路由器要匹配IP地址的前四位(0001)。由于最后的四位被忽略，則所有的在范圍16(00010000)到31(00011111)的都將被允許，相應(yīng)的通配掩碼位是1。Network.host

00010000Wildcardmask: 00001111 |<----match---->|<-----don’tcare----->|

00010000 = 16

00010001 = 17

00010010 = 18 : :

00011111 = 31Any——通配符特殊應(yīng)用在路由器章節(jié)中談到默認(rèn)路由時使用的地址是：iproute其中表示任意網(wǎng)絡(luò)地址，其子網(wǎng)掩碼表示不對任何地址做匹配。在ACL中如果要表示任意地址，也可用此種形式。不過通配符因為－＝55。即ACL中55表示任意地址。但有時書寫較為麻煩，可以用單詞any替代。即any與55均表示任意地址。Router(config)#access-list1permit55等價于Router(config)#access-list1permitanyhost——通配符特殊應(yīng)用同樣在路由器章節(jié)中，設(shè)置環(huán)回接口地址時，使用55的子網(wǎng)掩碼，我們稱此為主機(jī)掩碼，表示此網(wǎng)絡(luò)中只有一個給主機(jī)使用的地址。如，55見P270。主機(jī)掩碼同樣適用于一般的IP地址表示。在ACL中要表示主機(jī)地址55通配符的表示形式為55-55＝ACL中的主機(jī)地址可以為同樣，可以簡化輸入使用單詞host替代。注：在使用主機(jī)地址的時候單詞host也可省略。即Router(config)#access-list1permit9等價于Router(config)#access-list1permithost9等價于Router(config)#access-list1permit9any和host命令標(biāo)準(zhǔn)ACL應(yīng)用一拒絕誰，允許誰，放在哪？銷售部不可以訪問財務(wù)部，但可以訪問外網(wǎng)和市場部。市場部需要訪問財務(wù)部。分析：由于路由器的接口在沒有ACL的時候默認(rèn)轉(zhuǎn)發(fā)所有數(shù)據(jù)，所以在以上的要訪問的要求中不需要單獨設(shè)置ACL，只需要禁止不訪問的內(nèi)容即可。并且按照離目的較近的原則安排在E1端口。Lab_A#configtLab_A(config)#access-list10deny55Lab_A(config)#access-list10permitanyLab_A(config)#inte1應(yīng)用在離目的較近的端口Lab_A(config-if)#ipaccess-group10out/24標(biāo)準(zhǔn)ACL應(yīng)用二阻止Account用戶訪問HumanResources，允許其它用戶訪問HumanResources。Lab_B#configtLab_B(config)#access-list10deny281Lab_B(config)#access-list10permitanyLab_B(config)#interfaceEthernet0應(yīng)用在離目的較近的端口Lab_B(config-if)#ipaccess-group10outoutbound方向標(biāo)準(zhǔn)ACL應(yīng)用三需要阻止圖中4個LAN訪問外網(wǎng)的ACL。Router(config)#access-list1deny55Router(config)#access-list1deny55Router(config)#access-list1deny55Router(config)#access-list1deny55Router(config)#access-list1permitanyRouter(config)#interfaceserial0Router(config-if)#ipaccess-group1out應(yīng)用在VTY線路上的ACL控制（允許或拒絕）Telnet到路由器的IP地址。只需控制用戶從哪里來即控制源IP地址，具體步驟如下：

1.創(chuàng)建一個標(biāo)準(zhǔn)IP訪問列表，只允許那些你希望的主機(jī)能夠遠(yuǎn)程登錄到路由器。2.使用access-class命令將此訪問列表應(yīng)用到VTY線路上即可。如：只允許登錄到Lab_A路由器：Lab_A(config)#access-list50permitLab_A(config)#linevty04Lab_A(config-line)#access-class50in注：在ACL50后同樣隱含了access-list50denyany所以除了外其它均被拒絕。擴(kuò)展ACL擴(kuò)展訪問列表：可以測試IP包的第3層和第4層報頭中的字段。包括源IP地址、目的IP地址、網(wǎng)絡(luò)層報頭中的協(xié)議字段（如，TCP、UDP、ICMP等）以及位于傳輸層報頭中的端口號。擴(kuò)展訪問列表具有在控制流量時做更細(xì)粒度決定的能力。擴(kuò)展ACL的ID號為100～199或2000～2699ACL創(chuàng)建命令Lab_A(config)#access-listID號協(xié)議源地址目的地址操作符端口/服務(wù)類型100～199或2000～2699IPICMPTCPUDP及路由協(xié)議注：若過濾應(yīng)用層數(shù)據(jù)，則此處必須為TCPUDP（可省，若操作符省略則其后端口亦可?。〦qGtLtNeqEstablishedLog（可用端口號亦可用指定的名稱）ftp21ftp-data2021Smtp25telnet23www80等等源地址是從哪來，目的地址表示到哪去擴(kuò)展ACL1.Lab_A(config)#access-list110denytcpanyhosteqwww含義：拒絕任何IP地址通過TCP協(xié)議訪問主機(jī)的www服務(wù)。隱含的意思是主機(jī)可以訪問的其它服務(wù)，限制更為細(xì)致。2.Lab_A(config)#access-list110permittcp55hosteq23log含義：允許網(wǎng)段通過TCP協(xié)議訪問主機(jī)的23端口的服務(wù)即Telnet服務(wù)，且記錄訪問日志。3.Lab_A(config)#access-list110permitipanyany含義：允許所有使用IP協(xié)議的IP訪問其它所有IP，即允許所有。擴(kuò)展列表的放置——靠近源地址ABCDEA說，請路由器Lab_a幫助我限制數(shù)據(jù)：1.阻止來自E的FTP數(shù)據(jù)，但允許來自E的HTTP數(shù)據(jù)Here!!!!離源近如果放在離目的地址A較近的位置，那么E到A的FTP流量將會穿過整個網(wǎng)絡(luò)，在到達(dá)目的地的時候卻被告知不可以到達(dá)，浪費網(wǎng)絡(luò)帶寬。即E的FTP流量白來一趟位置？擴(kuò)展ACL應(yīng)用一銷售部和市場部不可以訪問財務(wù)部的上的FTP和Telnet服務(wù)，但可以訪問財務(wù)部的該服務(wù)器上的其它服務(wù)和其它主機(jī)。Lab_A(config)#access-list110denytcpanyhosteq21Lab_A(config)#access-list110denytcpanyhosteq23Lab_A(config)#access-list110permitipanyanyLab_A(config)#inte1Lab_A(config-if)#ipaccess-group110out問，如果把該列表應(yīng)用在E0上會有什么樣的效果。/24擴(kuò)展ACL應(yīng)用二阻止其它主機(jī)遠(yuǎn)程登錄訪問E1和E2端口的網(wǎng)絡(luò)和TFTP操作。Router(config)#access-list110denytcpany55eq23Router(config)#access-list110denytcpany55eq23Router(config)#access-list110denyudpany55eq69Router(config)#access-list110denyudpany55eq69Router(config)#access-list110permitipanyanyRouter(config)#interfaceEthernet1Router(config-if)#ipaccess-group110outRouter(config-if)#interfaceEthernet2Router(config-if)#ipaccess-group110out考慮：目的IP地址可否換成其它的表現(xiàn)形式。見P418描述的內(nèi)容命名訪問列表從技術(shù)上來說實際上只有兩種，命名的訪問列表可以是標(biāo)準(zhǔn)的或擴(kuò)展的訪問列表，并不是一種真正的新類型列表。命名訪問列表的作用：1.使用命名訪問列表可以給管理人員一種提示信息，知道這種訪問列表是什么作用。2.命名訪問列表允許增加、刪除、修改列表中的表項。而使用ID定義的列表不可以做如上的操作（只可以刪除整個列表）。命名訪問列表的定義和應(yīng)用Lab_A#configtLab_A(config)#ipaccess-liststandardBlockSalesLab_A(config-std-nacl)#deny55Lab_A(config-std-nacl)#permitanyLab_A(config-std-nacl)#exitLab_A(config)#^ZLab_A(config)#inte1Lab_A(config-if)#ipaccess-groupBlockSalesout即相對而言將定義標(biāo)準(zhǔn)和擴(kuò)展列表的ipaccess-listID省略，在應(yīng)用時使用name。若刪除某列，同樣進(jìn)入ACL接口模式，在某列前加no即可。監(jiān)控訪問列表showaccess-listLab_A#showaccess-listStandardIPaccesslist10deny,wildcardbits55permitanyStandardIPaccesslistBlockSalesdeny,wildcardbits55permitanyExtendedIPaccesslist110denytcpanyhosteqftpdenytcpanyhosteqtelnetpermitipanyanyLab_A#showipinterfacee1Lab_A#showipinterfacee1Ethernet1isup,lineprotocolisupInternet