任務(wù)5 訪問控制列表

任務(wù)5訪問控制列表任務(wù)描述某技工學(xué)校通過對校園網(wǎng)整體信息化建設(shè)進(jìn)行改造，將各校區(qū)的網(wǎng)絡(luò)之間互聯(lián)互通，滿足了各校區(qū)師生對校園網(wǎng)絡(luò)信息的需求，實(shí)現(xiàn)了對校園網(wǎng)絡(luò)資源的共享，但是為了保證校園網(wǎng)的整體安全，保障校園網(wǎng)為訪問的師生提供有效的服務(wù)，例如：包括禁止學(xué)生宿舍網(wǎng)訪問教師辦公網(wǎng)，允許學(xué)生訪問FTP服務(wù)，教師辦公網(wǎng)不能訪問財(cái)務(wù)服務(wù)器等，因此要實(shí)施訪問控制列表（ACL），以維修校園網(wǎng)的安全。小東是學(xué)校網(wǎng)絡(luò)中心的網(wǎng)絡(luò)管理員，應(yīng)怎樣配置來實(shí)現(xiàn)這一目標(biāo)？本任務(wù)的目標(biāo)是通過配置訪問控制列表（ACL），掌握訪問控制列表的應(yīng)用，以及安全控制與規(guī)則設(shè)定，以保障校園網(wǎng)的安全?！绢A(yù)備知識(shí)】1．訪問控制列表ACLACL(AccessControlLists)是交換機(jī)的一種數(shù)據(jù)包過濾機(jī)制，通過允許或拒絕特定的數(shù)據(jù)包進(jìn)出網(wǎng)絡(luò)對網(wǎng)絡(luò)的訪問進(jìn)行控制，從而保證網(wǎng)絡(luò)的有效和安全運(yùn)作。用戶可以制定一組規(guī)則（rule），每條規(guī)則描述了對匹配一定信息的數(shù)據(jù)包所采取的動(dòng)作：允許通過（permit）或拒絕通過（deny）。用戶可以把這些規(guī)則應(yīng)用到交換機(jī)端口的入口或出口方向，這樣特定端口上特定方向的數(shù)據(jù)流就會(huì)依照指定的ACL規(guī)則進(jìn)出交換機(jī)。規(guī)則包含的信息可以包括源MAC、目的MAC、源IP、目的IP、IP協(xié)議號(hào)、TCP端口等組合。2．訪問控制列表的分類根據(jù)不同的標(biāo)準(zhǔn)，訪問控制列表可以分為如下幾類。①根據(jù)過濾信息：ipaccess-list（三層以上信息），macaccess-list（二層信息），mac-ipaccess-list（二層以上信息）。②根據(jù)配置的復(fù)雜程度：標(biāo)準(zhǔn)（standard）和擴(kuò)展（extended），擴(kuò)展方式可以指定更加細(xì)致的過濾信息。2．訪問控制列表的分類標(biāo)準(zhǔn)ACL：標(biāo)準(zhǔn)ACL只能過濾IP數(shù)據(jù)包頭中的源IP地址，如圖3-12所示。擴(kuò)展ACL：擴(kuò)展ACL允許用戶根據(jù)如下內(nèi)容過濾數(shù)據(jù)包：源和目的地址、協(xié)議、源和目的端口，以及在特定報(bào)文字段中允許進(jìn)行特殊比較的各種選項(xiàng)，如圖3-13所示。③根據(jù)命名方式：數(shù)字（numbered）和命名（named）。

圖3-12標(biāo)準(zhǔn)ACL圖3-13擴(kuò)展ACL3．訪問控制列表的作用①方式安全控制：允許一些符合匹配規(guī)則的數(shù)據(jù)包通過，同時(shí)拒絕另一些不符合匹配規(guī)則的數(shù)據(jù)包通過。②流量過濾：防止一些不必要的數(shù)據(jù)包通過路由器，從而提高網(wǎng)絡(luò)帶寬的利用率。③數(shù)據(jù)流量標(biāo)識(shí)：當(dāng)存在2條或2條以上的網(wǎng)絡(luò)鏈路時(shí)，訪問控制列表與路由策略等來實(shí)現(xiàn)分工，從而讓不同的數(shù)據(jù)包選擇不同的鏈路。4．Access-group當(dāng)用戶按照實(shí)際需要制定了一組訪問列表后，就可以把它們分別應(yīng)用到不同端口的不同方向上。Access-group就是對特定的一條訪問列表與特定端口的特定方向的綁定關(guān)系的描述。當(dāng)建立了一條Access-group之后，流經(jīng)此端口此方向的所有數(shù)據(jù)包都會(huì)試圖匹配指定的Access-list規(guī)則，以決定交換動(dòng)作是允許（permit）還是拒絕（deny）。另外還可以在端口加上對ACL規(guī)則統(tǒng)計(jì)的計(jì)數(shù)器，以便統(tǒng)計(jì)流經(jīng)端口的符合ACL規(guī)則數(shù)據(jù)包的數(shù)量。5．Access-list動(dòng)作及全局默認(rèn)動(dòng)作Access-list動(dòng)作及默認(rèn)動(dòng)作分為2種：允許通過(permit)或拒絕通過(deny)。具體有如下如示。①在一個(gè)access-list內(nèi)，可以有多條規(guī)則（rule）。對數(shù)據(jù)包的過濾從第一條規(guī)則（rule）開始，直到匹配到一條規(guī)則（rule），其后的規(guī)則（rule）不再進(jìn)行匹配。②全局默認(rèn)動(dòng)作只對端口入口方向的IP包有效。對于入口的非IP數(shù)據(jù)包以及出口的所有數(shù)據(jù)包，其默認(rèn)轉(zhuǎn)發(fā)動(dòng)作均為允許通過(permit)。③只有在包過濾功能打開且端口上沒有綁定任何的ACL或不匹配任何綁定的ACL時(shí)才會(huì)匹配入口的全局的默認(rèn)動(dòng)作。④當(dāng)一條access-list被綁定到一個(gè)端口的出口方向時(shí)，其規(guī)則（rule）的動(dòng)作只能為拒絕通過（deny）。6．ACL配置命令A(yù)CL命令包括條件和操作2個(gè)組件，條件是用于匹配數(shù)據(jù)包內(nèi)容的，當(dāng)條件匹配時(shí)，會(huì)采取一個(gè)操作，允許或拒絕。6．ACL配置命令（1）通過編號(hào)方式創(chuàng)建標(biāo)準(zhǔn)ACL表3-7所示為通過編號(hào)方式創(chuàng)建標(biāo)準(zhǔn)ACL。表3-7 命令格式解釋配置模式access-listlistnumber{permit|deny}address[wildcard–mask]創(chuàng)建編號(hào)標(biāo)準(zhǔn)ACL，其中：listnumber為訪問列表序號(hào)，IP標(biāo)準(zhǔn)訪問列表的序號(hào)是1～99；permit為允許滿足條件的數(shù)據(jù)包通過；deny為禁止?jié)M足條件的數(shù)據(jù)包通過；address為要被過濾數(shù)據(jù)包的源IP地址；wildcard–mask為通配屏蔽碼，1表示不檢查位，0表示必須匹配位。注意：用noaccess-listlistnumber命令刪除指定的訪問控制列表全局配置模式6．ACL配置命令命令格式解釋配置模式

ipaccess-grouplistnumber{in|out}應(yīng)用編號(hào)標(biāo)準(zhǔn)ACL，其中：listnumber為IP訪問列表的編號(hào)（1～99）；in為對進(jìn)入該端口的報(bào)文進(jìn)行過濾；out為對從該端口輸出的報(bào)文進(jìn)行過濾。注意：用noipaccess-grouplistnumber命令取消訪問控制列表與端口的關(guān)聯(lián)接口配置

模式showaccess-listslistnumber查看訪問控制列表，其中：listnumber為IP訪問列表的編號(hào)（1～99）特權(quán)配置

模式6．ACL配置命令（2）通過命名方式創(chuàng)建標(biāo)準(zhǔn)ACL表3-8所示為通過命令方式創(chuàng)建標(biāo)準(zhǔn)ACL。表3-8 通過命名方式創(chuàng)建標(biāo)準(zhǔn)ACL命令格式解釋配置模式ipaccess-liststandardname創(chuàng)建命名標(biāo)準(zhǔn)ACL，其中：name為用數(shù)字或名字來定義一條IPACL名字。注意：用noipaccess-liststandardname命令刪除該訪問控制列表全局配置

模式[permit|deny]{sourcesource-wildcard|hostsource|any}允許/拒絕命令，其中：Permit為允許通過；Deny為拒絕通過；Source為要被過濾數(shù)據(jù)包的源IP地址；Sourcemask為通配屏蔽碼，1表示不檢查位，0表示必須匹配位；hostsource為特定一臺(tái)主機(jī)源地址（相當(dāng)通配屏蔽碼）；any為任何主機(jī)源地址（相當(dāng)于通配屏蔽碼55）ACL配置

模式6．ACL配置命令命令格式解釋配置模式ipaccess-groupname{in|out}應(yīng)用命名標(biāo)準(zhǔn)ACL，其中：name為IPACL的名字in為對進(jìn)入該端口的報(bào)文進(jìn)行過濾；out為對從該端口輸出的報(bào)文進(jìn)行過濾。注意：用noipaccess-groupname{in|out}命令取消應(yīng)用接口配置

模式showaccess-listsname查看訪問控制列表，其中：name為用數(shù)字或名字來定義一條IPACL名字特權(quán)配置

模式6．ACL配置命令（3）通過編號(hào)方式創(chuàng)建擴(kuò)展ACL表3-9所示為通過編號(hào)方式創(chuàng)建擴(kuò)展ACL。命令格式解釋配置模式aaccess-listlistnumber{permit|deny}protocolsourcesource-wildcard-maskdestinationdestination-wildcard-mask[operatorport]創(chuàng)建編號(hào)擴(kuò)展ACL，其中：Listnumber：100～199，2000～2699；Protocol：協(xié)議（如IP、TCP和UDP）；Permit：允許滿足條件的數(shù)據(jù)包通過；Deny：禁止?jié)M足條件的數(shù)據(jù)包通過；source：要被過濾數(shù)據(jù)包的源IP地址；source-wildcard-mask：源地址通配屏蔽碼，1表示不檢查位，0表示必須匹配位；destination：要被過濾數(shù)據(jù)包的目的IP地址；destination-wildcard-mask：目的地址通配屏蔽碼，1表示不檢查位，0表示必須匹配位；operator：操作符（lt-小于，eq-等于，gt-大于，neg-不等于，range-包含）；port：端口號(hào)，默認(rèn)為全部端口號(hào)0～65535全局配置

模式6．ACL配置命令命令格式解釋配置模式ipaccess-grouplistnumber{in|out}應(yīng)用編號(hào)標(biāo)準(zhǔn)ACL其中：listnumber為IP訪問列表的編號(hào)（100～199）；in為對進(jìn)入該端口的報(bào)文進(jìn)行過濾；out為對從該端口輸出的報(bào)文進(jìn)行過濾。注意：用noipaccess-grouplistnumber命令取消訪問控制列表與端口的關(guān)聯(lián)接口配置

模式showaccess-listslistnumber查看訪問控制列表，其中：listnumber為IP訪問列表的編號(hào)（100～199）特權(quán)配置

模式6．ACL配置命令（4）通過命名方式創(chuàng)建擴(kuò)展ACL表3-10所示為通過命名方式創(chuàng)建擴(kuò)展ACL。命令格式解釋配置模式ipaccess-listextendedname創(chuàng)建命名標(biāo)準(zhǔn)ACL，其中：name為用數(shù)字或名字來定義一條IPACL名字。注意：用noipaccess-listextendedname命令刪除該訪問控制列表全局配置模式[permit|deny]protocol{sourcesource-wildcard}{destinationdestination-wildcard}[operatorport]允許/拒絕命令，其中：permit：允許滿足條件的數(shù)據(jù)包通過；deny：禁止?jié)M足條件的數(shù)據(jù)包通過；protocol：協(xié)議（如IP、TCP和UDP；source：被過濾數(shù)據(jù)包的源IP地址；source-wildcard-mask：源地址通配屏蔽碼，1表示不檢查位，0表示必須匹配位；destination：要被過濾數(shù)據(jù)包的目的IP地址；destination-wildcard-mask：目的地址通配屏蔽碼，1表示不檢查位，0表示必須匹配位；operator：操作符（lt-小于，eq-等于，gt-大于，neg-不等于，range-包含）；port：端口號(hào)ACL配置模式6．ACL配置命令命令格式解釋配置模式ipaccess-groupname{in|out}應(yīng)用命名擴(kuò)展ACL，其中：name為IPACL的名字；in為對進(jìn)入該端口的報(bào)文進(jìn)行過濾；out為對從該端口輸出的報(bào)文進(jìn)行過濾。注意：用noipaccess-groupname{in|out}命令取消應(yīng)用接口配置模式showaccess-listsname查看訪問控制列表，其中：name為用數(shù)字或名字來定義一條IPACL名字特權(quán)配置模式【任務(wù)實(shí)施】實(shí)驗(yàn)1利用IP標(biāo)準(zhǔn)訪問列表進(jìn)行網(wǎng)絡(luò)流量的控制為了財(cái)務(wù)網(wǎng)段的數(shù)據(jù)安全，某技工學(xué)校領(lǐng)導(dǎo)要求學(xué)生宿舍網(wǎng)段不允許進(jìn)行訪問財(cái)務(wù)網(wǎng)段，而行政辦公網(wǎng)段可以訪問財(cái)務(wù)網(wǎng)段。IP標(biāo)準(zhǔn)訪問列表進(jìn)行網(wǎng)絡(luò)流量的控制圖如圖3-14所示?！救蝿?wù)實(shí)施】實(shí)驗(yàn)2利用IP擴(kuò)展訪問列表實(shí)現(xiàn)應(yīng)用服務(wù)的訪問控制在某技工學(xué)校校園網(wǎng)上，一臺(tái)三層交換上連接了WWW和FTP的服務(wù)器，領(lǐng)導(dǎo)要求學(xué)生宿舍網(wǎng)段只能進(jìn)行FTP訪問，不能進(jìn)行WWW訪問，教工宿舍網(wǎng)段則沒有此限制。實(shí)驗(yàn)拓?fù)浣Y(jié)構(gòu)如圖3-15所示?！救蝿?wù)實(shí)施】實(shí)驗(yàn)3ACL的配置根據(jù)實(shí)驗(yàn)要求：①172.16.0.x網(wǎng)絡(luò)的主機(jī)不能訪問192.168.1.x網(wǎng)絡(luò)；②、網(wǎng)絡(luò)的主機(jī)可以Ping通服務(wù)器，并且可以使用IP地址訪問到WWW服務(wù)，但不能使用域名訪問到WWW服務(wù)器（可以ping通域名）。ACL配置實(shí)驗(yàn)拓?fù)浣Y(jié)構(gòu)如圖3-18所示?！救蝿?wù)回顧】1．選擇題（1）訪問控制列表具有哪些作用？()A.安全控制 B.流量過濾C.數(shù)據(jù)流量標(biāo)識(shí) D.流量控制（2）訪問控制列表是路由器的一種安全策略，假設(shè)要用一個(gè)標(biāo)準(zhǔn)IP訪問列表來做安全控制，以下為標(biāo)準(zhǔn)訪問列表的例子是（）。A.access-liststandard3B.access-list10deny3C.access-list101deny3D.access-list101deny355（3）標(biāo)準(zhǔn)IP訪問列表的號(hào)碼范圍是（）。A.1-99B.100-199C.800-899D.900-999（4）在ACL配置中，用于指定拒絕某一主機(jī)的配置命令有（）。A.deny55B.denyC.denyhostD.denydeny【任務(wù)回顧】1．選擇題(5)以下情況可以使用訪問控制列表準(zhǔn)確描述的是()。A.禁止有CIH病毒的文件到我的主機(jī)B.只允許系統(tǒng)管理員可以訪問我的主機(jī)C.禁止所有使用Telnet的用戶訪問我的主機(jī)D.禁止使用UNIX系統(tǒng)的用戶訪問我的主機(jī)（6）配置如下2條訪問控制列表：Access-list1permit55Access-list2permit