電子教案訪問控制列表的配置

電子教案訪問控制列表的配置第1頁，課件共36頁，創(chuàng)作于2023年2月第9章訪問控制列表的配置

學習目的與要求：互聯(lián)網(wǎng)的開放性決定了網(wǎng)絡上的數(shù)據(jù)可以任意流動，但有時候需要對數(shù)據(jù)進行控制。通過設置訪問控制列表來控制和過濾通過路由器的信息流是的一種方法。本章主要講述使用標準訪問控制列表和擴展訪問控制列表控制網(wǎng)絡流量的方法，同時提供了標準訪問控制列表和擴展訪問控制列表以及在路由接口應用ACL的例子。完成本章的學習，你將能夠：描述訪問控制列表的分類及其工作過程會根據(jù)應用需求配置各種訪問控制列表第2頁，課件共36頁，創(chuàng)作于2023年2月第9章訪問控制列表的配置

9.1訪問控制列表9.2配置標準訪問控制列表9.3配置擴展訪問控制列表9.4命名的訪問列表本章小結本章習題本章實訓第3頁，課件共36頁，創(chuàng)作于2023年2月9.1訪問控制列表訪問控制列表簡稱ACL(AccessControlLists)，配置路由器的訪問控制列表是網(wǎng)絡管理員一件經(jīng)常性的工作。本節(jié)介紹ACL的概念、功能及其工作原理。第4頁，課件共36頁，創(chuàng)作于2023年2月9.1.1ACL概述訪問控制列表(ACL)使用包過濾技術，在路由器上讀取第3層或第4層包頭中的信息，如源地址、目的地址、源端口、目的端口以及上層協(xié)議等，根據(jù)預先定義的規(guī)則決定哪些數(shù)據(jù)包可以接收、哪些數(shù)據(jù)包需要拒絕，從而達到訪問控制的目的。

第5頁，課件共36頁，創(chuàng)作于2023年2月ACL的功能

檢查和過濾數(shù)據(jù)包。ACL通過將訪問控制列表應用到路由器接口來管理流量和檢查特定的數(shù)據(jù)包。任何經(jīng)過該接口的流量都要接受ACL中規(guī)則的檢測，以此決定被路由的分組是被轉發(fā)還是被丟掉，從而過濾網(wǎng)絡流量。例如，可以允許E-mail流量被路由，但同時阻塞所有Telnet流量。限制網(wǎng)絡流量，提高網(wǎng)絡性能。ACL能夠按照優(yōu)先級或用戶隊列處理數(shù)據(jù)包。通過排隊確保路由器不去處理那些不需要的分組。排隊限制了網(wǎng)絡流量，減少了網(wǎng)絡擁塞。限制或減少路由更新的內(nèi)容。ACL能夠限定或簡化路由器選擇更新的內(nèi)容，這些限定常用于限定關于特定網(wǎng)絡的信息通過網(wǎng)絡傳播。提供網(wǎng)絡訪問的基本安全級別。通過在路由器上配置ACL，可以允許一個主機訪問網(wǎng)絡的一部分，而阻止其他主機訪問相同的區(qū)域。第6頁，課件共36頁，創(chuàng)作于2023年2月配置ACL的原則

順序處理原則。對ACL表項的檢查是按照自上而下的順序進行的，從第一行起，直到找到第一個符合條件的行為止，其余的行不再繼續(xù)比較。因此必須考慮在訪問控制列表中放入語句的次序，比如測試性的語句最好放在ACL的最頂部。最小特權原則。對ACL表項的設置應只給受控對象完成任務所必須的最小的權限。如果沒有ACL，則等于permitany。一旦添加了ACL，默認在每個ACL中最后一行為隱含的拒絕(denyany)。如果之前沒找到一條許可(permit)語句，意味著包將被丟棄。所以每個ACL必須至少有一行permit語句，除非用戶想將所有數(shù)據(jù)包丟棄。最靠近受控對象原則。盡量考慮將擴展的ACL放在靠近源地址的位置上。這樣創(chuàng)建的過濾器就不會反過來影響其他接口上的數(shù)據(jù)流。另外，盡量使標準的ACL靠近目的地址，由于標準ACL只使用源地址，如果將其靠近源會阻止報文流向其他端口。第7頁，課件共36頁，創(chuàng)作于2023年2月9.1.2ACL的工作原理圖9-2ACL匹配性檢查第8頁，課件共36頁，創(chuàng)作于2023年2月9.2配置標準訪問控制列表最廣泛使用的訪問控制列表是IP訪問控制列表，IP訪問控制列表工作于TCP/IP協(xié)議組。按照訪問控制列表檢查IP數(shù)據(jù)包參數(shù)的不同，可以將其分成標準ACL和擴展ACL兩種類型。此外CiscoIOS11.2版本中還引入了IP命名ACL類型。從本節(jié)開始分別介紹各種ACL的配置方法。第9頁，課件共36頁，創(chuàng)作于2023年2月9.2.1標準ACL的工作過程圖9-3標準ACL的工作過程第10頁，課件共36頁，創(chuàng)作于2023年2月9.2.2配置標準ACL

1.定義標準ACLRouter(config)#access-listaccess-list-number{deny|permit}source[source-wildcard][log]其中的參數(shù)見表9.12．將標準ACL應用到某一接口上Router(config-if)#ipaccess-groupaccess-list-number{in|out}其中，參數(shù)in和out表示ACL作用在接口上的方向，兩者都是以路由器作為參照物的，如果in和out都沒有指定，那么默認為out。注意：在每個接口、每個協(xié)議、每個方向上只能有一個訪問控制列表。3.刪除已建立的標準ACLRouter(config)#noaccess-listaccess-list-number第11頁，課件共36頁，創(chuàng)作于2023年2月表9.1標準ACL參數(shù)及描述參數(shù)描述access-list-number訪問控制列表表號，用來指定入口屬于哪一個訪問控制列表。對于標準ACL來說，是一個從1到99或1300到1999之間的數(shù)字deny如果滿足測試條件，則拒絕從該入口來的通信流量permit如果滿足測試條件，則允許從該入口來的通信流量source數(shù)據(jù)包的源地址，可以是網(wǎng)絡地址或是主機IP地址source-wildcard(可選項)通配符掩碼，又稱反掩碼，用來跟源地址一起決定哪些位需要匹配log(可選項)生成相應的日志消息，用來記錄經(jīng)過ACL入口的數(shù)據(jù)包的情況第12頁，課件共36頁，創(chuàng)作于2023年2月關于通配符掩碼的使用說明表示成4位點分十進制形式。默認的通配符掩碼為。在通配符掩碼位中，0表示“檢查相應的位”，而1表示“不檢查(忽略)相應的位”。比如，源地址和通配符掩碼為55，表示路由器前3個8位組必須精確匹配，最后1個8位組的值可以任意。再如，如要指定IP地址為從到之間的所有子網(wǎng)，則通配符掩碼為55(31-16=15)。any可以表示任何IP地址，例如：

Router(config)#access-list10permitany

host表示一臺主機，例如：

Router(config)#access-list10permithost172.16.30.22

第13頁，課件共36頁，創(chuàng)作于2023年2月標準ACL配置示例一某企業(yè)銷售部、市場部的網(wǎng)絡和財務部的網(wǎng)絡通過路由器RTA和RTB相連，整個網(wǎng)絡配置RIPv2路由協(xié)議，保證網(wǎng)絡正常通信。要求在RTB上配置標準ACL，允許銷售部的主機PC1訪問路由器RTB，但拒絕銷售部的其他主機訪問RTB，允許銷售部、市場部網(wǎng)絡上所有其他流量訪問RTB。圖9-4標準ACL配置第14頁，課件共36頁，創(chuàng)作于2023年2月配置步驟如下：(1)配置標準ACL在路由器上RTB上配置如下：RTB(config)#access-list1permithost

0RTB(config)#access-list1deny55RTB(config)#access-list1permitany

RTB(config)#interfaces0/0/0RTB(config-if)#ipaccess-group1in(2)驗證標準ACL

① showaccess-lists命令RTB#showaccess-lists② showipinterface命令RTB#showipinterface

第15頁，課件共36頁，創(chuàng)作于2023年2月標準ACL配置示例二利用標準ACL限制虛擬終端訪問的問題。配置一個VTY訪問控制列表，只允許網(wǎng)絡/24中的主機00telnet路由器RTA。圖9-5用標準ACL限制Telnet訪問第16頁，課件共36頁，創(chuàng)作于2023年2月配置方法如下：RTA(config)#

access-list10permithost00

RTA(config)#linevty04RTA(config-line)#passwordciscoRTA(config-line)#loginRTA(config-line)#access-class10in注意：在配置接口的訪問時可以使用數(shù)字表號的或者命名的ACL只有數(shù)字的訪問列表才可以應用到虛擬連接中用戶可以連接所有的VTY，因此所有的VTY連接都應用相同的ACL第17頁，課件共36頁，創(chuàng)作于2023年2月9.3配置擴展的ACL擴展ACL比標準ACL功能更強大，使用得更廣泛，因為它可以基于分組的源地址、目的地址、協(xié)議類型、端口號和應用來決定訪問是被允許或者拒絕，因而擴展ACL比標準ACL提供了更廣闊的控制范圍和更多的處理方法。第18頁，課件共36頁，創(chuàng)作于2023年2月9.3.1擴展ACL的工作過程圖9-6擴展ACL的工作過程第19頁，課件共36頁，創(chuàng)作于2023年2月9.3.2配置擴展ACL1．定義擴展ACL

Router(config)#access-listaccess-list-number{deny|permit}protocolsource[source-wildcarddestinationdestination-wildcard][operatoroperand][established]

其中的參數(shù)說明見表9.2。2.將擴展ACL應用到某一接口上

Router(config-if)#ipaccess-groupaccess-list-number{in|out}3.刪除擴展ACLRouter(config)#

no

access-list

access-list-number

第20頁，課件共36頁，創(chuàng)作于2023年2月表9.2

擴展ACL參數(shù)及描述參數(shù)描述access-list-number訪問控制列表表號，使用一個100到199或2000到2699之間的數(shù)字來標識一個擴展訪問控制列表deny如果條件符合就拒絕后面指定的特定地址的通信流量permit如果條件符合就允許后面指定的特定地址的通信流量protocol用來指定協(xié)議類型，如IP、ICMP、TCP或UDP等source和destination數(shù)據(jù)包的源地址和目的地址，可以是網(wǎng)絡地址或是主機IP地址source-wildcard應用于源地址的通配符掩碼destination-wildcard應用與目的地的通配符掩碼位operator(可選項)比較源和目的端口，可用的操作符包括lt(小于)、gt(大于)、eq(等于)、neq(不等于)和range(包括的范圍)operand如果操作符位于源地址和源地址通配符之后，那么它必須匹配源端口。如果操作符位于目的地址和目的地址通配符之后，那么它必須匹配目的端口。range操作符需要兩個端口號，其他操作符只需要一個端口號established(可選項)指明TCP或UDP端口的十進制數(shù)字或名字。端口號可以從0到65535第21頁，課件共36頁，創(chuàng)作于2023年2月表9.3一些保留的TCP/UDP端口號端口號關鍵字描述7ECHO回顯20FTP-DATA文件傳輸協(xié)議(數(shù)據(jù))21FTP文件傳輸協(xié)議(控制)23TELNET終端連接25SMTP簡單郵件傳輸協(xié)議53DOMAIN域名服務器(DNS)69TFTP簡單文件傳輸協(xié)議80HTTP超文本傳輸協(xié)議(WWW)第22頁，課件共36頁，創(chuàng)作于2023年2月擴展ACL配置示例某企業(yè)銷售部的網(wǎng)絡和財務部的網(wǎng)絡通過路由器RTA和RTB相連，整個網(wǎng)絡配置RIPv2路由協(xié)議，保證網(wǎng)絡正常通信。要求在RTA上配置擴展ACL，實現(xiàn)以下4個功能：(1)允許銷售部網(wǎng)絡的主機訪問WWWServer0；(2)拒絕銷售部網(wǎng)絡的主機訪問FTPServer0；(3)拒絕銷售部網(wǎng)絡的主機Telnet路由器RTB；(4)拒絕銷售部主機0

Ping路由器RTB。圖9-7擴展ACL的配置第23頁，課件共36頁，創(chuàng)作于2023年2月配置方法如下：RTA(config)#access-list100permittcp55host0eq80RTA(config)#access-list100denytcp55host0eq20RTA(config)#access-list100denytcp55host0eq21RTA(config)#access-list100denytcp55hosteq23RTA(config)#access-list100denytcp55hosteq23RTA(config)#access-list100denyicmphost0hostRTA(config)#access-list100denyicmphost0host

RTA(config)#access-list100permitipanyanyRTA(config)#interfacef0/0RTA(config-if)#ipaccess-group100in第24頁，課件共36頁，創(chuàng)作于2023年2月9.4命名的訪問控制列表CiscoIOS軟件11.2版本中引入了IP命名ACL，命名ACL允許在標準ACL和擴展ACL中使用一個字母數(shù)字組合的字符串(名字)代替前面所使用的數(shù)字來表示ACL表號。使用命名ACL有以下的好處：不受99條標準ACL和100條擴展ACL的限制網(wǎng)絡管理員可以方便地對ACL進行修改，而無須刪除ACL之后再對其進行重新配置

第25頁，課件共36頁，創(chuàng)作于2023年2月配置命名訪問控制列表步驟一：Router(config)#ipaccess-list{extended|standard}name步驟二：Router(config-{std-|ext-}nacl)#permit{source[source-wildcard]|any}或Router(config-{std-|ext-}nacl)#

deny{source[source-wildcard]|any}

第26頁，課件共36頁，創(chuàng)作于2023年2月命名ACL配置示例

圖9-8命名ACL網(wǎng)絡配置拓撲第27頁，課件共36頁，創(chuàng)作于2023年2月1.配置標準命名ACL要求：在路由器RTA上進行配置，以阻塞來自某部門子網(wǎng)/24的通信流量，而允許轉發(fā)所有其他部門的通信流量。RTA(config)#ipaccess-liststandardacl_stdRTA(config-std-nacl)#

deny55RTA(config-std-nacl)#permitanyRTA(config-std-nacl)#

exitRTA(config)#

interfacef0/0RTA(config-if)#ipaccess-groupacl_stdin第28頁，課件共36頁，創(chuàng)作于2023年2月2.配置擴展命名ACL要求：只需拒絕該部門子網(wǎng)中的FTP和Telnet通信流量通過f0/0

RTA(config)#ipacess-listextendedacl_extRTA(config-ext-nacl)#denytcp55anyeq21RTA(config-ext-nacl)#denytcp55anyeq20RTA(config-ext-nacl)#denytcp55anyeq23RTA(config-ext-nacl)#

permitipanyany

RTA(config-ext-nacl)#exitRTA(config)#

interfacef0/0RTA(config-if)#ipaccess-groupacl_extin第29頁，課件共36頁，創(chuàng)作于2023年2月利用命名ACL刪除指定的語句示例命名ACL允許刪除任意指定的語句，但新增的語句只能被放到ACL的結尾處。下面的例子說明了如何刪除和新增ACL語句。Router(config)#ipaccess-listextendedtestRouter(config-ext-nacl)#permitiphosthostRouter(config-ext-nacl)#permittcpanyhosteqwwwRouter(config-ext-nacl)#permiticmpanyanyRouter(config-ext-nacl)#

permitudpanyhosteqtftpRouter(config-ext-nacl)#^zRouter#

showaccess-listsRouter#configureterminalRouter(config)#

ipaccess-listextendedtestRouter(config-ext-nacl)#nopermiticmpanyanyRouter(config-ext-nacl)#

permittcpanyhosteqtelnetRouter(config-ext-nacl)#^zRouter#

showaccess-lists

第30頁，課件共36頁，創(chuàng)作于2023年2月本章小結訪問控制列表使用包過濾技術，在路由器上讀取第3層或第4層包頭中的信息，如源地址、目的地址、源端口、目的端口以及上層協(xié)議等，根據(jù)預先定義的規(guī)則決定哪些數(shù)據(jù)包可以接收、哪些數(shù)據(jù)包需要拒絕，從而達到訪問控制的目的。在路由器上實現(xiàn)的訪問控制列表是一個連續(xù)的條件判斷語句的集合，這些語句對數(shù)據(jù)包的地址或上層協(xié)議進行網(wǎng)絡通信流量的控制，從而提供基本的網(wǎng)絡通信流量過濾的能力，對網(wǎng)絡安全起到很好的保護作用。標準ACL只檢查可以被路由的數(shù)據(jù)包的源地址，從而允許或拒絕基于網(wǎng)絡、子網(wǎng)或主機IP地址的某一協(xié)議通過路由器出口。擴展ACL可以基于分組的源地址、目的地址、協(xié)議類型、端口號和應用來決定訪問是被允許或者拒絕。它比標準ACL功能更強大，使用得更廣泛。命名ACL允許在標準ACL和擴展ACL中使用一個字母數(shù)字組合的字符串(名字)代替前面所使用的數(shù)字來表示ACL表號。使用命名ACL的優(yōu)點是不受99條標準ACL和100條擴展ACL的限制，同時，網(wǎng)絡管理員可以方便地對ACL進行修改第31頁，課件共36頁，創(chuàng)作于2023年2月本章習題一、填空題1．ACL分為

和

兩種類型。2．當應用ACL時，以

為參照物區(qū)分in和out的方向。3．ACL最后一條隱含