第八講 訪問控制列表

？問題1公網(wǎng)互聯(lián)網(wǎng)用戶對外信息服務器員工上網(wǎng)信息服務器問題1作為公司網(wǎng)絡管理員，當公司領導提出下列要求時你該怎么辦？為了提高工作效率，不允許員工上班時間進行QQ聊天、MSN聊天等，但需要保證正常的訪問Internet，以便查找資料了解客戶及市場信息等。公司有一臺服務器對外提供有關本公司的信息服務，允許公網(wǎng)用戶訪問，但為了內部網(wǎng)絡的安全，不允許公網(wǎng)用戶訪問除信息服務器之外的任何內網(wǎng)節(jié)點。問題2問題2在企業(yè)內部網(wǎng)絡中，會存在一些重要的或者保密的資源或者數(shù)據(jù)，為了防止公司員工有意或無意的破壞或者訪問，對這些服務器應該只允許相關人員訪問。如何做到這一點？訪問控制列表(ACL)ACL概述基本ACL配置擴展ACL配置什么是ACL?ACL是路由器處理數(shù)據(jù)包轉發(fā)的一組規(guī)則，路由器利用這組規(guī)則來決定數(shù)據(jù)包允許轉發(fā)還是拒絕轉發(fā)如果不設置ACL，路由器將轉發(fā)網(wǎng)絡鏈路上所有數(shù)據(jù)包，當網(wǎng)絡管理設置了ACL以后可以決定哪些數(shù)據(jù)包可以轉發(fā)，哪些不可以轉發(fā)?？梢岳孟铝袇?shù)允許或拒絕發(fā)送數(shù)據(jù)包：源地址目的地址上層協(xié)議(例如：TCP&UDP端口號)ACL可以應用于該路由器上所有的可路由協(xié)議，對于一個接口上的不同網(wǎng)絡協(xié)議需要配置不同的ACL使用ACL檢測數(shù)據(jù)包為了決定是轉發(fā)還是拒絕數(shù)據(jù)包，路由器按照ACL中各條語句的順序來依次匹配該數(shù)據(jù)包當數(shù)據(jù)包與一條語句的條件匹配了，則忽略ACL中的剩余語句的匹配處理，該數(shù)據(jù)包將按照當前語句的設定來進行轉發(fā)或拒絕轉發(fā)的處理在ACL的最后都有一條缺省的“denyany”語句如果ACL中的所有顯式語句沒有匹配上，那么將匹配這條缺省的語句ACL可以實時的創(chuàng)建，即實時有效的；因此不能單獨修改其中的任何一條或幾條，只能全部重寫因此，不要在路由器上直接編寫一個大型的ACL，最好使用文字編輯器編寫好整個ACL后傳送到路由器上。路由器如何使用ACL（出站）檢查數(shù)據(jù)包是否可以被路由，可路由地將在路由表中查詢路由檢查出站接口的ACL如果沒有ACL，將數(shù)據(jù)包交換到出站的接口如果有ACL，按照ACL語句的次序檢測數(shù)據(jù)包直至有了匹配條件，按照匹配條件的語句對數(shù)據(jù)包進行數(shù)據(jù)包的允許轉發(fā)或拒絕轉發(fā)如果沒有任何語句匹配，將怎樣？——使用缺省的“denyany”(拒絕所有)語句出站標準ACL處理流程出站數(shù)據(jù)包進行路由表的查詢接口有ACL?匹配？列表中的下一項更多的項目？執(zhí)行條件允許Permit拒絕Deny否否無是是有向源站發(fā)送ICMP信息轉發(fā)數(shù)據(jù)包ACL不檢查路由器本身產(chǎn)生的數(shù)據(jù)包ACL只檢查其他來源的數(shù)據(jù)包ACL語句按自頂向下的順序進行處理，因此需要將最嚴格的語句放在列表頂部，最不嚴格的語句放在列表底部如果ACL中沒有找到匹配項，則執(zhí)行隱性拒絕語句每個接口的每個方向只能應用一個IPACL。ACL的特點ACL分類標準訪問控制列表：只對數(shù)據(jù)包中源地址進行檢查。擴展訪問控制列表：即檢查源地址，也檢查目標地址，以及數(shù)據(jù)包的上層協(xié)議。在全局配置模式下按序輸入ACL語句Router(config)#access-listaccess-list-number{permit/deny/remark}{test-conditions|remark}Lab-D(config)#access-list1remarkpermitmanageronlytoInternetLab-D(config)#access-list1permit0在接口配置模式中配置接口使用的ACLRouter(config-if)#{protocol}access-groupaccess-list-number{in/out}Lab-D(config-if)#ipaccess-group1out標準IPACL的配置{in/out}：指明對哪個方向的數(shù)據(jù)進行檢查access-list-number參數(shù)ACL有多種類型，access-list-number與ACL的類型有關下表顯示了主要的一些ACL類型與access-list-number的關系ACL類型access-list-number標準IP1~99or1300~1999擴展IP100~199or2000~2699AppleTalk600~699標準IPX800~899擴展IPX900~999IPXSAP1000~1099permit/deny/remark參數(shù)在輸入了access-list命令并選擇了正確的

access-list-number后，需要使用permit或

deny參數(shù)來選擇希望路由器采取的動作remark：在標準或擴展訪問控制列表中加入注釋或備注，便于理解訪問控制列表的含義。PermitDeny丟棄數(shù)據(jù)包，向源站發(fā)送ICMP消息轉發(fā)數(shù)據(jù)包{test-conditions}參數(shù)在ACL的{testconditions}部分，需要根據(jù)存取列表的不同輸入不同的參數(shù)使用最多的是希望控制的IP地址和通配符掩碼IP地址可以是子網(wǎng)、一組地址或單一節(jié)點地址路由器使用通配符掩碼來決定檢查地址的哪些位Lab-A(config)#access-list1deny0IP地址通配符掩碼通配符掩碼通配符掩碼指定了路由器在匹配地址時檢查哪些位忽略哪些位通配符掩碼中為“0”的位表示需要檢查的位，為“1”的位表示忽略檢查的位，這與子網(wǎng)掩碼中的意義是完全不同的0二進制方式的表示如下：11000000.00000101.00000101.00001010(源地址)00000000.00000000.00000000.00000000(通配符掩碼)通配符掩碼之后若干張幻燈片中將練習處理通配符掩碼，類似于子網(wǎng)掩碼，這需要一段時間掌握計算表示下列網(wǎng)絡中的所有節(jié)點的通配符掩碼：

答案：55這個通配符掩碼與C類地址的子網(wǎng)掩碼正好相反注意：針對整個網(wǎng)絡或子網(wǎng)中所有節(jié)點的通配符掩碼一般都是這樣的通配符掩碼練習計算表示下列子網(wǎng)中所有節(jié)點的通配符掩碼：224答案是：211與24正好相反二進制的形式11111111.11111111.11111111.11100000(24)00000000.00000000.00000000.00011111(1)為了證明通配符掩碼的工作，請看.32子網(wǎng)中的節(jié)點地址——511000000.00000101.00000101.00110111(5)節(jié)點地址11000000.00000101.00000101.00100000(2)控制ip地址00000000.00000000.00000000.00011111(1)通配符掩碼通配符掩碼練習在下面的例子中，藍色的位是必須匹配檢查的位11000000.00000101.00000101.00110111(5)節(jié)點地址11000000.00000101.00000101.00100000(2)控制的ip地址00000000.00000000.00000000.00011111(1)通配符掩碼必須牢記：通配符掩碼中為“0”的位表示需要檢查的位，為“1”的位表示忽略檢查的位在本例中，根據(jù)通配符掩碼中為0的位，比較數(shù)據(jù)包的源地址和控制的IP地址中相關的各個位，當每位都相同時，說明兩者匹配掩碼為92的4子網(wǎng)的控制IP地址和通配符掩碼?答案：43通配符掩碼練習掩碼為的子網(wǎng)的控制IP地址和通配符掩碼?答案：55掩碼為的子網(wǎng)的控制IP地址和通配符掩碼?答案：55掩碼為的子網(wǎng)的控制IP地址和通配符掩碼?答案：55通配符掩碼練習計算控制IP地址和通配符掩碼是比較復雜的，尤其是控制網(wǎng)絡中的一部分節(jié)點時為了控制網(wǎng)絡中一部分節(jié)點往往需要在二進制方式下進行計算例如：學生使用到27地址范圍，教師使用28到54地址范圍。這些地址處在相同的網(wǎng)絡中/24怎樣來計算？控制一段地址范圍內的節(jié)點對于學生使用的地址范圍首先，以二進制方式寫出第一個和最后一個節(jié)點地址。由于前三個8位組是相同的，所以可以忽略它們，在通配符掩碼中相應的位必須為“0”第一個地址：00000001最后一個地址：01111111其次，查找前面的兩者相同的位(下圖的藍色部分)0000000101111111這些相同的位將與前面的網(wǎng)絡地址部分(192.5.5)一樣進行匹配檢驗例子：地址區(qū)域到.127和.128到.254控制一段地址范圍內的節(jié)點第三，計算剩余節(jié)點地址部分的十進制值(127)最后，決定控制的IP地址和通配符掩碼控制IP地址可以使用所控制范圍內的任何一個節(jié)點地址，但約定俗成的使用所控制范圍的第一個節(jié)點地址上述相同的位在通配符掩碼中為“0”27對于教師部分地址：28(10000000)到54(11111110)答案：2827請思考兩者的不同例子：地址區(qū)域到.127和.128到.254控制一段地址范圍內的節(jié)點控制網(wǎng)絡/24中的所有偶數(shù)地址的控制IP地址和通配符掩碼？答案：54控制網(wǎng)絡/24中的所有奇數(shù)地址的控制IP地址和通配符掩碼？答案：54控制一段地址范圍內的節(jié)點由于ACL末尾都有一個隱含的“denyany”語句，需要在ACL前面部分寫入其他“允許”的語句使用上面的例子，如果不允許學生訪問而其他的訪問都允許，需要如下兩條語句：Lab-A(config)#access-list1deny27Lab-A(config)#access-list1permit55由于最后的一條語句通常用來防止由于隱含語句使得所有網(wǎng)絡功能失效，為了方便輸入，可以使用any

命令：Lab-A(config)#access-list1permitanyany命令眾多情況下，網(wǎng)絡管理員需要在ACL處理單獨節(jié)點的情況，可以使用兩種命令：Lab-A(config)#access-list1permit0或...Lab-A(config)#access-list1permithost0host命令Show命令showaccess-lists顯示在路由器上的所有配置好的ACLshowaccess-lists{name|number}顯示指定的ACLshowipinterface顯示接口上使用的ACL——入站和出站showrunning-config顯示當前的路由器的整個配置驗證ACL請參考下圖，為了限制網(wǎng)斷訪問網(wǎng)斷，考慮語句“deny55”放置在Lab-A路由器的E0接口上時，網(wǎng)絡中的數(shù)據(jù)通訊情況這樣所有網(wǎng)絡向外的通訊數(shù)據(jù)全部被拒絕標準ACL不處理目的地相關參數(shù)，因此，標準ACL應該放置在最接近目的地的地點標準ACL的正確放置位置標準訪問控制列表例標準訪問控制列表例假定人力資源網(wǎng)中，財務部門人員使用的IP地址為~94，相關領導使用的IP地址為40。給出標準訪問控制列表的配置，只允許財務部們人員和相關領導訪問財務網(wǎng)。假定人力資源網(wǎng)中，財務部門人員使用的IP地址為~33，相關領導使用的IP地址為4~67。給出標準訪問控制列表的配置，只允許財務部們人員和相關領導訪問財務網(wǎng)。標準訪問控制列表例例1答案Access-list1permit3Access-list1deny5Access-list1permit41例2答案Access-list1permitAccess-list1permit65Access-list1permit2限制對路由器的Telnet訪問建立一個標準的訪問控制列表在vty的配置模式下建立與ACL的關聯(lián)

Router(config)#line

vty04

Router(config)#access-classaccess-list-numin擴展ACL的編號為100–199，擴展ACL增強了標準ACL的功能增強ACL可以基于下列參數(shù)進行網(wǎng)絡傳輸?shù)倪^濾目的地址IP協(xié)議可以使用協(xié)議的名字來設定檢測的網(wǎng)絡協(xié)議或路由協(xié)議，例如：ICMP、TCP和UDP等等TCP/IP協(xié)議族中的上層協(xié)議可以使用名稱來表示上層協(xié)議，例如：“ftp”或“www”也可以使用操作符eq、gt、lt和neq(equalto,greaterthan,lessthan和notequalto)來處理部分協(xié)議例如：希望允許除了http之外的所有通訊，其語句是permittcpanyanyneq80擴展ACL概貌在全局配置模式下逐條輸入ACL語句Router(config)#access-listaccess-list-number{permit|deny}{protocol|protocol-keyword}{sourcesource-wildcard}[protocol-specificoptions]{destinationdestination-wildcard}[protocol-specificoptions]Lab-A(config)#access-list101denytcp5555eqtelnet在接口配置中將接口劃分到各個ACL中(與標準ACL的語法一樣)Router(config-if)#{protocol}access-groupaccess-list-number{in/out}Lab-A(config-if)#ipaccess-group101out擴展ACL的配置access-list-number

從100到199中選擇一個{protocol|protocol-number}

對于CCNA，僅僅需要了解ip和tcp——實際上有更多的參數(shù)選項{sourcesource-wildcard}與標準ACL相同{destinationdestination-wildcard}與標準ACL相同，但是是指定傳輸?shù)哪康腫protocol-specificoptions]本參數(shù)用來指定需要過濾的上層協(xié)議擴展的參數(shù)請復習TCP和UDP的端口號也可以使用名稱來代替端口號，例如：使用telnet來代替端口號23端口號協(xié)議名稱20，21FTP23Telnet25SMTP53DNS6980TFTPWWW端口號放置擴展ACL的正確位置在下圖中，需要設定網(wǎng)絡中的所有節(jié)點不能訪問地址為4服務器在哪個路由器的哪個接口上放置ACL?在RouterC的E0接口上放置這將防止中的所有機器訪問4，但是他們可以繼續(xù)訪問Internet由于擴展ACL可以控制目的地地址，所以應該放置在盡量接近數(shù)據(jù)發(fā)送源的路由器上。減少網(wǎng)絡資源的浪費。放置擴展ACL的正確位置Router-C(config)#access-list100denyip554Router-C(config)#access-list100permitipanyanyRouter-C(config)#inte0Router-C(config-if)#ipaccess-group100in使用ACL擴展訪問控制列表例如上圖，網(wǎng)絡中部門經(jīng)理使用的IP地址為,部門經(jīng)理可以訪問內網(wǎng)server及與內網(wǎng)結點通信，并訪問Internet，員工不能訪問server，但可以和內網(wǎng)其他節(jié)點通信，只允許員工訪問Internet的WWW的服務和收發(fā)郵件。答案Access-list100permitiphostanyAccess-listdenyip0.0.255host4

Access-listpermitip