网络互联及应用第6章 访问控制列表

1、网络互联及应用第第6 6章章 访问控制列表访问控制列表访问控制列表2022-2-14网络互联及应用2项目描述项目背景三方培训学校的校园内网，由主校区、分校区及生活区三大块组成，三个区域均通过Cisco Catalyst2621型路由器进行连接，并通过主校区的路由器连接到外网。分校区通过Cisco Catalyst2950交换机连接汽车培训部的若干台主机，生活区通过Cisco Catalyst2950交换机连接学生宿舍的若干台主机，网络拓扑结构如图1所示。2022-2-14网络互联及应用3网络拓扑图2022-2-14网络互联及应用4图1 三方培训学校校园内网路由拓扑图项目构成单元访问控制列表基础

2、 标准访问控制列表扩展访问控制列表 2022-2-14网络互联及应用5访问控制列表2022-2-14网络互联及应用6访问控制列表基础 单元目标及任务单元目标及任务了解访问控制列表的作用；了解访问控制列表的原理；了解访问控制列表的应用；了解访问控制列表的分类；理解应用访问控制列表的注意事项；掌握访问控制列表的通配符掩码；掌握不同类型的访问控制列表号；掌握访问控制列表命令的基本格式。2022-2-14网络互联及应用7访问控制列表的作用ACL就是用来在使用路由技术的网络里，识别和过滤那些由某些网络发出的或者被发送去某些网络的数据流量，以决定这些数据流量是应该转发还是丢弃的技术。随着网络的不断扩大，越

3、来越多不用种类的网络被连接起来。网络管理人员所面对的一个任务越来越显得紧迫和棘手，这就是在允许正当访问的同时，如何拒绝那些不受欢迎的访问，因为它们大多对网络的重要设备和数据具有危险性。在能够选择的管理网络数据流量的方法中，最简单方便且易于理解和使用的，就是ACL。ACL对网络的安全和性能都起着重要的作用，在网络安全方面，ACL通过对数据包的过滤，可以将特定的信息隔离在网络外部，保护内部网络中设备和数据的安全，同时又不影响正常的网络服务。同时，ACL还可以实现访问限制，起到限制网络流量、提高网络性能的作用。正是由于具备这样的特征，ACL成为实现防火墙的重要手段。2022-2-14网络互联及应用8

4、访问控制列表的原理ACL实际上是一系列的判断语句，这些语句是一种自上而下的逻辑排列关系。当把一个ACL放置在接口上时，被过滤的数据包会一个个地和这些语句的条件进行顺序的比较，以找出符合条件的数据包。当数据包不能符合一条语句的条件时，它将与下一条语句的条件比较，直到它符合某一条语句的条件为止。如果一个数据包与所有语句的条件都不能匹配，在ACL的最后有一条隐含的语句，它将会强制性地把这个数据包丢弃，如图2所示。2022-2-14网络互联及应用92022-2-14网络互联及应用10图2 ACL的操作过程访问控制列表的应用由于ACL是用来过滤数据流量的技术，所以它一定是被放置在路由器的接口上使用的。由

5、于在接口上数据流量有进接口（in）和出接口（out）两个方向，所以在接口上使用ACL也有进（in）和出（out）两个方向。进方向的ACL负责过滤进入接口的数量流量，出方向的ACL负责过滤从接口发出的数据流量。对于路由器的接口来说，在同一个接口上，每种被路由协议的ACL（如IP协议的访问控制列表、IPX协议的访问控制列表等）都可以配置两个，一个是进方向的（in），一个是出方向的（out）。ACL只能过滤经过路由器的数据包，对于路由器自己本身所产生的数据包，应用在接口上的ACL是不能过滤的。除了在串行接口、以太网接口等物理接口上应用ACL以实现控制数据流量的功能以外，ACL还具有很多其它的应用方式

6、，比如在虚拟终端线路接口（vty）上应用ACL，以实现允许网管员通过vty 接口远程登录（telnet）路由器的同时，阻止没有权限的用户远程登录路由器的功能。另外，ACL还可以应用在队列技术、按需拨号、NAT、基于策略的路由等多种技术中。2022-2-14网络互联及应用11访问控制列表的分类2022-2-14网络互联及应用12应用访问控制列表的注意事项 ACL的列表号指明了所使用的协议类型。的列表号指明了所使用的协议类型。 ACL的配置是基于协议、接口和方向的。的配置是基于协议、接口和方向的。 ACL的语句顺序决定了对数据包的控制顺序。的语句顺序决定了对数据包的控制顺序。 最有限制性的语句应放

7、在最有限制性的语句应放在ACL语句的首行。语句的首行。 先建立先建立ACL，再应用到接口。，再应用到接口。 ACL的语句不能逐条删除，只能一次性删除整个的语句不能逐条删除，只能一次性删除整个ACL。 ACL的隐含语句。的隐含语句。 ACL只能过滤穿过路由器的数据流量，不能过滤由路只能过滤穿过路由器的数据流量，不能过滤由路由器本身发出的数据包。由器本身发出的数据包。2022-2-14网络互联及应用13访问控制列表的通配符掩码 (1) 通配符掩码的概念在ACL中用来判断IP地址的网络位的掩码是通配符掩码（wildcard）。(2) 通配符掩码的作用通配符掩码是一个32位的数字字符串，它被用点号分成

8、4个8位组，每个8位组包含8位。在通配符掩码中，0表示“检查相应的位”，而1表示“不检查(忽略)相应的位”。通配符掩码与IP地址成对出现。在通配符掩码的地址位使用1或0表明如何处理相应的IP地址位。ACL使用通配符掩码来标识一个或几个地址是被允许，还是被拒绝。2022-2-14网络互联及应用14(3) ACL通配符掩码与IP子网掩码的区别尽管都是32 位的数字字符串，ACL通配符掩码跟IP子网掩码的工作原理是不同的。在IP子网掩码中数字1和0用来决定是网络、子网还是相应的主机IP地址。正如刚才所讲的，在ACL 通配符掩码中，掩码位的数字1和0用来决定相应的IP地址是被忽略，还是被检查。ACL通

9、配符掩码和IP子网掩码正好相反，所以习惯上将通配符掩码称为“反码”。(4) 两种常见的通配符掩码通配符any。在ACL中，通常把 55 简写为any。通配符host。在ACL中，通常把类似 的通配符掩码简写为host 。2022-2-14网络互联及应用15不同类型访问控制列表的列表号 表1列出了部分协议的ACL列表号。表 1 ACL类型及其对应的列表号2022-2-14网络互联及应用16ACL类型列表号IP标准的199扩展的10099，13001999，20002699命名的名字（IOS1

10、1.2版本以后可用）AppleTalk600699IPX标准的800899扩展的900999SAP过滤10001099命名的名字（IOS11.2版本以后可用）访问控制列表命令的基本格式 l使用ACL时，必须先在全局模式下建立ACL。l建立ACL的命令基本格式如下：Router(config)# access-list access-list-number permit | deny test-conditions其中access-list-number 是指ACL列表号，起到区别不同类型ACL的作用。permit(允许)和deny（拒绝）可选项，两者选一。test-conditions是用来与

11、数据包信息做比较的条件。建立完ACL之后，要在接口上应用它，命令如下：Router(config-if)# protocol access-group access-list-number其中protocol是指协议类型。删除被建立的访问控制列表的命令如下：Router(config)# no access-list access-list-numberlACL的语句不能逐条删除，只能一次性删除整个ACL（把列表号删除）。2022-2-14网络互联及应用17访问控制列表2022-2-14网络互联及应用18标准访问控制列表 单元目标及任务单元目标及任务了解标准访问控制列表的工作过程；掌握标准访问

12、控制列表的配置命令格式；在三方培训学校校园网中进行标准访问控制列表的配置实训。2022-2-14网络互联及应用19标准访问控制列表的工作过程Standard ACL检查可以被路由的IP分组的源地址，并且把它与Standard ACL中的条件判断语句相比较，决定其是被允许，还是被拒绝。Standard ACL可以基于网络、子网及主机IP地址允许或拒绝整个协议组(如IP)。例如，从路由器接口进来的分组经过检查其源地址和协议类型，并且与Standard ACL条件判断语句相比较，如果匹配则执行允许或拒绝。如果该分组被允许通过，就从路由器的出口转发出去；如果该分组没有被允许，就简单地丢弃它。其工作过程

13、如图3所示。2022-2-14网络互联及应用202022-2-14网络互联及应用21图3 Standard ACL的工作过程标准访问控制列表的配置命令配置Standard ACL的方法如下：在全局模式下建立Standard ACL：Router(config)# access-list access-list-number permit | deny source source-wildcard其中access-list-number是指Standard ACL的列表号，范围为1-99。source表示源IP地址，source-wildcard是该地址的通配符掩码。当一系列的建立Standar

14、d ACL的命令语句都使用同一个列表号时，这些语句就组成了一个Standard ACL，其与数据包信息相比较的顺序就是命令语句键入的顺序。在接口模式上应用Standard ACL的命令如下：Router(config-if)# ip access-group access-list-number in | out其中in | out是在路由器接口上应用Standard ACL的方向，默认是out（出方向）。2022-2-14网络互联及应用22标准访问控制列表的配置实训l步骤1：在分校区Branch_Router路由器上建立动态路由Branch_Router (config)# router r

15、ipBranch_Router (config-router)# network Branch_Router (config-router)# network l步骤2：在主校区Teaching_Router路由器上建立动态路由Teaching_Router (config)# router ripTeaching_Router (config-router)# network Teaching_Router (config-router)# network Teaching_Router (c

16、onfig-router)# network 2022-2-14网络互联及应用23l步骤3：在生活区Living_Router路由器建立动态路由Living_Router (config)# router ripLiving_Router (config-router)# network Living_Router (config-router)# network l步骤4：在分校区路由器Branch_Router上创建Standard ACL，禁止学生宿舍的主机访问汽车培训部的主机。 Branch_Router (

17、config) # access-list 99 deny 55Branch_Router (config) # access-list 99 permit anyBranch_Router (config) # interface fastethernet 0/1 Branch_Router (config-if) # ip access-group 99 out2022-2-14网络互联及应用24访问控制列表2022-2-14网络互联及应用25扩展访问控制列表 单元目标及任务单元目标及任务了解扩展访问控制列表的工作过程；掌握扩展访问控制列表的配置命令格

18、式；在三方培训学校校园网中进行扩展访问控制列表的配置实训。2022-2-14网络互联及应用26扩展访问控制列表的工作过程Extended ACL比Standard ACL使用得更广泛，因为它提供了更大的弹性和控制范围。Extended ACL既可检查分组的源地址和目的地址，也可检查协议类型和TCP或UDP的端口号。Extended ACL可以基于分组的源地址、目的地址、协议类型、端口地址和应用来决定访问是允许还是拒绝。Standard ACL只能禁止或拒绝整个协议集，而Extended ACL可以允许或拒绝协议集中的某些协议。例如，允许HTTP而拒绝FTP。路由器根据Extended ACL来

19、检查分组的工作过程如图4所示。2022-2-14网络互联及应用272022-2-14网络互联及应用28图4 路由器根据Extended ACL来检查分组的工作过程扩展访问控制列表的配置命令l配置Extended ACL的方法如下：l在全局模式下建立Extended ACL：Router(config)# access-list access-list-number permit | deny protocol source source wildcard operator port destination destination- wildcard operator port establis

20、hed log其中access-list-number是指Extended ACL的列表号，范围为100-199，13001999，20002699；source source-wildcard表示源IP地址和源地址的IP地址的通配符掩码；destination destination-wildcard 表示目的IP地址和目的IP地址的通配符掩码；operator port表示端口号；“ ”中的是可选项。established可选项比较特殊，在访问控制列表语句中键入该可选项，可以在拒绝数据包通过的方向上，让已经建立起会话连接的TCP数据流通过（如TCP的ACK确认包），从而达到单向访问的目的。

21、在防火墙上经常使用带有established可选项的Extended ACL语句，以达到在防止外部攻击的同时企业内部的用户可以正常地与Internet连接的目的。l从该命令可以看出，Extended ACL比Standard ACL具有更强的灵活性。2022-2-14网络互联及应用29l在接口模式上应用Extended ACL的命令如下：Router(config-line)#access-class access-list-number in | out其中in | out是在路由器接口上应用Extended ACL的方向，默认是out（出方向）。l其实在接口上应用访问控制列表的命令格式，E

22、xtended ACL和Standard ACL是一样的，只不过所使用的列表号不同而已。2022-2-14网络互联及应用30扩展访问控制列表的配置实训l步骤1：建立各路由器的动态路由（略，请参考Standard ACL中的配置）l步骤2：在生活区路由器Living_Router上创建Extended ACL，禁止学生宿舍的主机PC4访问汽车培训部的主机PC1，而其它主机之间则能正常通信。Living_Router (config-router)# exitLiving _Router (config) # access-list 199 deny ip host host Living _Router (config) # access-list 199 permit any anyLiving _Router (config) # interface fastethernet 0/0 Living _Router (config-if) # ip acc