第二章访问控制列表ACL

1、使用访问控制列表使用访问控制列表(ACL)(ACL)管理管理IPIP流量流量模块模块 6 目标目标本模块完成后本模块完成后,你能你能: 对于一个给定的路由器对于一个给定的路由器,你能使用你能使用IOS命令配置标命令配置标准访问列表和扩展访问列表准访问列表和扩展访问列表,并能熟练的应用并能熟练的应用NAT/PAT(网络地址转换网络地址转换/端口地址转换端口地址转换)来访问外来访问外部网络部网络. 使用使用show命令显示访问控制列表的内容命令显示访问控制列表的内容;并通过并通过观察记数器的数值来确定访问列表条目是否生效观察记数器的数值来确定访问列表条目是否生效,从而明白你是否做的正确从而明白你是

2、否做的正确 2002, Cisco Systems, Inc. All rights reserved.3Access Lists(访问列表访问列表) 和它们和它们的应用的应用 目标目标完成本章后完成本章后,你能你能: 解释访问列表的目的并知晓他们常用的应用解释访问列表的目的并知晓他们常用的应用. 描述描述CISCO IOS软件系统是如何在接口的软件系统是如何在接口的”in”或或”out”方向上处理标准和扩展访问列表的方向上处理标准和扩展访问列表的. 当网络快速增长时当网络快速增长时,ACL能够更好地为企业控制流量的入能够更好地为企业控制流量的入出出. 为穿越路由器或交换机的流量实施过滤为穿越

3、路由器或交换机的流量实施过滤.为什么使用访问控制列表为什么使用访问控制列表(ACL)? 应用到路由器接口上控制数据流的通过应用到路由器接口上控制数据流的通过:Permit(允许允许)或或deny(拒绝拒绝)分组穿越路由器分组穿越路由器.允许或拒绝到路由器的允许或拒绝到路由器的vty(虚拟终端虚拟终端)访问访问.如果没有访问控制列表如果没有访问控制列表,所有的数据流都能穿越路由器的接口随所有的数据流都能穿越路由器的接口随意访问意访问.访问列表（访问列表（ACL）的应用）的应用 依照企业策略对各种不同类型的分组在不同情况下实行专门的依照企业策略对各种不同类型的分组在不同情况下实行专门的控制。控制。

4、访问列表的其他应用访问列表的其他应用 标准访问列表（标准访问列表（standard access lists) 只检查分组的源地址信息只检查分组的源地址信息 允许或拒绝的是整个协议栈允许或拒绝的是整个协议栈 扩展访问列表（扩展访问列表（extended access lists) 可以同时检查源和目的地址信息可以同时检查源和目的地址信息 可针对于三层或四层协议信息进行控制，是目前使用可针对于三层或四层协议信息进行控制，是目前使用非常广泛的安全控制方法。非常广泛的安全控制方法。访问控制列表的类型访问控制列表的类型 如何识别标准和扩展访问列表如何识别标准和扩展访问列表 标准标准IPIP访问列表访问

5、列表 (1-99)(1-99)：只使用源地址信息来做过滤决定：只使用源地址信息来做过滤决定. . 扩展扩展IPIP访问列表访问列表(100-199)(100-199)： 可以根据源和目的可以根据源和目的IPIP地址、协议类型、源和地址、协议类型、源和目的端口等信息综合作出过滤决定目的端口等信息综合作出过滤决定. . 延伸的标准延伸的标准IPIP访问列表编号：访问列表编号：1300-1999.1300-1999. 延伸的扩展延伸的扩展IPIP访问列表编号：访问列表编号：2000-2699.2000-2699. 其他的访问列表号码用来进行其他二层或三层网络协议的过滤。其他的访问列表号码用来进行其他

6、二层或三层网络协议的过滤。 命名的命名的IPIP访问控制列表：以列表名代替列表编号来定义访问控制列表：以列表名代替列表编号来定义IPIP访问控制列表，访问控制列表，同样包括标准和扩展两种列表，定义过滤的语句与编号方式相似。同样包括标准和扩展两种列表，定义过滤的语句与编号方式相似。 使用标准访问列表对分组实施过使用标准访问列表对分组实施过滤滤 使用扩展访问控制列表对分组实使用扩展访问控制列表对分组实施过滤施过滤 出站出站ACL是如何工作的？是如何工作的？ 如果没有任何如果没有任何ACL条目相匹配，则缺省丢弃此分组。条目相匹配，则缺省丢弃此分组。 ACL的过滤流程的过滤流程: 拒绝或允许拒绝或允许

7、 0 表示检查相应的位表示检查相应的位. 1 表示不检查（忽略）相应的位表示不检查（忽略）相应的位.通配符掩码位通配符掩码位: 如何检查相应的地如何检查相应的地址位址位 例如例如, 172.30.16.29 0.0.0.0 检查所有的地址位检查所有的地址位. 在访问控制列表中可以简写为在访问控制列表中可以简写为host 172.30.16.29. 检查所有的地址位检查所有的地址位(匹配所有匹配所有). 检查一个检查一个IP主机地址主机地址, 例如例如:通配符掩码匹配特定的主机地址通配符掩码匹配特定的主机地址 接受任何地址接受任何地址: 0.0.0.0 255.255.255.255可以缩写为：

8、可以缩写为：any. 测试条件测试条件: 忽略所有的地址位忽略所有的地址位(匹配所有匹配所有). An IP host address, for example:通配符掩码匹配任何通配符掩码匹配任何IP地址地址 如果你想实施路由通告过滤如果你想实施路由通告过滤,可以使用可以使用ACL结合路由通告命令结合路由通告命令 对需要通过的子网路由进行过滤对需要通过的子网路由进行过滤.比如你想让下列路由信息通过比如你想让下列路由信息通过: 172.30.16.0/24 to 172.30.31.0/24.地址地址 和和 通配符掩码通配符掩码: 172.30.16.0 0.0.15.255使用通配符掩码匹配

9、使用通配符掩码匹配IP子网子网 总结总结 访问列表是实施各种网络控制的强大的工具；不访问列表是实施各种网络控制的强大的工具；不仅对数据包通过路由器接口实施安全控制，而且仅对数据包通过路由器接口实施安全控制，而且可以起到控制路由信息的发布和节省带宽的作用。可以起到控制路由信息的发布和节省带宽的作用。 一个一个ACL是一组允许或拒绝的判断语句的集合；是一组允许或拒绝的判断语句的集合；它可以根据数据报的三层或四层协议信息进行流它可以根据数据报的三层或四层协议信息进行流量的过滤。量的过滤。ACL可以对通过路由器或到达路由器可以对通过路由器或到达路由器的流量进行过滤，但对路由器自身产生的流量不的流量进行

10、过滤，但对路由器自身产生的流量不能起到过滤作用。能起到过滤作用。 ACL作为一种安全控制的可选手段，网络管理员作为一种安全控制的可选手段，网络管理员可以根据企业的实际需要做流量的允许或拒绝操可以根据企业的实际需要做流量的允许或拒绝操作。作。 总结总结(继续继续) Inbound(入站入站)访问列表是先对数据报实施允许还是拒绝访问列表是先对数据报实施允许还是拒绝的操作的操作,如果允许的话再路由到路由器的相应出口如果允许的话再路由到路由器的相应出口. 而而outbound(出站出站)访问列表是先路由数据包访问列表是先路由数据包,再根据出口的再根据出口的访问规则实行数据包的允许还是拒绝的操作访问规则

11、实行数据包的允许还是拒绝的操作. Cisco IOS 对对ACL是按照从上至下顺序执行的是按照从上至下顺序执行的,因此因此,推荐推荐你把最严格和最常用的条目放在上面你把最严格和最常用的条目放在上面,而不常用和不严格而不常用和不严格的条目放在下面的条目放在下面,这样不仅严谨而且不浪费路由器的这样不仅严谨而且不浪费路由器的CPU资源资源. 流量的过滤与否是通过在流量的过滤与否是通过在ACL中地址和通配符掩码的比中地址和通配符掩码的比对实现的。对实现的。“1”为不关注；为不关注；“0”为关注位。为关注位。 人有了知识，就会具备各种分析能力，人有了知识，就会具备各种分析能力，明辨是非的能力。明辨是非的能力。所以我们要勤恳读书，广泛阅读，所以我们要勤恳读书，广泛阅读，古人说古人说“书中自有黄金屋。书中自有黄金屋。”通过阅读科技书籍，我们能丰富知识，通过阅读科技书籍，我们能丰富知识，培养逻辑思维能力；培养逻