数据通信网络组建与维护(项目式教学课件) 项目6 网络的访问控制实施

1、ACL网络访问控制网络访问控制项目六项目六教学目标教学目标知识内容与要求知识内容与要求了解访问控制的基本原理；了解访问控制的基本原理；掌握访问控制列表的基本概念和作用掌握访问控制列表的基本概念和作用; 掌握访问控制列表的分类和工作原理；掌握访问控制列表的分类和工作原理；掌握访问控制列表使用的基本规则；掌握访问控制列表使用的基本规则；掌握标准访问控制列表与扩展访问控制列表的配置。掌握标准访问控制列表与扩展访问控制列表的配置。技能目标与要求技能目标与要求能够熟练进行能够熟练进行ACL配置；配置；能够运用能够运用ACL解决实际问题；解决实际问题；能够使用基于时间段的访问控制列表进行访问控制。能够使用

2、基于时间段的访问控制列表进行访问控制。项目描述与分析项目描述与分析 项目背景项目背景 某重点中学的校园网络拓扑结构图如图所示。校园网建成后，某重点中学的校园网络拓扑结构图如图所示。校园网建成后，满足了校区师生对信息化的需求，实现了校园网络资源的共享满足了校区师生对信息化的需求，实现了校园网络资源的共享。但由于在建设初期仅仅实现了互联互通，没有对网络进行安。但由于在建设初期仅仅实现了互联互通，没有对网络进行安全加固，给网络的使用和维护带来了很多问题。例如，行政办全加固，给网络的使用和维护带来了很多问题。例如，行政办公子网被学生经常访问，有部分学生登录到教务管理系统，也公子网被学生经常访问，有部分

3、学生登录到教务管理系统，也有学生在上课期间登录媒体服务器影响正常学习。为了保证校有学生在上课期间登录媒体服务器影响正常学习。为了保证校园网的安全，必须对校园网重新进行一系列的规划，希望能够园网的安全，必须对校园网重新进行一系列的规划，希望能够达到以下功能：达到以下功能： 1）禁止学生子网访问行政子网和教学子网；禁止学生子网访问行政子网和教学子网； 2）禁止学生子网访问财务系统和教务管理系统；禁止学生子网访问财务系统和教务管理系统； 3）禁止学生子网在上课时间访问媒体服务器；禁止学生子网在上课时间访问媒体服务器； 4）教务管理系统仅允许教学管理人员和教师子网访问；教务管理系统仅允许教学管理人员和

4、教师子网访问； 5）财务系统仅允许行政子网访问。财务系统仅允许行政子网访问。 网络拓扑设计与分析网络拓扑设计与分析三层交换机三层交换机三层交换机三层交换机目录目录基础知识：基础知识：ACL原理及应用原理及应用n 要增强网络安全性，网络设备需要具备控制某些访要增强网络安全性，网络设备需要具备控制某些访问或某些数据的能力。问或某些数据的能力。n 包过滤技术是一种被广泛使用的网络安全技术。它包过滤技术是一种被广泛使用的网络安全技术。它使用使用ACL来（访问控制列表）实现数据识别，并决来（访问控制列表）实现数据识别，并决定是转发还是丢弃这些数据包。定是转发还是丢弃这些数据包。n 由由ACL定义的报文匹

5、配规则，还可以被其它需要对定义的报文匹配规则，还可以被其它需要对数据进行区分的场合引用。数据进行区分的场合引用。引入引入IP包过滤技术介绍包过滤技术介绍 对路由器需要转发的数据包，先获取包头信息，然后和设定的规对路由器需要转发的数据包，先获取包头信息，然后和设定的规则进行比较，根据比较的结果对数据包进行转发或者丢弃。而实则进行比较，根据比较的结果对数据包进行转发或者丢弃。而实现包过滤的核心技术是访问控制列表。现包过滤的核心技术是访问控制列表。RInternet公司总部公司总部内部网络内部网络未授权用户未授权用户办事处办事处FDDITokenRingInt

6、ernet 访问控制列表简称为访问控制列表简称为ACL ACL （Access Control ListAccess Control List），），它是对数据包进行管理和限制的方法。它是对数据包进行管理和限制的方法。什么是访问控制列表什么是访问控制列表?哪些场合需要使用哪些场合需要使用ACLACL？允许或禁止对路由器或来自路由器的某些访问允许或禁止对路由器或来自路由器的某些访问QOSQOS与队列技术与队列技术策略路由策略路由数据速率限制数据速率限制端口流镜像端口流镜像NATNATACL的使用场合的使用场合目的目的IP地址地址源源IP地址地址协议号协议号目的端口目的端口段段(如如TCP报头报头

7、)数据数据数据包数据包(IP报头报头 )帧报头帧报头(如如HDLC) 使用使用ACL检测数据包检测数据包 拒绝拒绝允许允许ACL的判别依据五元组的判别依据五元组源端口源端口 标准标准ACL 仅以仅以作为过滤标准作为过滤标准 只能粗略的限制某一大类协议只能粗略的限制某一大类协议 扩展扩展ACL以以、作为过滤标准，可以精确的限制到某一种具体的协作为过滤标准，可以精确的限制到某一种具体的协议议 Inbound 或或 Outbound基于时间的基于时间的ACL 在标准和扩展在标准和扩展ACL基础上加上时间限制。基础上加上时间限制。ACL的分类的分类数据包出接口数据包出接口数据包入接口数据包入接口 AC

8、L处理过程处理过程允许允许?源地址、源地址、目的地址目的地址协议协议标准标准ACL标准访问控制列表只根据报文的标准访问控制列表只根据报文的源源IPIP地址地址信息制定规则信息制定规则接口接口接口接口从从/24来的数据包来的数据包不能通过不能通过从从/28来的数据包来的数据包可以通过可以通过DA= SA=DA= SA=分组分组分组分组扩展扩展ACL 扩展访问控制列表根据报文的扩展访问控制列表根据报文的源源IPIP地址、目的地址、目的IPIP地址、地址、IPIP承载的协议类型、协议特性承载的协议类型、协议特性等三、

9、四层信息制定规则等三、四层信息制定规则接口接口接口接口从从/24来，到来，到的的TCP端口端口80去的数据包去的数据包不能不能通过通过从从/24来，到来，到的的TCP端口端口23去的数据包去的数据包可以可以通过通过DA=, SA=TCP, DP=80, SP=2032DA=, SA=TCP, DP=23, SP=3176分组分组分组分组ACL具有方向性具有方向性 在路由器中使用访问控制列表时，访问控制列表是在路由器中使用访问控制列表时，访问控制列表是部署在路由器的某个接口的某个方向上

10、。因此，对于部署在路由器的某个接口的某个方向上。因此，对于路由器来说存在入口方向（路由器来说存在入口方向（InboundInbound）和出口方向（）和出口方向（OutboundOutbound）两个方向。）两个方向。 否否是是丢弃处理丢弃处理选择出接口选择出接口否否ACL?路由表路由表?数据包出接口数据包出接口ACL如何工作如何工作 数据包入接口数据包入接口通信工程系 交换与路由技术精品课程数据包出接口数据包出接口否否是是丢弃处理丢弃处理选择接口选择接口路由表路由表?否否ACL匹配控制匹配控制允许允许?是是ACL如何工作如何工作ACL?是是数据包入接口数据包入接口数据包出接口数据包出接口否否

11、是是丢弃处理丢弃处理选择接口选择接口路由表路由表?否否ACL匹配控制匹配控制允许允许?是是ACL如何工作如何工作ACL?是是数据包入接口数据包入接口否否ACL的匹配顺序的匹配顺序ACL内部处理具体过程：内部处理具体过程：丢弃处理丢弃处理是是目的接口目的接口拒绝拒绝拒绝拒绝是是匹配匹配第一条规则第一条规则?允许允许ACL的匹配顺序的匹配顺序ACL内部处理具体过程：内部处理具体过程：丢弃处理丢弃处理是是目的接口目的接口是是匹配匹配第一条规则第一条规则?否否下一条下一条?是是是是拒绝拒绝拒绝拒绝拒绝拒绝允许允许允许允许ACL的匹配顺序的匹配顺序ACL内部处理具体过程：内部处理具体过程：丢弃处理丢弃处

12、理是是目的接口目的接口是是匹配匹配第一条规则第一条规则?否否匹配匹配下一条下一条?匹配匹配最后一条最后一条?是是是是否否是是是是拒绝拒绝拒绝拒绝拒绝拒绝拒绝拒绝允许允许允许允许允许允许ACL的匹配顺序的匹配顺序ACL内部处理具体过程：内部处理具体过程：丢弃处理丢弃处理是是目的接口目的接口是是匹配匹配第一条规则第一条规则?否否匹配匹配下一条下一条?匹配匹配最后一条最后一条?是是是是否否是是是是*说明：当说明：当ACL的最后一条的最后一条不匹配时，系统使用隐含不匹配时，系统使用隐含的的进行处理！进行处理！拒绝拒绝拒绝拒绝拒绝拒绝拒绝拒绝允许允许允许允许允许允许否否ACL的使用位置的使用位置p 对于

13、标准对于标准ACLACL，由于它只能过滤源，由于它只能过滤源IPIP。为了不影响源。为了不影响源主机的通信，一般我们将标准主机的通信，一般我们将标准ACLACL放在离目的端比较放在离目的端比较近的地方。近的地方。p 扩展扩展ACLACL可以精确的定位某一类的数据流。为了不让可以精确的定位某一类的数据流。为了不让无用的流量占据网络带宽，一般我们将扩展无用的流量占据网络带宽，一般我们将扩展ACLACL放在放在离源端比较近的地方。离源端比较近的地方。 ACL的规则总结的规则总结p 按照由按照由上到下的顺序执行上到下的顺序执行，找到第一个匹配后既执行，找到第一个匹配后既执行相应的操作（相应的操作（然后

14、跳出然后跳出ACLACL）p 每条每条ACLACL的末尾的末尾隐含一条隐含一条deny anydeny any 的规则的规则p ACLACL可应用于某个具体的可应用于某个具体的IPIP接口的接口的出方向出方向或或入方向入方向p 在引用在引用ACLACL之前，要首先创建好之前，要首先创建好ACLACL目录目录ALC配置步骤配置步骤1：创建：创建ACL列表列表2：设置：设置ACL规则规则ACL配置步骤配置步骤3：将：将ACL应用到接口上应用到接口上 目录目录标准访问控制列表标准访问控制列表配置配置标准访问控制列表标准访问控制列表 标准访问控制列表：标准访问控制列表：根据数据包的源根据数据包的源IP

15、地址来允许或拒绝数据包；地址来允许或拒绝数据包；访问控制列表号从访问控制列表号从1到到99。标准访问控制列表标准访问控制列表 标准访问控制列表只使用源地址进行过滤，标准访问控制列表只使用源地址进行过滤，表明是允许还是拒绝表明是允许还是拒绝 标准访问控制列表标准访问控制列表标准访问控制列表的配置标准访问控制列表的配置第一步，使用第一步，使用access-list命令创建访问控制列表命令创建访问控制列表第二步，使用第二步，使用ip access-group命令把访问控制列表应命令把访问控制列表应用到某接口用到某接口Router(config)#access-list access-list-num

16、ber permit | deny source source- wildcard logRouter(config-if)#ip access-group access-list-number in | out 第三步，测试第三步，测试1显示所有或指定表号的显示所有或指定表号的ACL 的内容的内容Show access-listsacl-number/name 2查看某物理端口是否应用了查看某物理端口是否应用了ACLshow ip interface任务一：标准任务一：标准ACL应用应用1（允许特定源的流量）（允许特定源的流量）F

17、a0/0Fa1/0S0 loopback3PC1PC2接口接口ip地址地址Router(config)# inte loopback 0Router(config-if)#ip addr Router(config-if)#no shutRouter(config)# inte fa0/0Router(config-if)#ip addr Router(config-if)#no shutRouter(config)#

18、 inte fa1/0Router(config-if)#ip addr Router(config-if)#no shut标准标准ACL应用（允许特定源的流量）应用（允许特定源的流量）第一步，创建允许来自第一步，创建允许来自的流量的的流量的ACL第二步，应用到接口第二步，应用到接口fa0/0和和fa1/0的出方向上的出方向上 Router(config)#access-list 1 permit 55Router(config)#interface fastethernet 0/

19、0Router(config-if)#ip access-group 1 outRouter(config)#interface fastethernet 1/0Router(config-if)#ip access-group 1 out测试测试p在路由器上在路由器上ping两台两台PC机。机。pPing pPing p均能均能ping 通通注意注意p取消访问控制列表的应用，两个步骤取消访问控制列表的应用，两个步骤p首先取消其应用在某个端口，如：首先取消其应用在某个端口，如：no ip access-group 1 outp其次，还可以删除访问控制列表

20、，如其次，还可以删除访问控制列表，如access-list 1 p可用命令可用命令Show access-listsshow ip interface进行验证配置的正确性进行验证配置的正确性任务二：任务二：标准标准ACL应用（拒绝特定主机的通信流量）应用（拒绝特定主机的通信流量）Fa0/0Fa1/0S0 loopback3PC1PC2标准标准ACL应用：拒绝特定主机的通信流量应用：拒绝特定主机的通信流量第一步，创建拒绝来自第一步，创建拒绝来自172.16

21、.4.13的流量的的流量的ACL第二步，应用到接口第二步，应用到接口fa1/0的入方向的入方向Router(config)#access-list 1 deny host 3 Router(config)#access-list 1 permit 55Router(config)#interface fastethernet 1/0Router(config-if)#ip access-group 1 in测试测试p在在PC2上测试上测试PC1与与FA0/0端口端口p不通不通任务三：任务三：标准标准ACL应用（拒绝特定子网的流量）应

22、用（拒绝特定子网的流量）Fa0/0Fa1/0S0 loopback3PC1PC2标准标准ACL应用：拒绝特定子网的流量应用：拒绝特定子网的流量第一步，创建拒绝来自子网第一步，创建拒绝来自子网的流量的的流量的ACL第二步，应用到接口第二步，应用到接口fa0/0的出方向的出方向Router(config)#access-list 1 deny 55Router(config)#accesslist 1

23、permit anyRouter(config)#interface fastethernet 0/0Router（config-if）#ip access-group 1 out测试测试p在在pc2上上ping fa0/0,pc1p能能ping 通通fa0/0,不能不能ping 通通pc1，为什么？为什么？p在在pc1上上ping fa1/0,pc2p能能ping 通通fa1/0,不能不能ping 通通pc2，为什么？为什么？目录目录扩展访问控制列表的配置扩展访问控制列表的配置扩展访问控制列表的配置扩展访问控制列表的配置p第一步，使用第一步，使用access-list命令创建扩展访问控命令创

24、建扩展访问控制列表制列表Router(config)#access-list access-list-number permit | deny protocol source source-wildcard destination destination-wildcard operator port established logeq portnumber等于端口号 portnumbergt portnumber大于端口号portnumberlt portnumber小于端口号portnumberneq portnumber不等于端口号portnumber扩展访问控制列表的配置扩展访问控制列表

25、的配置扩展访问控制列表的配置扩展访问控制列表的配置p第二步，使用第二步，使用ip access-group命令将扩展访命令将扩展访问控制列表应用到某接口问控制列表应用到某接口Router（config-if）#ip access-group access-list-number in | out 任务一：扩展任务一：扩展标准标准ACL应用（拒绝特定源、目的子应用（拒绝特定源、目的子网的网的ftp流量）流量）Fa0/0Fa1/0S0 loopback3PC

26、1PC2扩展扩展ACL应用应用1：拒绝：拒绝ftp流量通过流量通过E0p第一步，创建拒绝来自第一步，创建拒绝来自、去往、去往、ftp流量的流量的ACLp第二步，应用到接口第二步，应用到接口fa0/0的出方向的出方向Router(config)#access-list 101 deny tcp 55 55 eq 21Router(config)#access-list 101 permit ip any anyRouter(config)#interface fastthernet 0

27、/0Router（config-if）#ip access-group 101 out扩展扩展ACL应用应用2： 拒绝拒绝telnet流量通过流量通过E0p第一步，创建拒绝来自第一步，创建拒绝来自、去往、去往、telnet流量的流量的ACLp第二步，应用到接口第二步，应用到接口fa0/0的出方向上的出方向上Router(config)#access-list 101 deny tcp 55 55 eq 23Router(config)#access-list 101 permit i

28、p any anyRouter(config)#interface fastethernet 0/0Router（config-if）#ip access-group 101 outp思考：如何测试？思考：如何测试？p思考：架设思考：架设ftp服务器，在服务器，在PC机上，执行机上，执行命令：命令：FTP 服务器服务器IP地址即可。地址即可。命名的访问控制列表命名的访问控制列表p标准标准ACL和扩展和扩展ACL中可以使用一个字母数字中可以使用一个字母数字组合的字符串（名字）代替来表示组合的字符串（名字）代替来表示ACL的表号的表号 p命名命名IP访问列表允许从指定的访问列表删除单访问列表允许从

29、指定的访问列表删除单个条目个条目p如果添加一个条目到列表中，那么该条目被添如果添加一个条目到列表中，那么该条目被添加到列表末尾加到列表末尾 p不能以同一个名字命名多个不能以同一个名字命名多个ACLp在命名的访问控制列表下在命名的访问控制列表下 ，permit和和deny命命令的语法格式与前述有所不同令的语法格式与前述有所不同 命名的访问控制列表命名的访问控制列表p第一步，创建名为第一步，创建名为cisco的命名访问控制列表的命名访问控制列表p第二步，指定一个或多个第二步，指定一个或多个permit及及deny条件条件 p第三步，应用到接口第三步，应用到接口E0的出方向的出方向Router（co

30、nfig）#interface fastethernet 0/0Router（config-if）#ip access-group cisco outRouter(config)#ip access-list extended ciscoRouter（config-ext-nacl）# deny tcp 55 55 eq 23Router（config-ext-nacl）# permit ip any any查看访问控制列表查看访问控制列表Router#show ip interface fastethernet 0/0

31、FastEthernet0/0 is up, line protocol is up Internet address is /24 Broadcast address is 55 Address determined by setup command MTU is 1500 bytes Helper address is not set Directed broadcast forwarding is disabled Outgoing access list is cisco Inbound access list is not set Pro

32、xy ARP is enabled Local Proxy ARP is disabled Security level is default Split horizon is enabled ICMP redirects are always sent ICMP unreachables are always sent ICMP mask replies are never sent IP fast switching is enabled IP fast switching on the same interface is disabled 查看访问控制列表查看访问控制列表Router#s

33、how access-list Extended IP access list cisco 10 deny tcp 55 55 eq telnet 20 permit ip any anyZXR10(config)# acl standard number | name ZXR10(config-std-acl)# rule permit|deny |any time-range ZXR10(config)# IP 标准标准ACL使用列表号使用列表号 1 至至 99 缺省通配符为缺省通配符为 “no acl

34、 standard number ” 删除整个删除整个ACLv 在接口上应用在接口上应用ACLv 设置进入或外出方向设置进入或外出方向v “no ip access-group acl-number” 去掉接口上的去掉接口上的ACL设置设置ZXR10(config-if)#ip access-group acl-number in | out 配置标准配置标准ACL（中兴中兴）3S0Fei_1/1非非网段网段只允许两边的网络互相访问只允许两边的网络互相访问acl standard number 1rule 1 pe

35、rmit 55(rule 1 deny 55)隐含拒绝全部隐含拒绝全部acl standard number 2rule 1 permit 55interface Fei_1/2ip access-group 1 outinterface Fei_1/1ip access-group 2 outFei_1/2标准标准ACL配置示例配置示例1（中兴中兴）acl standard number 1rule 1 deny 3 rule 2 permit

36、 any(access-list 1 deny 55)隐含拒绝全部隐含拒绝全部interface fei_1/2ip access-group 1 outS0拒绝特定主机拒绝特定主机3对对网段的访问网段的访问非非网段网段Fei_1/1Fei_1/2标准标准ACL配置示例配置示例2（中兴中兴）3拒绝特定子网对拒绝特定子网对网段的访问网段的访问3S0非非172

37、.16.0.0网段网段acl standard number 1 rule 1 deny 55rule 2 permit any(access-list 1 deny 55)interface fei_1/2ip access-group 1 outFei_1/1Fei_1/2标准标准ACL配置示例配置示例3（中兴中兴）扩展扩展ACL的配置的配置（中兴中兴）ZXR10(config)#l 设置扩展设置扩展ACLZXR10(config)# acl extend number |name ZXR10(config-ex

38、t-acl)# rule permit|deny |any |any icmp-code ZXR10(config)# ip access-group acl-number in | out l 应用到接口应用到接口说明：说明：1）可以是关键字可以是关键字icmp，ip，tcp，udp 之一，或者代表之一，或者代表 IP 协议协议号的从号的从0 到到254 的一个整数；的一个整数；2）表示端口操作符，可以是表示端口操作符，可以是le（小于等于）、（小于等于）、ge（大于等于）、（大于等于）、eq（等于）之一，端口操作符只对（等于）之一，端口操作符只对TCP和和UDP协议有效；协议有效； acl

39、 extend number 101rule 1 deny tcp 55 55 eq 21rule 2 deny tcp 55 55 eq 20rule 3 permit ip any any interface fei_2/1ip access-group 101 out拒绝从子网拒绝从子网 到子网到子网 通过通过fei_ 2/1口出去的口出去的FTP访问访问 允许其他所有流量允许其他所有流量扩展扩展ACL

40、的配置实例的配置实例1（中兴中兴）3S0非非网段网段Fei_1/1Fei_2/1acl extend number 101rule 1 deny tcp 55 any eq 23rule 2 permit ip any anyinterface fei_ 2/1ip access-group 101 out扩展扩展ACL的配置实例的配置实例2（中兴中兴）3S0v仅拒绝从子网仅拒绝从子网 通过通过 fei_ 2/1口外出的口外出的Telnet v允许其他所有流量允许其他所有流量非非网段网段Fei_1/1Fei_2/1基于时间的基于时间的ACL配置配置（中兴中兴）（1 1）创建）创建time-rangetime-range列表列表 （2 2）设置时间段）设置时间段1 1）配置绝对时间段，）配置绝对时间段， 2 2）配置相对时间段）配置相对时间段ZXR10(config)#time