网络互联技术与实践第15章使用访问控制列表管理数据流

15.1任务描述第15章:使用访问控制列表管理数据流某公司组建自己的企业网，在企业网内有公司的财务处、公司领导、企业员工等部门，并且其合作伙伴的局域网也接入了其企业网。为保证公司信息安全，公司决定不允许合作伙伴的局域网访问公司的财务处，但允许与其它部门的主机之间通信。15.2相关知识第15章:使用访问控制列表管理数据流15.2.1访问控制列表概述15.2.2通配符掩码位15.2.3标准访问控制列表15.2.1访问控制列表概述分类过滤ACL功能在路由器使用访问控制列表（AccessControlList，缩写ACL，）使其成为一个包过滤防火墙就是其中方法之一，可以对经过的数据包进行过滤，以阻止黑客攻击网络、限定网络使用者的访问权限和时间，防止网络病毒的泛滥等。

ACL是一个控制网络的有力工具，使用ACL来完成两项主要功能:1.ACL功能15.2.1访问控制列表概述（1）分类分类可以让网络管理员对ACL定义的数据流进行特殊的处理，例如：识别通过虚拟专用网（VPN）连接进行传输时需要加密的数据流；识别要将其从一种路由选择协议重分发到另一种路由选择协议中的路由；结合使用路由过滤来确定要将哪些路由包含在路由器之间传输的路由选择更新中；结合使用基于策略的路由选择来确定通过专用链路传输哪些数据流；结合使用网络地址转换（NAT）来确定要转发哪些地址；结合使用服务质量（QoS）来确定发生拥塞时应调度队列中的哪些数据包。1.ACL功能15.2.1访问控制列表概述（2）过滤。ACL通过在路由器接口处控制路由数据包是被转发还是被阻塞来过滤网络通信流量。路由器根据ACL中指定的条件来检测通过路由器的每个数据包，从而决定是转发还是丢弃该数据包。ACL中的条件，既可以是数据包的源地址，也可以是目的地址，还可以是上层协议或其它因素。Cisco提供了拒绝或允许如下数据流通过的ACL：前往或来自特定路由器接口的数据流；前往或离开路由器VTY端口、用于管理路由器的Telnet数据流。默认情况下，所有数据流都被允许进入和离开所有的路由器接口。ACL可以当作一种网络控制的有力工具，用来过滤流入、流出路由器接口的数据包。1.ACL功能15.2.1访问控制列表概述2.建立ACL的作用（1）控制网络流量、提高网络性能。（2）控制用户网络行为。（3）控制网络病毒的传播。（4）提供网络访问的基本安全手段。15.2.1访问控制列表概述ACL定义了一组规则，它们进一步控制了进入入站接口的数据包、通过路由器进行转发的数据包以及离开路由器出站接口的数据包；ACL不影响源自当前路由器的数据包，而是一些指定路由器如何对流经指定接口的数据流进行处理的语句。3.ACL的工作原理入站ACL出站ACL。ACL工作方式15.2.1访问控制列表概述（1）入站ACL。负责过滤进入路由器接口的数据流量。在到来的数据包被转发到出站接口前对其进行处理。入站ACL的效率很高，因此数据包因未能通过过滤测试而被丢弃时，将节省查找路由选择表的时间。仅当数据包通过测试后，才对其做路由选择方面的处理。（2）出站ACL。负责过滤从路由器接口发出的数据流量。入站数据包首先被转发到出站接口，然后根据出站ACL对其进行处理。3.ACL的工作原理15.2.1访问控制列表概述3.ACL的工作原理丢弃数据包选择出站接口可路由/可桥接吗？入站接口数据包垃圾桶数据包Y有匹配的路由选择表条目吗？Y有ACL吗？N根据ACL语句进行检测YNN允许吗？Y数据包N数据包出站接口图15.1出站ACL的工作原理S015.2.1访问控制列表概述3.ACL的工作原理数据包进入接口YYY与当前语句匹配吗？YY目的接口N允许隐式拒绝N拒绝拒绝拒绝允许允许Y拒绝图15.2ACL的操作过程数据包垃圾桶与当前语句匹配吗？与当前语句匹配吗？15.2.1访问控制列表概述4.ACL的类型标准ACL扩展ACLACL类型源地址检查数据包源网络目的地址协议及数据所要访问的端口检查数据包15.2.1访问控制列表概述（1）创建编号的ACL时，将ACL编号作为全局ACL语句的第1个参数。根据ACL编号可以判断是标准ACL还是扩展ACL。5.标识ACL协议ACL表号的范围是有名字的访问列表吗？IP标准199是13001999（IOS从12.0开始支持）ExtendedIP（扩展）110199是20002699（IOS从12.0开始支持）ApleTalk600699以太网地址700799IPX标准800899是ExtendedIPX（扩展）900999是IPXserviceadvertisingprotocol1000109915.2.1访问控制列表概述（2）命名ACL使用字母数字字符串（名称）来标识标准ACL或扩展ACL，可以让管理员更灵活地处理ACL语句。（3）ACL语句序列号从IOS12.3版开始支持ACL语句序列号。ACL语句将加入到什么位置取决于是否使用了序列号。ACL语句序列号能够轻松在IPACL中添加或删除语句以及调整语句的顺序。通过使用ACL语句序列号将语句可以添加到ACL的任何位置。在12.3版之前或不使用，所有语句都将加入到ACL末尾。6.标识ACL15.2.1访问控制列表概述（1）根据所需的测试条件，选择标准还是扩展ACL以及编号的还是命名ACL。（2）在每个接口的每个方向上，对于每种协议只能应用一个ACL。在同一个接口上可应用多个ACL，但它们的方向和协议不能相同。（3）ACL的语句顺序决定了对数据包的控制顺序。在ACL中各描述语句的放置顺序是很重要的。当路由器决定某一数据包是被转发还是被阻塞时，CiscoIOS软件按照各描述语句在ACL中的顺序，根据各描述语句的判断条件，对数据包进行检查，一旦找到了某一匹配条件，就结束比较过程，不再检查以后的其他条件判断语句。6.定义ACL时所应遵循的规范15.2.1访问控制列表概述（4）最有限制性的语句应该放在ACL语句的首行。把最有限制性的语句放在ACL语句的首行或者语句中靠近前面的位置上，把“全部允许”或者“全部拒绝”这样的语句放在末行或接近末行，可以防止出现诸如本该拒绝的数据包被放过的情况。（5）将具体条件放在一般性条件的前面；将常发生的条件放在不常发生的条件前面。（6）在将ACL应用到接口之前，一定要先建立ACL。首先在全局模式下建立ACL，然后把它应用在接口的出方向或进方向上。在接口上应用一个空ACL，接口将允许所有数据流。6.定义ACL时所应遵循的规范15.2.1访问控制列表概述（7）在ACL末尾有一条隐含的“denyany”语句，所以每个ACL都应至少包含一条permit语句，否则所有数据流都将被拒绝。（8）根据应用ACL的方式，ACL可能过滤经过路由器的数据流量，也可能过滤前往或离开路由器的数据流，如前往或离开VTY线路的数据流，但不能过滤由路由器本身发出的数据包。（9）通常应将扩展ACL放在离要拒绝的数据流的信源尽可能近的地方。由于标准ACL没有指定目标地址，必须将标准ACL放在离要拒绝的数据流的目的地尽可能近的地方，以便信源无法将数据流传输到中转网络。7.定义ACL时所应遵循的规范15.2.2通配符掩码位地址过滤是根据ACL地址通配符进行的，通配符掩码是一个32比特位的数字字符串，它被用点号分成4个8位组，每组包含8比特位。在通配符掩码位中，0表示“检查相应的位”，而1表示“不检查（忽略）相应的位”。ACL使用通配符掩码位来标志一个或几个地址是被允许，还是被拒绝。通配符掩码位是“访问控制列表掩码位配置过程”的简称，和IP子网掩码不同。是一个颠倒的子网掩码（例如：55和）。15.2.2通配符掩码位128

64

32

16

8

4

2

0字节位位置和位的地址值0

0

0

0

0

0

0

0＝检查所有的地址位0

0

1

1

1

1

1

1＝忽略最后6个地址位0

0

0

0

1

1

1

1＝忽略最后4个地址位1

1

1

1

1

1

0

0＝检查最后2个地址位1

1

1

1

1

1

1

1＝不检查地址位（忽略字节位中的所有位）图15.4统配符验码位的匹配15.2.2通配符掩码位通配符掩码掩码的二进制形式描述00000000.00000000.00000000.00000000全部匹配，与host关键字等价5500000000.00000000.00000000.11111111只有前24位匹配5500000000.00000000.11111111.11111111只有前16位匹配5500000000.11111111.11111111.11111111只有前8位匹配5511111111.11111111.11111111.11111111全部不匹配，与any关键字等价5500000000.00000000.00000111.11111111只有前20位匹配5500000000.00000000.00000011.11111111只有前22位匹配15.2.2通配符掩码位（1）通配符any。表示所有主机，是通配符掩码55的简写形式。例如，允许所有IP地址的数据都通过，可使用以下两种ACL语句。Router(config)#access-list1permit55等于Router(config)#access-list1permitany（2）通配符host。表示一台主机，是通配符掩码的简写形式。例如，只检查IP地址为9的数据包，可以使用以下两种ACL语句。Router(config)#access-list1permit9等于Router(config)#access-list1permithost9

15.2.3访问控制列表的配置1.标准IPACL的配置过程步骤1：定义使用全局配置命令access-list来定义一个标准的访问控制列表，并给它分配一个数字表号。access-list在全局配置命令模式下运行。Router(config)#access-listaccess-list-number{perrmit|deny}source-address[source-wildcard]

其中:Access-list-number：访问控制列表表号；Deny：匹配的数据包将被过滤掉。Permit：允许匹配的数据包通过。Source-address：数据包的源地址，可以是主机IP地址，也可以是网络地址。Source-wildcard：用来跟源地址一起决定哪些位需要进行匹配操作。步骤2：应用到接口access-group命令可以把某个现存的访问控制列表域某个接口联系起来。在每个端口、每个协议、每个方向上只能有一个访问控制列表。access-group命令的语法格式如下：Router(config-if)#ipaccess-groupaccess-list-number{in|out}其中：access-list-number：访问控制列表表号，用来指出链接到这一接口的ACL表号。in|out：用来指示该ACL是被应用到流入接口（in），还是流出接口（out）。如果In和Out都没有指定，那么缺省地被认为为Out。删除：首先输入“noaccess-group”命令，并带有他的全部设定参数，然后再输入“noaccess-list”命令，并带有access-list-number。15.2.3访问控制列表的配置1.标准IPACL的配置过程15.2.3访问控制列表的配置2.扩展IPACL的配置过程步骤1：定义Router(config)#access-list

access-list-number{permit|deny}{protocol}source-addresssource-wildcard[operator

source-port-number]destination-addressdestination-wildcard

[operator

destination-port-number][established][options]

步骤2.应用到接口Router(config-if)#ipaccess-group

access-list-number{in|out}

15.2.3访问控制列表的配置3.查看ACL正确性的命令（1）Router#Show{protocol}access-list{access-list–number}：用来查看所建立的ACL。（2）Router#Show{protocol}interface{type/number}：用来查看在接口上应用的ACL及其方向。（3）Router#Showrunning-config：用来显示所配置过的所有命令，包括ACL。15.2.3访问控制列表的配置4.ACL的位置在适当的位置放置ACL可以过滤掉不必要的流量，使网络更加高效。ACL可以充当防火墙来过滤数据包并去除不必要的流量。ACL的放置位置决定了是否能有效减少不必要的流量。例如，会被远程目的地拒绝的流量不应该消耗通往该目的地的路径上的网络资源。每个ACL都应该放置在最能发挥作用的位置。基本的规则是：将扩展ACL尽可能靠近要拒绝流量的源。这样，才能在不需要的流量流经网络之前将其过滤掉。因为标准ACL不会指定目的地址，所以其位置应该尽可能靠近目的地。对于过滤从同一个源到同一个目的的数据流量，在网络中应用标准ACL和应用扩展ACL的位置是不同的。如图15.3所示。15.2.3访问控制列表的配置4.ACL的位置15.2.3访问控制列表的配置4.ACL的位置如果要禁止主机C访问主机A，可以在网络中使用标准ACL，命令如下：Router(config)#access-list

10deny

host1Router(config)#access-list

10

permit

any或者扩展ACL，命令如下：Router(config)#access-list

101

deny

iphost1host

Router(config)#access-list

101permit

ipanyany使用的位置如图15.3所示。如果把使用两种ACL的位置颠倒，比如在路由器的S0/0接口上应用标准ACL，那么主机C将会无法访问其他的网段的主机，如主机B，这显然是错误的。15.3方案设计首先，在公司内部的局域网，为了管理方便，划分4个子网，VLAN10为财务处，VLAN20为公司员工，VLAN30为公司领导，VLAN99为服务器使用。而公司的路由器上只有两个以太网口，将服务器连接到以太网端口f0/0，另4个子网连接到F0/1，通过在二层交换机上划分VLAN，在路由器上通过单臂露由来实现VLAN之间通信。为了不允许公司临时员工访问公司的FTP服务器和使用telnet，可以在通过在路由器上使用扩展ACL来实现。不允许合作伙伴的局域网访问公司的财务部门而可以访问公司的其它部门，可以在通过在路由器上使用标准ACL来实现。15.4任务实施为了实现本项目，构建如图15.4所示的网络实训环境，并完成如下的配置任务：（1）配置路由器的名称、控制台口令、超级密码；

（2）配置路由器各接口地址；（3）配置交换机VLAN；（4）配置单臂路由；（5）配置路由器的静态或动态路由协议；（6）配置访问控制列表。15.4.1

实训任务15.4任务实施15.4任务实施为了完成本项目，搭建如图15.4所示的网络实训环境，需要如下的设备及材料。（1）Cisco2811路由器（2台）；（2）CiscoCatalyst2960交换机（3台）；（3）PC机4台；（4）双绞线（若干根）；（5）反转电缆两根。（6）V.35电缆。15.4.2设备清单15.4任务实施步骤1：规划设计（1）规划各路由器名称，各接口IP地址、子网掩码如表15-2所示。15.4.3

实施过程15.4任务实施部门路由器名称接口IP地址子网掩码描述公司MrouterS0/0/0Linktohrouter-s0/0/0F0/0F0/0.1LinktoSw1

F0/0.2F0/0.3F0/0.4合作伙伴hrouterS0/0/0Linktomrouter-s0/0/0f0/0LinktoSw3表15-2路由器名称、接口IP地址15.4任务实施（2）规划各计算机的IP地址、子网掩码和网关如表15-3所示。15.4.3实施过程计算机VLANIDVLAN名称IP地址子网掩码网关PC1110finance0PC2120lead0PC3130employee0PC41

0Ftp99Server0表15-3计算机IP地址、子网掩码、网关15.4任务实施（3）规划交换机的名称、管理地址等在本项目中，交换机S2作为傻瓜交换机使用即可，不用进行配置。在交换机S2上需要划分VLAN，进行配置，端口所属VLAN见表15-4所示。交换机管理地址接口所属VLANS200/24f0/2Vlan99f0/3Vlan10F0/4Vlan20f0/15Vlan30表15-4交换机S1端口所属VLAN、管理地址15.4任务实施步骤2：实训环境准备硬件连接然后给设备加电。（1）在路由器、交换机和计算机断电的状态下，按照图15.4连接硬件。（2）分别打开设备，给各设备供电。步骤3：按照表15-3所列设置各计算机的IP地址、子网掩码、默认网关。步骤4：清除各网络设备配置。步骤5：测试网络连通性。使用ping命令分别测试PC11、PC21、PC31、PC41、FTP这5台计算机之间的连通性。15.4.3实施过程15.4任务实施步骤6：配置交换机在交换机S2上需要划分VLAN，配置端口。步骤7：配置公司路由器在PC11计算机上通过超级终端登录到路由器A上，进行配置。（1）配置路由器主机名（2）为路由器A各接口分配IP地址（单臂路由器）mrouter(config)#interfaceserial0/0/0mrouter(config)#descriptionlinktohrouter-s0/0/0mrouter(config-if)#ipaddress

mrouter(config-if)#clockrate

64000mrouter(config-if)#noshutdown

mrouter(config-if)#exit15.4.3实施过程15.4任务实施mrouter(config-if)#interface

fastethernet0/1.1mrouter(config-subif)#encapsulationdot1Q

200mrouter(config-subif)#ipaddress

mrouter(config-subif)#noshutdownmrouter(config-subif)#interface

fastethernet0/0.2mrouter(config-subif)#encapsulationdot1Q

10mrouter(config-subif)#ipaddress

mrouter(config-subif)#interface

fastethernet0/0.3mrouter(config-subif)#encapsulationdot1Q

20mrouter(config-subif)#ipaddress

mrouter(config-subif)#interface

fastethernet0/0.4mrouter(config-subif)#encapsulationdot1Q

30mrouter(config-subif)#ipaddress

15.4.3实施过程15.4任务实施（3）配置静态路由。mrouter#configure

terminalmrouter(config)#iproute

或mrouter(config)#iprouteserial0/0/0mrouter(config)#endmrouter#write15.4.3实施过程15.4任务实施步骤8：配置合作伙伴路由器在PC41计算机上通过超级终端登录到合作伙伴路由器上，进行配置。（1）配置路由器主机名（略）（2）为路由器B各接口分配IP地址（略）（3）配置静态路由。HRouter#configterminalhrouter(config)#iproute

hrouter(config)#iproute

hrouter(config)#iproute

hrouter(config)#iproute

15.4.3实施过程15.4任务实施步骤9：测试网络的连通性。（1）使用ping命令分别测试PC11、PC21、PC31、PC41、Ftp、PC0这6台计算机之间的连通性。此时应该是全通的。如果有部分不通，请检查原因。（2）在PC41计算机上，在MS-DOS方式下：PC>telnet（3）在PC41计算机上，在MS-DOS方式下：PC>ftp00Username:cisco331-Usernameok,needpasswordPassword:cisco15.4.3实施过程15.4任务实施步骤10：在路由器M上配置IP标准ACL//允许来自/24、/24和/24网段的主机发出的数据包通过mrouter(config)#access-list

10

permit

55mrouter(config)#access-list

10

permit

55mrouter(config)#access-list

10

permit

55//不允许来自和／24网段（合作伙伴）主机发出的数据包通过mrouter(config)#access-list

10

deny

5515.4.3实施过程15.4任务实施mrouter#showaccess-list

10StandardIPaccesslist10permit55(4match(es))permit55(4match(es))permit55(4match(es))deny55(6match(es))mrouter#//把ACL应用在公司路由器的fa0/0接口输出方向上mrouter(config)#interfacefastethernet0/0mrouter(config-if)#ipaccess-group10out15.4.3实施过程15.4任务实施步骤11：在路由器M上配置IP扩展ACLFTP使用端口20和21，因此为拒绝FTP需要指定eq20和eq21。//不允许使用ftpmrouter(config)#access-list110

deny

tcp5555eq20mrouter(config)#access-list

110

denytcp5555eq21//不允许telnetmrouter(config)#access-list110denytcp.0.0.255anyeq23//允许其它数据流mrouter(config)#access-list110

permit

ipanyany15.4.3实施过程15.4任务实施//查看ACLmrouter#showaccess-listsExtendedIPaccesslist110denytcp5555eq20denytcp5555eq21denytcp55anyeqtelnetpermitipanyanymrouter#mrouter#//把ACL应用在公司路由器的fa0/1.4接口输出方向上mrouter(config)#interfacefastethernet0/1mrouter(config-if)#ipaccess-group110in15.4.3实施过程15.4任务实施步骤11：测试网络的连通性。使用ping命令分别测试PC11、PC21、PC31、PC41这4台计算机之间的连通性。步骤12：配置各路由器的各种口令，然后远程登录。步骤13：保存路由器的配置文件。步骤14：清除给网络设备配置。15.4.3实施过程15.5扩展知识：命名访问控制列表不管是标准IP访问控制列表，还是扩展的IP访问控制列表，仅用编号区分的访问控制列表不便于网络管理员对访问控制列表作用的识别。所以，Cisco公司在IOS11.2中引入了命名的访问控制列表。命名的访问控制列表可用于标准和扩展的访问控制列表中，名称区分大小写，并且必须以字母开头。在名称的中间可以包含任何字母数字混合使用的字符，也可以在其中包含［］、｛｝、_、－、＋、／、\、.&、$、#、@、!以及？等特殊字符。名称的最大长度100个字符。15.5扩展知识：命名访问控制列表（1）名字能更直观地反映出访问控制列表完成的功能。（2）命名访问控制列表没有数目的限制。（3）命名访问控制列表允许删除个别语句，而编号访问控制列表只能删除整个访问控制列表。把一个新语句加入命名的访问控制列表需要删除和重新加入该新语句之后的各语句。（4）单个路由器上命名访问控制列表的名称在所有协议和类型的命名访问控制列表中必须是唯一的，而不同路由器上的命名访问控制列表名称可以相同。（5）命名访问控制列表是一个全局命令，它将使用者进入到命名IP列表的子模式，在该模式下建立匹配和允许／拒绝动作的相关语句。15.5.1命名IP访问控制列表的特性15.5扩展知识：命名访问控制列表1.标准命名ACL配置（1）给标准ACL命名的命令，语法格式如下：Router(config)#ipaccess-liststandardname（2）指定检测参数在ACL子模式下，通过指定一个或多个允许及拒绝条件，来决定一个数据包是允许通过还是被丢弃。语法格式如下：Router(config-std-nacl)#［sequence-number］deny{source-address[source-wildcard]|any}Router(config-std-nacl)#sequence-number］permit{source-address[source-wildcard]|any}（3）删除ACL（4）应用于接口15.5.2命名访问控制列表配置15.6扩展训练在Cisco的路由器设备上限制对远程登录的访问，只能通过应用访问控制列表来实现。通过在路由器的VTY线路上使用已经定义好的访问控制列表，就可以过滤访问路由器的VTY线路的数据流，将访问控制列表中允许的数据流放过，而拦截那些未经访问控制列表允许的数据流。假设网络技术公司的对该企业路由器进行管理的技术人员的IP地址是，则应该在该企业路由器的VTY线路上应用一个标准的访问控制列表，只允许以为源地址的数据包通过，如图15.5所示。15.6.1应用ACL控制远程登录路由设备S0/00图15.5用ACL限制vty的访问实例拓扑S0/0F0/0路由器B路由器A网络A网络BF0/015.6扩展训练15.6.1应用ACL控制远程登录路由设备在配置vty连接的访问控制列表时要注意：在配置接口的访问时可以使用带名字的或数字的ACL。只有数字的访问列表才可以应用到虚拟连接中。因为用户可以连接所有的虚拟终端，因此所有的虚拟终端连接都应用相同的ACL。应用vtyACL到虚拟连接时，使用命令access-class代替命令access-group。15.6扩展训练15.6.1应用ACL控制远程登录路由设备某企业有两个办公场所，一个办公场所在市中心，集中了一些管理、财务、人力资源等部门，另一个办公场所在开发区，集中了技术、工程、项目等部门。在市中心的企业总部安装了一台服务器，要求开发区的技术、工程、项目等部门的人员每天将工程进度、计划等信息传递到该服务器，同时出于企业信息安全考虑，公司领导要求开发区办公的各个部门只能访问总部的这台服务器，而不能访问其他的部门（如财务等）的主机。网络拓扑如图15.6所示，在本案例中，企业领导要求企业总部的网络能够访问开发区部门的网络，而不允许开发区部门的访问访问企业总部的网络，这就是一个典型的单方向访问的案例。15.6扩展训练15.6.2应用ACL实现单方向访问15.6扩展训练15.6.2应用ACL实现单方向访问所谓单方向访问，即一部分网络主机可以访问另一部分网络主机，而反之则不允许访问。对于单方向访问不能简单地通过ACL的deny语句来实现，因为在deny掉A主机向B主机的访问的同时，B主机也无法去访问A主机。虽然B主机的数据流可以到达A主机，但是A主机向B主机回复的数据流被ACLdeny掉了。要实现单方向访问，应该使用permit语句，让B主机访问A主机时，A主机回送的响应数据流通过，而不允许A主机发起的向B主机的访问通过，这样就实现了主机B向主机A的单方向访问。这时需要在permit语句中应用established参数。15.6扩展训练15.6.2应