访问控制列表acl

ACL访问控制列表AccessControlList

课程内容ACL定义ACL分类ACL应用WhatareACLs?访问控制列表是一系列允许或拒绝数据的指令的集合。ABCDEA说，请路由器Lab_a帮助我限制数据：1.阻止来自B、E的数据2.允许来自C、D的数据请每个源数据包接受检查：1.来自B、E的数据丢弃2.来自C、D的数据允许Lab_A接口检查访问控制列表ACL作用、分类ACL具有灵活的数据流过滤和控制能力。例如，网络管理者可能允许用户访问Internet，而不允许外部的用户登录到局域网中。ACL可以应用在路由器的接口上，也可以运行在路由协议上，更可以运行在Telnet线路上。分类：一般用号码区别访问列表类型。标准访问列表：只使用数据包的源地址作为测试条件。所有决定是基于源IP地址的。这意味着标准的访问列表基本上允许或拒绝整个协议组。扩展访问列表：可以测试IP包的第3层和第4层报头中的字段。包括源IP地址、目的IP地址、网络层报头中的协议字段（如，TCP、UDP、ICMP等）以及位于传输层报头中的端口号。扩展访问列表具有在控制流量时做更细粒度决定的能力。命名访问列表，从技术上来说实际上只有两种，命名的访问列表可以是标准的或扩展的访问列表，并不是一种真正的新类型列表。标准列表——基于源地址ABCDEA说，请路由器Lab_a帮助我限制数据：1.阻止来自B、E的数据2.允许来自C、D的数据请每个源数据包接受检查：1.来自B、E的数据丢弃2.来自C、D的数据允许Lab_A接口检查扩展列表——基于源地址、目的地址、协议、端口ABCDEA说，请路由器Lab_a帮助我限制数据：1.阻止来自B、E的FTP数据，但允许来自B、E的HTTP数据2.允许来自C、D的FTP数据，阻止来自C、D的Telnet数据Lab_A接口检查扩展访问列表具有在控制流量时做更细粒度决定的能力。ACL的方向——InboundorOutboundInbound进入路由器接口的方向Outbound出路由器的出口方向输入型访问列表：当访问列表被用于检测从接口输入的包时，包在进入路由器之前要经过访问列表的处理。路由器不能路由任何被拒绝的包，因为在路由之前这些包就会被丢弃掉。输出型访问列表：当访问列表用于检测从接口输出的包时，数据包已经应首先被路由到该输出接口，然后在进入该接口的输出队列之前经过访问列表的处理。即在被发送出去之前被处理。OutgoingPacketE0S0IncomingPacketAccessListProcessesPermit?Sourceand

Destination进入路由过程ProtocolACL的工作流程当一个数据报进入一个端口，路由器检查这个数据报是否可路由。如果是可以路由的，路由器检查这个端口是否有ACL控制进入数据报。如果有，根据ACL中的条件指令，检查这个数据报。如果数据报是被允许的，就查询路由表，决定数据报的目标端口。路由器检查目标端口是否存在ACL控制流出的数据报不存在，这个数据报就直接发送到目标端口。如果存在，就再根据ACL进行取舍。然后在转发到目的端口。ACL的运行过程1.从第一行开始，按顺序比较访问列表的每一行，例如，从第一行开始，然后转到第二行、第三行等等。2.比较访问列表的各行直到比较到匹配的一行，一旦数据包与访问列表的某一行匹配，遵照规定行事，不再进行后续比较。3.在每个访问列表的最后是一行隐含“denyany”（拒绝所有）语句，意味着如果数据包与访问列表中的所有行都不匹配，将被丢弃。ACL的配置指南——一般规则先创建访问列表，然后将列表应用到一个接口。任何应用到一个接口的访问列表如果不是现成的访问列表，那么此列表不会过滤流量。除非在访问列表未尾有permitany(允许所有)，否则所有和列表的测试条件都不符合的数据包将被丢弃。因为每个访问列表的最后是一行隐含“denyany”（拒绝所有）语句每个列表应当至少有一个允许语句，否则将会拒绝所有流量。每个接口、每个协议或每个方向只可以分派一个访问列表。这意味着如果创建了IP访问列表，每个接口只能有一个输入型访问列表和一个输出型访问列表。不能从访问列表中删除一行。如果试着这样做，将删除整个列表。可以从命名访问列表中删除单独的一行。访问列表设计为过滤通过路由器的流量，但不过滤路内器产生的流量，如路由器间交换路由信息等。ACL可以指定到一个或者多个端口。ACL的配置指南——放置位置标准访问列表尽可能放置在靠近目的地址的位置。不能将标准的访问列表放置在靠近源主机或源网络的位置，因为这样会过虑基于源地址的流量而造成不能转发任何数据。扩展访问列表尽可能放置在靠近源地址的位置。既然扩展的访问列表可以过滤每个特定的地址和协议，那么你不希望你的流量穿过整个网络后再被拒绝。通过将这样的列表放置在尽量靠近源地址的位置．可以在它使用宝贵的带宽之前过滤掉此流量。标准列表——靠近目的地址ABCDEA说，请路由器Lab_a帮助我限制数据：1.阻止来自E的数据位置？如果放在源地址E的较近的位置，那么E到所有的流量都会被禁止。即E哪都不能去。Here!!!!离目的近扩展列表——靠近源地址ABCDEA说，请路由器Lab_a帮助我限制数据：1.阻止来自E的FTP数据，但允许来自E的HTTP数据Here!!!!离源近如果放在离目的地址A较近的位置，那么E到A的FTP流量将会穿过整个网络，在到达目的地的时候却被告知不可以到达，浪费网络带宽。即E的FTP流量白来一趟位置？标准的ACL标准访问列表，通过使用数据包的源IP地址过滤流量。一般用号码区别访问列表类型。可以使用访问列表号1～99或1300～1999创建标准的访问列表。标准访问列表的创建根据“动作”＋“源地址”，即允许谁，拒绝谁的方法来创建。1.Lab_A(config)#access-list10deny

host拒绝主机2.Lab_A(config)#access-list10permit

55允许网络～255标准列表——靠近目的地址ABCDEA说，请路由器Lab_a帮助我限制数据：1.阻止来自E的数据位置？如果放在源地址E的较近的位置，那么E到所有的流量都会被禁止。即E哪都不能去。Here!!!!离目的近ACL的配置 P509创建一个ACL访问控制Router(config)#access-listaccess_list_number{permit|deny}{test_conditions}将访问控制绑定到接口上Router(config-if)#{protocol}access-groupaccess_list_number{in|out}关闭访问控制列表Router(config)#noaccess-listaccess_list_number通配掩码通配掩码（wildcardmask）是分成4字节的32bit数。通配掩码与IP地址位位配对，相应位为0/1，用于表示如何对待IP地址中的相应位。通配掩码某位是0，表示检查相应bit位的值；通配掩码某位是1，表示不检查(忽略)相应位的值。掩码的计算方法：方法一：55－网络的子网掩码如：40通配符为5方法二：IP地址块的大小，记住，除了0外，每个十进制数应为奇数如：CIDR为/27的通配符为1再如：一个B类地址，有8位的子网地址。想使用通配掩码，允许所有来自于网络～网络的数据报访问。块大小为：55–＝5.255通配掩码的工作原理通配掩码举例假设一个B类地址，有8位的子网地址。想使用通配掩码，允许所有来自于网络～网络的数据报访问。通配掩码举例假设一个B类地址，有8位的子网地址。想使用通配掩码，允许所有来自于网络～网络的数据报访问。首先，检查前面两个字节(171.30)，通配掩码中的前两个字节位全为0。由于没有兴趣检查主机地址，通配掩码的最后一个字节位全为1。通配掩码的第三个字节应该是15(00001111)。与之相应的通配掩码是55，将匹配子网到的IP地址。通配掩码举例IP地址的第三个字节为16(00010000)。通配掩码中的前四位为0，告诉路由器要匹配IP地址的前四位(0001)。由于最后的四位被忽略，则所有的在范围16(00010000)到31(00011111)的都将被允许，相应的通配掩码位是1。Network.host

00010000Wildcardmask: 00001111 |<----match---->|<-----don’tcare----->|

00010000 = 16

00010001 = 17

00010010 = 18 : :

00011111 = 31Any——通配符特殊应用在路由器章节中谈到默认路由时使用的地址是：iproute其中表示任意网络地址，其子网掩码表示不对任何地址做匹配。在ACL中如果要表示任意地址，也可用此种形式。不过通配符因为－＝55。即ACL中55表示任意地址。但有时书写较为麻烦，可以用单词any替代。即any与55均表示任意地址。Router(config)#access-list1permit55等价于Router(config)#access-list1permitanyhost——通配符特殊应用同样在路由器章节中，设置环回接口地址时，使用55的子网掩码，我们称此为主机掩码，表示此网络中只有一个给主机使用的地址。如，55见P270。主机掩码同样适用于一般的IP地址表示。在ACL中要表示主机地址55通配符的表示形式为55-55＝ACL中的主机地址可以为同样，可以简化输入使用单词host替代。注：在使用主机地址的时候单词host也可省略。即Router(config)#access-list1permit9等价于Router(config)#access-list1permithost9等价于Router(config)#access-list1permit9any和host命令标准ACL应用一拒绝谁，允许谁，放在哪？销售部不可以访问财务部，但可以访问外网和市场部。市场部需要访问财务部。分析：由于路由器的接口在没有ACL的时候默认转发所有数据，所以在以上的要访问的要求中不需要单独设置ACL，只需要禁止不访问的内容即可。并且按照离目的较近的原则安排在E1端口。Lab_A#configtLab_A(config)#access-list10deny55Lab_A(config)#access-list10permitanyLab_A(config)#inte1应用在离目的较近的端口Lab_A(config-if)#ipaccess-group10out/24标准ACL应用二阻止Account用户访问HumanResources，允许其它用户访问HumanResources。Lab_B#configtLab_B(config)#access-list10deny281Lab_B(config)#access-list10permitanyLab_B(config)#interfaceEthernet0应用在离目的较近的端口Lab_B(config-if)#ipaccess-group10outoutbound方向标准ACL应用三需要阻止图中4个LAN访问外网的ACL。Router(config)#access-list1deny55Router(config)#access-list1deny55Router(config)#access-list1deny55Router(config)#access-list1deny55Router(config)#access-list1permitanyRouter(config)#interfaceserial0Router(config-if)#ipaccess-group1out应用在VTY线路上的ACL控制（允许或拒绝）Telnet到路由器的IP地址。只需控制用户从哪里来即控制源IP地址，具体步骤如下：

1.创建一个标准IP访问列表，只允许那些你希望的主机能够远程登录到路由器。2.使用access-class命令将此访问列表应用到VTY线路上即可。如：只允许登录到Lab_A路由器：Lab_A(config)#access-list50permitLab_A(config)#linevty04Lab_A(config-line)#access-class50in注：在ACL50后同样隐含了access-list50denyany所以除了外其它均被拒绝。扩展ACL扩展访问列表：可以测试IP包的第3层和第4层报头中的字段。包括源IP地址、目的IP地址、网络层报头中的协议字段（如，TCP、UDP、ICMP等）以及位于传输层报头中的端口号。扩展访问列表具有在控制流量时做更细粒度决定的能力。扩展ACL的ID号为100～199或2000～2699ACL创建命令Lab_A(config)#access-listID号协议源地址目的地址操作符端口/服务类型100～199或2000～2699IPICMPTCPUDP及路由协议注：若过滤应用层数据，则此处必须为TCPUDP（可省，若操作符省略则其后端口亦可省）EqGtLtNeqEstablishedLog（可用端口号亦可用指定的名称）ftp21ftp-data2021Smtp25telnet23www80等等源地址是从哪来，目的地址表示到哪去扩展ACL1.Lab_A(config)#access-list110denytcpanyhosteqwww含义：拒绝任何IP地址通过TCP协议访问主机的www服务。隐含的意思是主机可以访问的其它服务，限制更为细致。2.Lab_A(config)#access-list110permittcp55hosteq23log含义：允许网段通过TCP协议访问主机的23端口的服务即Telnet服务，且记录访问日志。3.Lab_A(config)#access-list110permitipanyany含义：允许所有使用IP协议的IP访问其它所有IP，即允许所有。扩展列表的放置——靠近源地址ABCDEA说，请路由器Lab_a帮助我限制数据：1.阻止来自E的FTP数据，但允许来自E的HTTP数据Here!!!!离源近如果放在离目的地址A较近的位置，那么E到A的FTP流量将会穿过整个网络，在到达目的地的时候却被告知不可以到达，浪费网络带宽。即E的FTP流量白来一趟位置？扩展ACL应用一销售部和市场部不可以访问财务部的上的FTP和Telnet服务，但可以访问财务部的该服务器上的其它服务和其它主机。Lab_A(config)#access-list110denytcpanyhosteq21Lab_A(config)#access-list110denytcpanyhosteq23Lab_A(config)#access-list110permitipanyanyLab_A(config)#inte1Lab_A(config-if)#ipaccess-group110out问，如果把该列表应用在E0上会有什么样的效果。/24扩展ACL应用二阻止其它主机远程登录访问E1和E2端口的网络和TFTP操作。Router(config)#access-list110denytcpany55eq23Router(config)#access-list110denytcpany55eq23Router(config)#access-list110denyudpany55eq69Router(config)#access-list110denyudpany55eq69Router(config)#access-list110permitipanyanyRouter(config)#interfaceEthernet1Router(config-if)#ipaccess-group110outRouter(config-if)#interfaceEthernet2Router(config-if)#ipaccess-group110out考虑：目的IP地址可否换成其它的表现形式。见P418描述的内容命名访问列表从技术上来说实际上只有两种，命名的访问列表可以是标准的或扩展的访问列表，并不是一种真正的新类型列表。命名访问列表的作用：1.使用命名访问列表可以给管理人员一种提示信息，知道这种访问列表是什么作用。2.命名访问列表允许增加、删除、修改列表中的表项。而使用ID定义的列表不可以做如上的操作（只可以删除整个列表）。命名访问列表的定义和应用Lab_A#configtLab_A(config)#ipaccess-liststandardBlockSalesLab_A(config-std-nacl)#deny55Lab_A(config-std-nacl)#permitanyLab_A(config-std-nacl)#exitLab_A(config)#^ZLab_A(config)#inte1Lab_A(config-if)#ipaccess-groupBlockSalesout即相对而言将定义标准和扩展列表的ipaccess-listID省略，在应用时使用name。若删除某列，同样进入ACL接口模式，在某列前加no即可。监控访问列表showaccess-listLab_A#showaccess-listStandardIPaccesslist10deny,wildcardbits55permitanyStandardIPaccesslistBlockSalesdeny,wildcardbits55permitanyExtendedIPaccesslist110denytcpanyhosteqftpdenytcpanyhosteqtelnetpermitipanyanyLab_A#showipinterfacee1Lab_A#showipinterfacee1Ethernet1isup,lineprotocolisupInternet