电子教案访问控制列表的配置

电子教案访问控制列表的配置第1页，课件共36页，创作于2023年2月第9章访问控制列表的配置

学习目的与要求：互联网的开放性决定了网络上的数据可以任意流动，但有时候需要对数据进行控制。通过设置访问控制列表来控制和过滤通过路由器的信息流是的一种方法。本章主要讲述使用标准访问控制列表和扩展访问控制列表控制网络流量的方法，同时提供了标准访问控制列表和扩展访问控制列表以及在路由接口应用ACL的例子。完成本章的学习，你将能够：描述访问控制列表的分类及其工作过程会根据应用需求配置各种访问控制列表第2页，课件共36页，创作于2023年2月第9章访问控制列表的配置

9.1访问控制列表9.2配置标准访问控制列表9.3配置扩展访问控制列表9.4命名的访问列表本章小结本章习题本章实训第3页，课件共36页，创作于2023年2月9.1访问控制列表访问控制列表简称ACL(AccessControlLists)，配置路由器的访问控制列表是网络管理员一件经常性的工作。本节介绍ACL的概念、功能及其工作原理。第4页，课件共36页，创作于2023年2月9.1.1ACL概述访问控制列表(ACL)使用包过滤技术，在路由器上读取第3层或第4层包头中的信息，如源地址、目的地址、源端口、目的端口以及上层协议等，根据预先定义的规则决定哪些数据包可以接收、哪些数据包需要拒绝，从而达到访问控制的目的。

第5页，课件共36页，创作于2023年2月ACL的功能

检查和过滤数据包。ACL通过将访问控制列表应用到路由器接口来管理流量和检查特定的数据包。任何经过该接口的流量都要接受ACL中规则的检测，以此决定被路由的分组是被转发还是被丢掉，从而过滤网络流量。例如，可以允许E-mail流量被路由，但同时阻塞所有Telnet流量。限制网络流量，提高网络性能。ACL能够按照优先级或用户队列处理数据包。通过排队确保路由器不去处理那些不需要的分组。排队限制了网络流量，减少了网络拥塞。限制或减少路由更新的内容。ACL能够限定或简化路由器选择更新的内容，这些限定常用于限定关于特定网络的信息通过网络传播。提供网络访问的基本安全级别。通过在路由器上配置ACL，可以允许一个主机访问网络的一部分，而阻止其他主机访问相同的区域。第6页，课件共36页，创作于2023年2月配置ACL的原则

顺序处理原则。对ACL表项的检查是按照自上而下的顺序进行的，从第一行起，直到找到第一个符合条件的行为止，其余的行不再继续比较。因此必须考虑在访问控制列表中放入语句的次序，比如测试性的语句最好放在ACL的最顶部。最小特权原则。对ACL表项的设置应只给受控对象完成任务所必须的最小的权限。如果没有ACL，则等于permitany。一旦添加了ACL，默认在每个ACL中最后一行为隐含的拒绝(denyany)。如果之前没找到一条许可(permit)语句，意味着包将被丢弃。所以每个ACL必须至少有一行permit语句，除非用户想将所有数据包丢弃。最靠近受控对象原则。尽量考虑将扩展的ACL放在靠近源地址的位置上。这样创建的过滤器就不会反过来影响其他接口上的数据流。另外，尽量使标准的ACL靠近目的地址，由于标准ACL只使用源地址，如果将其靠近源会阻止报文流向其他端口。第7页，课件共36页，创作于2023年2月9.1.2ACL的工作原理图9-2ACL匹配性检查第8页，课件共36页，创作于2023年2月9.2配置标准访问控制列表最广泛使用的访问控制列表是IP访问控制列表，IP访问控制列表工作于TCP/IP协议组。按照访问控制列表检查IP数据包参数的不同，可以将其分成标准ACL和扩展ACL两种类型。此外CiscoIOS11.2版本中还引入了IP命名ACL类型。从本节开始分别介绍各种ACL的配置方法。第9页，课件共36页，创作于2023年2月9.2.1标准ACL的工作过程图9-3标准ACL的工作过程第10页，课件共36页，创作于2023年2月9.2.2配置标准ACL

1.定义标准ACLRouter(config)#access-listaccess-list-number{deny|permit}source[source-wildcard][log]其中的参数见表9.12．将标准ACL应用到某一接口上Router(config-if)#ipaccess-groupaccess-list-number{in|out}其中，参数in和out表示ACL作用在接口上的方向，两者都是以路由器作为参照物的，如果in和out都没有指定，那么默认为out。注意：在每个接口、每个协议、每个方向上只能有一个访问控制列表。3.删除已建立的标准ACLRouter(config)#noaccess-listaccess-list-number第11页，课件共36页，创作于2023年2月表9.1标准ACL参数及描述参数描述access-list-number访问控制列表表号，用来指定入口属于哪一个访问控制列表。对于标准ACL来说，是一个从1到99或1300到1999之间的数字deny如果满足测试条件，则拒绝从该入口来的通信流量permit如果满足测试条件，则允许从该入口来的通信流量source数据包的源地址，可以是网络地址或是主机IP地址source-wildcard(可选项)通配符掩码，又称反掩码，用来跟源地址一起决定哪些位需要匹配log(可选项)生成相应的日志消息，用来记录经过ACL入口的数据包的情况第12页，课件共36页，创作于2023年2月关于通配符掩码的使用说明表示成4位点分十进制形式。默认的通配符掩码为。在通配符掩码位中，0表示“检查相应的位”，而1表示“不检查(忽略)相应的位”。比如，源地址和通配符掩码为55，表示路由器前3个8位组必须精确匹配，最后1个8位组的值可以任意。再如，如要指定IP地址为从到之间的所有子网，则通配符掩码为55(31-16=15)。any可以表示任何IP地址，例如：

Router(config)#access-list10permitany

host表示一台主机，例如：

Router(config)#access-list10permithost172.16.30.22

第13页，课件共36页，创作于2023年2月标准ACL配置示例一某企业销售部、市场部的网络和财务部的网络通过路由器RTA和RTB相连，整个网络配置RIPv2路由协议，保证网络正常通信。要求在RTB上配置标准ACL，允许销售部的主机PC1访问路由器RTB，但拒绝销售部的其他主机访问RTB，允许销售部、市场部网络上所有其他流量访问RTB。图9-4标准ACL配置第14页，课件共36页，创作于2023年2月配置步骤如下：(1)配置标准ACL在路由器上RTB上配置如下：RTB(config)#access-list1permithost

0RTB(config)#access-list1deny55RTB(config)#access-list1permitany

RTB(config)#interfaces0/0/0RTB(config-if)#ipaccess-group1in(2)验证标准ACL

① showaccess-lists命令RTB#showaccess-lists② showipinterface命令RTB#showipinterface

第15页，课件共36页，创作于2023年2月标准ACL配置示例二利用标准ACL限制虚拟终端访问的问题。配置一个VTY访问控制列表，只允许网络/24中的主机00telnet路由器RTA。图9-5用标准ACL限制Telnet访问第16页，课件共36页，创作于2023年2月配置方法如下：RTA(config)#

access-list10permithost00

RTA(config)#linevty04RTA(config-line)#passwordciscoRTA(config-line)#loginRTA(config-line)#access-class10in注意：在配置接口的访问时可以使用数字表号的或者命名的ACL只有数字的访问列表才可以应用到虚拟连接中用户可以连接所有的VTY，因此所有的VTY连接都应用相同的ACL第17页，课件共36页，创作于2023年2月9.3配置扩展的ACL扩展ACL比标准ACL功能更强大，使用得更广泛，因为它可以基于分组的源地址、目的地址、协议类型、端口号和应用来决定访问是被允许或者拒绝，因而扩展ACL比标准ACL提供了更广阔的控制范围和更多的处理方法。第18页，课件共36页，创作于2023年2月9.3.1扩展ACL的工作过程图9-6扩展ACL的工作过程第19页，课件共36页，创作于2023年2月9.3.2配置扩展ACL1．定义扩展ACL

Router(config)#access-listaccess-list-number{deny|permit}protocolsource[source-wildcarddestinationdestination-wildcard][operatoroperand][established]

其中的参数说明见表9.2。2.将扩展ACL应用到某一接口上

Router(config-if)#ipaccess-groupaccess-list-number{in|out}3.删除扩展ACLRouter(config)#

no

access-list

access-list-number

第20页，课件共36页，创作于2023年2月表9.2

扩展ACL参数及描述参数描述access-list-number访问控制列表表号，使用一个100到199或2000到2699之间的数字来标识一个扩展访问控制列表deny如果条件符合就拒绝后面指定的特定地址的通信流量permit如果条件符合就允许后面指定的特定地址的通信流量protocol用来指定协议类型，如IP、ICMP、TCP或UDP等source和destination数据包的源地址和目的地址，可以是网络地址或是主机IP地址source-wildcard应用于源地址的通配符掩码destination-wildcard应用与目的地的通配符掩码位operator(可选项)比较源和目的端口，可用的操作符包括lt(小于)、gt(大于)、eq(等于)、neq(不等于)和range(包括的范围)operand如果操作符位于源地址和源地址通配符之后，那么它必须匹配源端口。如果操作符位于目的地址和目的地址通配符之后，那么它必须匹配目的端口。range操作符需要两个端口号，其他操作符只需要一个端口号established(可选项)指明TCP或UDP端口的十进制数字或名字。端口号可以从0到65535第21页，课件共36页，创作于2023年2月表9.3一些保留的TCP/UDP端口号端口号关键字描述7ECHO回显20FTP-DATA文件传输协议(数据)21FTP文件传输协议(控制)23TELNET终端连接25SMTP简单邮件传输协议53DOMAIN域名服务器(DNS)69TFTP简单文件传输协议80HTTP超文本传输协议(WWW)第22页，课件共36页，创作于2023年2月扩展ACL配置示例某企业销售部的网络和财务部的网络通过路由器RTA和RTB相连，整个网络配置RIPv2路由协议，保证网络正常通信。要求在RTA上配置扩展ACL，实现以下4个功能：(1)允许销售部网络的主机访问WWWServer0；(2)拒绝销售部网络的主机访问FTPServer0；(3)拒绝销售部网络的主机Telnet路由器RTB；(4)拒绝销售部主机0

Ping路由器RTB。图9-7扩展ACL的配置第23页，课件共36页，创作于2023年2月配置方法如下：RTA(config)#access-list100permittcp55host0eq80RTA(config)#access-list100denytcp55host0eq20RTA(config)#access-list100denytcp55host0eq21RTA(config)#access-list100denytcp55hosteq23RTA(config)#access-list100denytcp55hosteq23RTA(config)#access-list100denyicmphost0hostRTA(config)#access-list100denyicmphost0host

RTA(config)#access-list100permitipanyanyRTA(config)#interfacef0/0RTA(config-if)#ipaccess-group100in第24页，课件共36页，创作于2023年2月9.4命名的访问控制列表CiscoIOS软件11.2版本中引入了IP命名ACL，命名ACL允许在标准ACL和扩展ACL中使用一个字母数字组合的字符串(名字)代替前面所使用的数字来表示ACL表号。使用命名ACL有以下的好处：不受99条标准ACL和100条扩展ACL的限制网络管理员可以方便地对ACL进行修改，而无须删除ACL之后再对其进行重新配置

第25页，课件共36页，创作于2023年2月配置命名访问控制列表步骤一：Router(config)#ipaccess-list{extended|standard}name步骤二：Router(config-{std-|ext-}nacl)#permit{source[source-wildcard]|any}或Router(config-{std-|ext-}nacl)#

deny{source[source-wildcard]|any}

第26页，课件共36页，创作于2023年2月命名ACL配置示例

图9-8命名ACL网络配置拓扑第27页，课件共36页，创作于2023年2月1.配置标准命名ACL要求：在路由器RTA上进行配置，以阻塞来自某部门子网/24的通信流量，而允许转发所有其他部门的通信流量。RTA(config)#ipaccess-liststandardacl_stdRTA(config-std-nacl)#

deny55RTA(config-std-nacl)#permitanyRTA(config-std-nacl)#

exitRTA(config)#

interfacef0/0RTA(config-if)#ipaccess-groupacl_stdin第28页，课件共36页，创作于2023年2月2.配置扩展命名ACL要求：只需拒绝该部门子网中的FTP和Telnet通信流量通过f0/0

RTA(config)#ipacess-listextendedacl_extRTA(config-ext-nacl)#denytcp55anyeq21RTA(config-ext-nacl)#denytcp55anyeq20RTA(config-ext-nacl)#denytcp55anyeq23RTA(config-ext-nacl)#

permitipanyany

RTA(config-ext-nacl)#exitRTA(config)#

interfacef0/0RTA(config-if)#ipaccess-groupacl_extin第29页，课件共36页，创作于2023年2月利用命名ACL删除指定的语句示例命名ACL允许删除任意指定的语句，但新增的语句只能被放到ACL的结尾处。下面的例子说明了如何删除和新增ACL语句。Router(config)#ipaccess-listextendedtestRouter(config-ext-nacl)#permitiphosthostRouter(config-ext-nacl)#permittcpanyhosteqwwwRouter(config-ext-nacl)#permiticmpanyanyRouter(config-ext-nacl)#

permitudpanyhosteqtftpRouter(config-ext-nacl)#^zRouter#

showaccess-listsRouter#configureterminalRouter(config)#

ipaccess-listextendedtestRouter(config-ext-nacl)#nopermiticmpanyanyRouter(config-ext-nacl)#

permittcpanyhosteqtelnetRouter(config-ext-nacl)#^zRouter#

showaccess-lists

第30页，课件共36页，创作于2023年2月本章小结访问控制列表使用包过滤技术，在路由器上读取第3层或第4层包头中的信息，如源地址、目的地址、源端口、目的端口以及上层协议等，根据预先定义的规则决定哪些数据包可以接收、哪些数据包需要拒绝，从而达到访问控制的目的。在路由器上实现的访问控制列表是一个连续的条件判断语句的集合，这些语句对数据包的地址或上层协议进行网络通信流量的控制，从而提供基本的网络通信流量过滤的能力，对网络安全起到很好的保护作用。标准ACL只检查可以被路由的数据包的源地址，从而允许或拒绝基于网络、子网或主机IP地址的某一协议通过路由器出口。扩展ACL可以基于分组的源地址、目的地址、协议类型、端口号和应用来决定访问是被允许或者拒绝。它比标准ACL功能更强大，使用得更广泛。命名ACL允许在标准ACL和扩展ACL中使用一个字母数字组合的字符串(名字)代替前面所使用的数字来表示ACL表号。使用命名ACL的优点是不受99条标准ACL和100条扩展ACL的限制，同时，网络管理员可以方便地对ACL进行修改第31页，课件共36页，创作于2023年2月本章习题一、填空题1．ACL分为

和

两种类型。2．当应用ACL时，以

为参照物区分in和out的方向。3．ACL最后一条隐含