数据通信技术 课件 任务4.3 实训：部署ACL实现访问控制

数据通信技术任务4.3实训：部署ACL实现访问控制Internet管理员控制台一、ACL基本概念ACLACL(AccessControlLists)：是一种数据包匹配工具，能够通过特定规则指挥数据表动作，网络设备使用ACL可以对网络访问进行控制，有效保证网络的安全运行。Internet管理员控制台ACL访问控制列表ACL（AccessControlList）可以定义一系列不同的规则，每条规则都描述了对匹配一定信息的数据包所采取的动作：允许（permit）或拒绝（deny）。一、ACL基本概念Internet管理员控制台ACL设备根据这些规则对数据包进行分类，并针对不同类型的报文进行不同的处理，从而可以实现对网络访问行为的控制、限制网络流量、提高网络性能、防止网络攻击等等。一、ACL基本概念网络访问行为控制01限制网络流量02提高网络性能03防止网络攻击04一、ACL基本概念ACL的功能二、ACL使用场景ACL可以限制网络流量、提高网络性能它是一种对通信流量进行控制的手段；能够提供控制网络访问的基本安全手段。过滤流量抓取流量二、ACL使用场景此时ACL的作用就是过滤流量，决定哪种类型的通信流量被转发、哪种类型的通信流量被阻塞。调用在路由器接口处不调用在接口处使用场景那么此时ACL的作用就是匹配并抓取流量，用于其他协议后一步处理。ACL没有调用在接口上二、ACL使用场景调用在接口上的ACL拒绝相关流量进入数据包过滤流量根据ACL中的匹配条件对进站和出站的报文进行过滤处理。打个比方，ACL其实是一种报文过滤器，ACL规则就是过滤器的滤芯。安装什么样的滤芯（即根据报文特征配置相应的ACL规则），ACL就能过滤出什么样的报文。1.02.03.04.02.0网段流量被标记抓取流量根据ACL中的条件对流量进行标记，以供设备进一步进行特殊处理。三、流量转发机制是否有进站ACL查询路由是否有出站ACLFile进站出站否Permit/Deny?是是找到出口PPDPermit/Deny?D否转发数据包进站首先看有无进方向ACL，如果有则查看ACL规则，如果ACL允许则继续查路由表决定是否转发，如果ACL拒绝那么数据包将不经过路由表直接丢弃。出站方向会先看路由表是否转发，如果能够转发再继续查出站方向的ACL表，最终决定数据数据包是否能从此接口发出。ACL应用在设备接口出方向报文先经过路由表路由后转至出接口，根据接口上应用的出方向ACL条件进行匹配，是允许permit还是拒绝deny，如果是允许，就根据路由表转发数据，如果是拒绝就直接将数据包丢弃了。入方向出方向VS先路由后匹配先匹配后路由ACL应用在设备接口入方向当接口收到数据包时，先根据应用在接口上的ACL条件进行匹配，如果允许则根据路由表进行转发，如果拒绝则直接丢弃。三、流量转发机制四、ACL查表规则NoNoNoMatch?Match?Match?ImplicitDenyDenyDenyDenyPermitPermitPermitPacketPermittedPacketDeniedPacketReadyforACLProcessing四、ACL查表规则NoNoNoMatch?Match?Match?ImplicitDenyDenyDenyDenyPermitPermitPermitPacketPermittedPacketDeniedPacketReadyforACLProcessing

从第一条语句开始向下比对，一但比对成功不再进行后续比对。列表最后隐藏了一条“拒绝所有”如果所有语句都没有比对成功，默认是“拒绝”,一般在配置时建议将重要的规则靠前部署。

路由器的一个接口同一个方向最多只能有一个列表，但一个列表中可以有N条语句，列表在调用的时候需要分清方向，进入接口的是“in”离开接口的是“out”。四、ACL查表规则本示例中，RTA收到了来自两个网络的报文。RTA会依据ACL的配置顺序来匹配这些报文。网络/24发送的数据流量将被RTA上配置的ACL2000的规则15匹配，因此会被拒绝。而来自网络/24的报文不能匹配访问控制列表中的任何规则，遂执行隐式拒绝所有，因此也会被拒绝。如果未匹配如果未匹配/24/24RTARTBrule15denysource55rule10denysource55acl2000rule5denysource55五、ACL分类分类编号范围参数标准ACL2000-2999源IP地址等扩展ACL3000-3999源IP地址、目的IP地址、

源端口、目的端口、特定协议根据不同的划分规则，ACL可以有不同的分类。最常见的两种分类是标准ACL和扩展ACL标准ACL可以使用报文的源IP地址来匹配报文，其编号取值范围是2000-2999五、ACL分类分类编号范围参数标准ACL2000-2999源IP地址等扩展ACL3000-3999源IP地址、目的IP地址、

源端口、目的端口、特定协议扩展ACL可以使用报文的源/目的IP地址、源/目的端口号以及协议类型等信息来匹配报文扩展ACL可以定义比基本ACL更准确、更丰富、更灵活的规则，其编号取值范围是3000-3999五、ACL分类分类编号范围参数标准ACL2000-2999源IP地址等扩展ACL3000-3999源IP地址、目的IP地址、

源端口、目的端口、特定协议在实际工程中，需要根据业务需求，灵活选择ACL类型进行配置六、ACL部署注意事项01ACL用于流量过滤时只能过滤穿过它的流量，不能过滤本地始发流量02一个路由器能配置多个ACL03ACL用于流量过滤是做在接口上的，同一个接口同一个方向只能调用一个ACL表项(一个接口不同方向可以调用不同表)，一个ACL内能有多个策略条目六、ACL部署注意事项04标准ACL尽量布置靠近信宿05扩展ACL尽量布置靠近信源06尽量不要用标准ACL做包过滤七、案例背景某企业总部及分部网络已搭建完毕且实现互联互通，如图所示。七、案例背景现希望通过配置ACL来控制员工的上网行为：1.在总部只允许管理pc远程登录至分部R2进行管理；2.总部的pc不允许在工作时间8:00~17:00浏览网页，但是可以进行邮件qq等上网行为。八、任务准备分组情况班级姓名组号指导老师组长组员任务分工学生任务分配表需要自行准备Console线、笔记本电脑、shell终端软件八、任务准备工具选择Console线笔记本电脑终端软件针对需求1，可以使用标准ACL匹配管理机IP，然后在被管理端R2的虚拟用户终端接口（VTY）的进方向调用即可对于需求2，则必须使用高级ACL封锁总部PC的WWW服务，实现流量的管控配置思路设备名称设备接口编号IP地址网关地址总部接入路由器R1G0/0/0/30G0/0/154/24运营商路由器R2G0/0/0/30G0/0/154/24桥接真机/2454云服务器/2454IP规划九、任务实施具体配置具体配置参照数字资源第一步：按照按照拓扑规划，正确配置IP地址及路由第二步：在R2上配置telnet服务第三步：配置基本acl和扩展acl，分别实现要求1和要求2第四步：验证配置配置流程A