《网络设备安全》课件第9章 访问控制列表的应用

培养目标通过本章的学习，希望您能够：熟悉访问控制列表概念掌握IP访问控制配置方法掌握MAC访问控制列表配置方法熟悉显示ACL配置访问控制列表概述访问控制列表（AccessControlList）是一个有序的语句集，它通过对比报文中字段值与访问控制列表参数，来允许或拒绝报文通过某个接口。访问控制列表作用：安全控制流量过滤数据流量标识ACL语句组成：条件：用来匹配数据包中字段值操作：条件匹配时，可以采取允许和拒绝两个操作ACL报文ACL工作原理及规则入站ACL入站数据先判断ACL后执行路由ACL工作原理及规则出站ACL出站数据先进行路由再应用ACLACL工作原理及规则基本规则ACL规则按名称或编号进行分组列表中每条ACL语句有一组条件和一个操作，如果需要多个条件或多个操作，则必须使用多个ACL语句来完成如果当前语句的条件没有匹配，则处理列表中的下一条语句如果条件匹配，则执行语句后面的操作，且不再与其他ACL语句进行匹配如果列表中的所有语句都不匹配，那么丢弃该数据包注意：由于ACL语句默认是拒绝不匹配的数据包，所以在列表中至少要有一个允许的操作。否则，所有数据包都会被拒绝掉注意语句的顺序。条件严的语句应该放在列表的顶部，条件宽的语句应该放在列表的底部。从而，避免条件严的语句永远也得不到执行ACL工作原理及规则注意事项一个ACL列表中至少要有一条允许或拒绝的语句只能在设备的每个接口、每个协议、每个方向上应用一个ACLACL只能应用在接口上先处理入站ACL，再进行数据路由先进行数据路由，再处理出站接口上的出站ACLACL会影响通过接口的流量和速度，但不会过滤路由器本身产生的流量放置位置只过滤数据包源地址的ACL应该放置在离目的地尽量近的地方过滤数据包的源地址和目的地址以及其他信息的ACL，则应该尽量放在离源地址近的地方准备知识（四）标准和扩展ACLACL的种类ACL种类：标准ACL：只能过滤IP数据包头中的源IP地址扩展ACL：可以过滤源IP地址、目的IP地址、协议（TCP/IP）、协议信息（端口号、标志代码）等时间ACL：可以根据时间段进行扩展ACL过滤专家ACL：可以过滤源IP、源MAC、源端口、目标IP、目标MAC、目标端口、时间等标准ACL标准ACL只能过滤IP数据包头中的源IP地址标准ACL通常配置在路由器上实现以下功能：

限制通过VTY线路对路由器的访问（telnet、SSH）限制通过HTTP或HTTPS对路由器的访问过滤路由更新标准ACL通过两种方式创建标准ACL：编号或名称使用编号创建创建ACL(config)#access-listlistnumber{permit|deny}address[wildcard–mask]在接口上应用(config-if)#ipaccess-group{id|name}{in|out}In：当数据流入路由器接口时Out：当数据流出路由器接口时使用命名创建定义ACL名称(config)#ipaccess-liststandard

name定义规则(config-std-nacl)#deny|permit[source

wildcard

any]在接口上应用扩展访问控制列表扩展的IP访问表用于扩展报文过滤的能力。扩展访问列表允许过滤内容：源和目的地址、协议、源和目的端口以及在特定报文字段中允许进行特殊位比较的各种选项。扩展访问控制列表通过两种方式创建扩展ACL：编号或名称使用编号创建创建ACL(config)#access-listlistnumber{permit|deny}protocolsourcesource-wildcard–maskdestinationdestination-wildcard–mask

[operatoroperand]在接口上应用(config-if)#ipaccess-group{id|name}{in|out}使用命名创建定义ACL名称(config)#ipaccess-listextended

name定义规则(config-ext-nacl)#{deny|permit}protocol{sourcesource-wildcard|hostsource|any}[operator

port]在接口上应用配置标准ACL示例配置扩展ACL示例PART/03扩展ACL定义9.2IP访问控制列表1)限制主机22到网络/16的ICMP流量RB(config)#

access-list101denyicmphost2255RB(config)#

access-list101permitipanyanyRB(config)#inte0RB(config-if)#ipaccess-group101inRB(config-if)#noipaccess-group101in（如需删除，则使用此命令）2)限制网络/24到所有网络的ICMP流量RB(config)#

access-list102denyicmp55anyRB(config)#access-list102permitipanyanyRB(config)#inte0RB(config-if)#ipaccess-group102inRB(config-if)#noipaccess-group102in9.2IP访问控制列表3）只允许主机9通过Telnet访问/16网段RB(config)#access-list103permittcphost955eq23RB(config)#inte0RB(config-if)#ipaccess-group103inRB(config-if)#noipaccess-group103in4）使所有其他网段只能访问/24的WWW、FTP、TELNET服务RB(config)#access-list104permittcpany55eqwwwRB(config)#access-list104permittcpany55eqftpRB(config)#access-list104permittcpany55eqtelnetPART/03扩展ACL定义验证ACL配置显示所有协议的所有ACL查看接口应用的ACL情况Router#showaccess-listsRouter#

showipaccess-group

交换机除了像路由器一样支持IP访问列表，还支持Ethernet(MAC)访问列表。我们可以在交换机配置IP访问列表过滤IP通信，还可以配置Ethernet访问列表过滤非IP通信。配置MAC扩展ACL的过程，与配置IP扩展ACL的配置过程是类似的。我们只需要按照IPACL方法，将ipaccess-list换成macaccess-list命令来创建MAC扩展ACL，9.3MAC扩展访问控制列表9.3MAC扩展访问控制列表步骤命令含义步骤1switch#configureterminal进入全局配置模式。

步骤2switchr(config)#MACaccess-listextended{name}以名字定义一条MACextendedacl，并进入access-list配置模式步骤3switch(config-ext-nacl)#{deny|permit}{any|hostsourceMACaddress}{any|hostdestinationMACaddress}[aarp|appletalk|decnet-iv|diagnostic|etype-6000|etype-8042|lat|lavc-sca|mop-console|mop-dump|mumps|netbios|vines-echo|xns-idp]在access-list配置模式，声明对任意源MAC地址或指定的源MAC地址、对任意目的MAC地址或指定的目的MAC地址的报文设置允许其通过或拒绝之的条件。(可选项)你可以输入如下以太网协议类型：aarp|appletalk|decnet-iv|diagnostic|etype-6000|etype-8042|lat|lavc-sca|mop-console|mop-dump|mumps|netbios|vines-echo|xns-idp。步骤4switch(config-ext-nacl)#end回到特权模式。

步骤5switch#showaccess-lists[name]验证配置。

步骤6switch#copyrunning-configstartup-config保存配置（可选）。例如：如何创建及显示一条MAC扩展ACL，以名字macext来命名。该MAC扩展ACL拒绝所有符合指定源MAC地址的aarp报文在创建了一条ACL之后，你必须将其应用到所要过滤的接口上，它才能生效，还需要使用MACaccess-group命令将其应用到指定接口上