使用訪問列表管理網(wǎng)絡

1、使用訪問列表管理網(wǎng)絡 本章主要講述使用標準訪問控制列表和擴展訪問控制列表控制網(wǎng)絡流量的方法。本章同時提供了標準訪問控制列表和擴展訪問控制列表以及在路由接口應用ACL的例子。要求掌握內(nèi)容要求掌握內(nèi)容：(1)標準ACL和擴展ACL；(2)命名ACL ；(3)應用ACL控制和管理通信流量。章節(jié)內(nèi)容1 1 訪問列表簡介訪問列表簡介2 2 標準的訪問列表標準的訪問列表3 3 擴展的擴展的IPIP訪問列表訪問列表4 4 命名的訪問列表命名的訪問列表5 5 應用和驗證訪問控制列表應用和驗證訪問控制列表 是一系列運用網(wǎng)絡地址或者上層協(xié)議上的允許或拒絕指令的集合。10.1 訪問列表簡介訪問控制列表ACL 網(wǎng)絡管

2、理者需要了解怎樣控制非法的網(wǎng)絡訪問，允許正常的網(wǎng)絡訪問。ACL具有靈活的基本數(shù)據(jù)流過濾能力和特定的控制能力。例如，網(wǎng)絡管理者可能允許用戶訪問Internet，而不允許外部的用戶登錄到局域網(wǎng)中。 路由器提供了基本的數(shù)據(jù)流過濾能力。如使用訪問控制列表（ACL），可以有條件地阻止Internet數(shù)據(jù)流。ACL，是一系列的允許或拒絕指令的集合，這些指令將運用到網(wǎng)絡地址或者上層協(xié)議上。ACL需求 有多種原因需要創(chuàng)建ACL： 限制網(wǎng)絡數(shù)據(jù)流，增加網(wǎng)絡性能。 例如：根據(jù)不同的協(xié)議，ACL可以指定路由器優(yōu)先處理哪些數(shù)據(jù)報。這叫做隊列管理，路由器可以不處理不需要的數(shù)據(jù)報。隊列管理限制了網(wǎng)絡數(shù)據(jù)流，減少了網(wǎng)絡擁塞

3、。 提供數(shù)據(jù)流控制。 例如：ACL可以限定或者減少路由更新的內(nèi)容。這些限定，可以用于限制關于某個特定網(wǎng)絡的信息傳播到整個網(wǎng)絡。ACL需求 有多種原因需要創(chuàng)建ACL： 為網(wǎng)絡訪問提供基本的安全層。 ACL可以允許某個主機訪問網(wǎng)絡的某一部分，而阻止另一臺主機訪問網(wǎng)絡的這個部分。 決定轉發(fā)或者阻止哪些類型的數(shù)據(jù)流。 例如：可以允許路由email數(shù)據(jù)流，而阻止telnet數(shù)據(jù)流。ACL的定義 訪問控制列表（ACL）是運用到路由器接口的指令列表。這些指令告訴路由器接受哪些數(shù)據(jù)報而拒絕哪些數(shù)據(jù)報。 接受或者拒絕根據(jù)一定的規(guī)則進行，如源地址，目標地址，端口號等。ACL使得用戶能夠管理數(shù)據(jù)流，檢測特定的數(shù)據(jù)報

4、。 路由器將根據(jù)ACL中指定的條件，對經(jīng)過路由器端口的數(shù)據(jù)報進行檢查。 ACL可以基于所有的Routed Protocols，如IP，IPX，對經(jīng)過路由器的數(shù)據(jù)報進行過濾。ACL的定義 ACL在路由器的端口過濾網(wǎng)絡數(shù)據(jù)流，決定是否轉發(fā)或者阻止數(shù)據(jù)報。 ACL應該根據(jù)路由器的端口所允許的每個協(xié)議來制定。如果需要控制流經(jīng)某個端口的所有數(shù)據(jù)流，就需要為該端口允許的每一個協(xié)議分別創(chuàng)建ACL。 例如，如果端口配置成允許IP,Appletalk和IPX協(xié)議的數(shù)據(jù)流，那么就需要創(chuàng)建至少三個ACL。 ACL可以用作控制和過濾流經(jīng)路由器端口的數(shù)據(jù)報的工具。ACL指令 ACL指令的放置順序是很重要的。當路由器在決

5、定是否轉發(fā)或者阻止數(shù)據(jù)報的時候，Cisco的IOS軟件，按照ACL中指令的順序依次檢查數(shù)據(jù)報是否滿足某一個指令條件。當檢測到某個指令條件滿足的時候，就不會再檢測后面的指令條件。 在每一個路由器的端口，可以為每一個支持的Routed Protocols創(chuàng)建ACL。對于某些協(xié)議，可以創(chuàng)建多個ACL：一個用于過濾進入端口的數(shù)據(jù)流inbound，一個用于過濾流出端口的數(shù)據(jù)流outbound。Inbound or Outbound Inbound or Outbound 進入路由器的Inbound，離開路由器的outboundOutgoingPacketE0S0IncomingPacketAccess

6、List ProcessesPermit?Sourceand DestinationProtocolACL指令 一個ACL就是一組指令，規(guī)定數(shù)據(jù)報如何： 進入路由器的某個端口 在路由器內(nèi)的轉送 離開路由器的某個端口 ACL允許控制哪些客戶端可以訪問的網(wǎng)絡。在ACL中的條件可以是： 篩選某些主機允許或者禁止訪問的部分網(wǎng)絡 允許或者禁止用戶訪問某一類協(xié)議，如FTP，HTTP等。ACL的工作流程 無論是否使用ACL，開始的通信過程是相同的。 當一個數(shù)據(jù)報進入一個端口，路由器檢查這個數(shù)據(jù)報是否可路由。 如果是可以路由的，路由器檢查這個端口是否有ACL控制進入數(shù)據(jù)報。 如果有，根據(jù)ACL中的條件指令，檢

7、查這個數(shù)據(jù)報。 如果數(shù)據(jù)報是被允許的，就查詢路由表，決定數(shù)據(jù)報的目標端口。 路由器檢查目標端口是否存在ACL控制流出的數(shù)據(jù)報 不存在，這個數(shù)據(jù)報就直接發(fā)送到目標端口。 如果存在，就再根據(jù)ACL進行取舍。ACL的工作流程ACL的配置 創(chuàng)建一個ACL訪問控制 Router(config)# access-list access_list_number permit|deny test_conditions 將訪問控制綁定到接口上 Router(config-if)# protocol access-group access_list_number in|out 關閉訪問控制列表 Router(co

8、nfig)# no access-list access_list_number為每個ACL分配一個唯一標識 配置ACL的時候需要為每一個協(xié)議的ACL指定一個唯一的數(shù)字，用以標識這個ACL。這個數(shù)字必須在有效范圍之內(nèi)。 為一個ACL指定了數(shù)字后，需要把它關聯(lián)到一個端口。假如需要修改，只需要利用命令：no access-list list-number，就可以刪除這個ACL的指令。 ACL綁定到接口 ACL可以指定到一個或者多個端口。根據(jù)配置，可以過濾進入或流出的數(shù)據(jù)流。 對流出的數(shù)據(jù)流使用ACL更有效，因此也更常使用。 如果是針對進入數(shù)據(jù)流的ACL，路由器將檢查每一個數(shù)據(jù)報，看是否滿足ACL的

9、條件，然后才將允許的數(shù)據(jù)報發(fā)送到送出端口。標準ACL和擴展ACL 標準ACL 檢查源地址 可以允許或者拒絕整套協(xié)議棧 標準ACL（數(shù)字1到99），可以提供數(shù)據(jù)流過濾控制。它是基于源地址和通配掩碼。標準ACL可以允許或禁止整套IP協(xié)議。 擴展ACL 檢查源地址和目的地址 可以允許或者拒絕指定協(xié)議 為了更加精確的數(shù)據(jù)流過濾，需要擴展ACL。擴展ACL檢查源地址和目標地址，以及TCP或UDP端口號。還可以指定擴展ACL針對特定的協(xié)議的進行操作。 擴展ACL使用的數(shù)字范圍是：100-199。10.2 標準的訪問列表 如果想允許或者禁止來自于某各個網(wǎng)絡的所有數(shù)據(jù)流，或者禁止某一套協(xié)議的數(shù)據(jù)流，可以使用標

10、準ACL。 標準ACL檢查數(shù)據(jù)報的源地址，即根據(jù)地址中的網(wǎng)絡、子網(wǎng)和主機位，來允許或者拒絕來自于整套協(xié)議的數(shù)據(jù)報。 例如，來自于E0端口的數(shù)據(jù)報，將檢查它的源地址和協(xié)議，如果被允許，將輸出到相應的端口。如果被禁止，數(shù)據(jù)報將被丟棄。標準ACL指令 使用標準版本的access-list全局配置命令來定義一個帶有數(shù)字的標準ACL。這個命令用在全局配置模式下 Router(config)# access-list access-list-number deny | permit source source-wildcard log 例如：access-list 1 permit

11、55 使用這個命令的no形式，可以刪除一個標準ACL。語法是： Router(config)# no access-list access-list-number 例如：no access-list 1標準ACL舉例 以下圖的結構為例，介紹標準ACL的使用。 實例1：E0和E1端口只允許來自于網(wǎng)絡的數(shù)據(jù)報被轉發(fā)，其余的將被阻止。 實例2：E0端口不允許來自于特定地址3的數(shù)據(jù)流，其它的數(shù)據(jù)流將被轉發(fā)。 實例3：E0端口不允許來自于特定子網(wǎng)的數(shù)據(jù)，而轉發(fā)其它的數(shù)據(jù)。172.16.4

12、.13E0S0E1Non-實例1：只允許指定的網(wǎng)絡數(shù)據(jù) E0和E1端口只允許來自于網(wǎng)絡的數(shù)據(jù)報被轉發(fā)，其余的將被阻止。 第一個ACL命令用“permit”允許來自于此指定網(wǎng)絡的數(shù)據(jù)流，通配掩碼55表明要檢查匹配IP地址中的網(wǎng)絡位（前16位）。 最后將ACL關聯(lián)到端口E0和E1。access-list 1 permit 55(implicit deny all - not visible in the list)(access-list 1 deny 55)

13、interface ethernet 0ip access-group 1 outinterface ethernet 1ip access-group 1 out實例2：禁止來自特定地址的數(shù)據(jù) E0端口不允許來自于特定地址3的數(shù)據(jù)流，其它的數(shù)據(jù)流將被轉發(fā)。 第一個ACL命令用“deny”禁止來自于此指定主機的數(shù)據(jù)流，通配掩碼表明要檢查匹配地址中的所有的位。 第二個ACL命令中，“ 55”IP地址和通配掩碼組合，表示允許來自于任何源的數(shù)據(jù)流。這個組合，也可以用關鍵字“any”替代。 最后將ACL關聯(lián)到端口E0。acces

14、s-list 1 deny 3 access-list 1 permit 55(implicit deny all)(access-list 1 deny 55)interface ethernet 0ip access-group 1 out實例3：禁止來自特定子網(wǎng)的數(shù)據(jù) E0端口不允許來自于特定的子網(wǎng)的數(shù)據(jù)，而轉發(fā)其它的數(shù)據(jù)。 第一個ACL命令用“deny”禁止來自子網(wǎng)的數(shù)據(jù)流，通配掩碼55，前三個字節(jié)表示IP地址中的

15、前三個字節(jié)將被檢測。而最后一個字節(jié)全1，表明將不關心IP地址的主機部分。 第二個ACL命令表示在之前沒有匹配的時候允許任何的源IP地址。 最后將ACL關聯(lián)到端口E0。access-list 1 deny 55access-list 1 permit any(implicit deny all)(access-list 1 deny 55)interface ethernet 0ip access-group 1 out10.3 擴展的IP訪問列表 擴展ACL提供了比標準ACL更大范圍的控制，因而運用更廣。例如，可以使

16、用擴展ACL來實現(xiàn)允許Web數(shù)據(jù)流，而禁止FTP或Telnet。 擴展ACL可以檢查源地址和目標地址，特定的協(xié)議，端口號，以及其它的參數(shù)。一個數(shù)據(jù)報，可以根據(jù)它的源或者目標地址，而被允許或者禁止。例如，擴展ACL可以允許來自于E0而到S0的e-mail數(shù)據(jù)，而禁止遠程登錄或者文件傳輸。 假設端口E0與一個擴展ACL相關聯(lián)?？梢允褂镁_的邏輯指令，來創(chuàng)建ACL。在一個數(shù)據(jù)報進入這個端口前，相應的ACL將對其進行檢查。 基于擴展ACL檢查，數(shù)據(jù)報將被允許或禁止。對于進入端口的數(shù)據(jù)，允許的數(shù)據(jù)報將被繼續(xù)處理。對于發(fā)出端口的數(shù)據(jù)，允許的數(shù)據(jù)報將被轉發(fā)到端口。拒絕的數(shù)據(jù)報將被丟棄，某些協(xié)議還會向發(fā)端發(fā)送

17、數(shù)據(jù)報，說明目標不可到達。 一個ACL中可以包含任意多條指令。每一條指令，應該具有相同的標識名或者數(shù)字。ACL中的指令越多，就越難理解和管理。所以，為ACL做好文檔可以防止混淆。擴展ACL擴展ACL配置 完全形式的access-list命令為：Router(config)# access-list access_list_number permit|deny protocol source source_mask destination destination_mask operator operand established 命令ip access-group將一個存在的擴展ACL和一個端口

18、關聯(lián)。記住：一個端口的一個方向的某套協(xié)議，只允許存在一個ACL。Router(config-if)# protocol access-group access_list_number in|out 擴展ACL舉例 以下圖的結構為例，介紹擴展ACL的使用。 實例1：在E0端口，禁止轉出來自子網(wǎng)的FTP數(shù)據(jù)流到子網(wǎng)，其它的數(shù)據(jù)流將被轉發(fā)。 實例2：在E0端口，禁止轉出來自子網(wǎng)的 Telnet 數(shù)據(jù)流，其它的數(shù)據(jù)流將被轉發(fā)。3E0S0E1Non-實例1：禁止轉出

19、FTP數(shù)據(jù)在E0端口，禁止轉出來自子網(wǎng)的FTP數(shù)據(jù)流到子網(wǎng)，其它的數(shù)據(jù)流將被轉發(fā)。 第一個ACL命令用“deny”禁止來自子網(wǎng)的FTP-DATA（port=20）數(shù)據(jù)流到子網(wǎng)。 第二個ACL命令用“deny”禁止來自子網(wǎng)的FTP（port=21）數(shù)據(jù)流到子網(wǎng)。 第三個ACL命令表示允許任何的數(shù)據(jù)流。 最后將此ACL101關聯(lián)到端口E0。access-list 101 deny tcp 55 55 eq 2

20、1access-list 101 deny tcp 55 55 eq 20access-list 101 permit ip any any(implicit deny all)(access-list 101 deny ip 55 55)interface ethernet 0ip access-group 101 out實例2：禁止轉出Telnet 數(shù)據(jù) 在E0端口，禁止轉出來自子網(wǎng)的 Telnet 數(shù)據(jù)流，其它的數(shù)

21、據(jù)流將被轉發(fā)。 第一個ACL命令用“deny”禁止來自子網(wǎng)的Telnet(port=23)數(shù)據(jù)流。 第二個ACL命令表示允許任何的數(shù)據(jù)流。 最后將此ACL101關聯(lián)到端口E0。access-list 101 deny tcp 55 any eq 23access-list 101 permit ip any any(implicit deny all)interface ethernet 0ip access-group 101 out通配掩碼 通配掩碼（wildcard mask）是分成4字節(jié)的32bit數(shù)。通配掩碼與IP地址位位配對，

22、相應位為0/1，用于表示如何對待IP地址中的相應位。 通配掩碼某位是0，表示檢查相應bit位的值； 通配掩碼某位是1，表示不檢查(忽略)相應位的值。 ACL使用通配掩碼來控制一個或者多個需要進行允許或者禁止檢查的IP地址。 盡管都是32位，通配掩碼與子網(wǎng)掩碼不同。在子網(wǎng)掩碼中，0/1決定了相應主機IP地址是網(wǎng)絡位、子網(wǎng)位還是主機位。在通配掩碼中，0/1決定ACL是否檢查或者忽略IP地址中的相應位。通配掩碼的工作原理通配掩碼舉例 假設一個B類地址，有8位的子網(wǎng)地址。想使用通配掩碼，允許所有來自于網(wǎng)絡網(wǎng)絡的數(shù)據(jù)報訪問。通配掩碼舉例 假設一個B類地址，有8

23、位的子網(wǎng)地址。想使用通配掩碼，允許所有來自于網(wǎng)絡網(wǎng)絡的數(shù)據(jù)報訪問。 首先，檢查前面兩個字節(jié)(171.30)，通配掩碼中的前兩個字節(jié)位全為0。由于沒有興趣檢查主機地址，通配掩碼的最后一個字節(jié)位全為1。 通配掩碼的第三個字節(jié)應該是15 (00001111)。 與之相應的通配掩碼是55，將匹配子網(wǎng)到的IP地址。通配掩碼舉例 IP地址的第三個字節(jié)為16 (00010000)。通配掩碼中的前四位為0，告訴路由器要匹配IP地址的前四位(0001)。由于最后的四位被忽略，則所有的在范圍16 (000100

24、00)到31 (00011111)的都將被允許，相應的通配掩碼位是1。.host .00000Wildcard mask: 0 0 0 0 1 1 1 1 | 0 0 0 1 0 0 0 0 = 16 0 0 0 1 0 0 0 1 =17 0 0 0 1 0 0 1 0 =18: : 0 0 0 1 1 1 1 1 =31any命令 使用二進制通配掩碼很不方便，某些通配掩碼可以使用縮寫形式替代。這些縮寫形式，減少了在配置地址檢查條件時候的鍵入量。 假如想允許任何目標地址都被允許，為了檢查任何地址，需要輸入。要使ACL忽略任意值，通配掩碼為：55?？梢允?/p>

25、用縮寫形式，來指定相同的測試條件。 Router(config)# access-list 1 permit 55 等價于 Router(config)# access-list 1 permit anyhost命令 當想匹配IP地址中所有的位時，CiscoIOS允許使用另一個ACL通配掩碼的縮寫。 假如希望一個特定的IP地址，在ACL的檢查中獲得允許。為了指明這個主機地址，將輸入整個地址（如9）。然后，為了指明ACL將檢查地址中的所有的位，相應的通配掩碼的各位將設置成0（即）?？梢允褂每s寫形式來完成這個任務。 Ro

26、uter(config)# access-list 1 permit 9 等價于 Router(config)# access-list 1 permit host 9any 和host命令驗證ACL 使用show interface 可以顯示在某個接口上綁定了那些ACL 使用show running-config 顯示ACL詳細信息和綁定位置 使用show access-list 顯示所有的ACL列表內(nèi)容10.4 命名的訪問列表 可以使用字符串代替數(shù)字，來標識ACL，稱為命名ACL。使用具名ACL，可以在不刪除整個ACL的情況下修改

27、它。 具名ACL用于以下一些情況： 想用字符串直觀標識一個ACL。 在路由器上，對于給定的協(xié)議，需要配置超出了99個標準ACL或者100個擴展ACL。 在使用具名ACL的時候，需要考慮到以下的因素： 有名ACL與Cisco IOS 11.2之前的版本不兼容。 不能為多個ACL使用相同的名字。 不同類型的ACL不能使用相同的名字。例如，不能使用同一個名字來命名一個標準ACL和一個擴展ACL。 可以使用下面的命令為一個ACL命名： 在ACL配置模式中，可以指定一個或者多個允許或者禁止條件。命令如下： 將Named ACL關聯(lián)到某個端口。Router(config)# ip access-list

28、standard | extended nameRouter(config std- | ext-nacl)# permit | deny ip access list test conditions no permit | deny ip access list test conditions Router(config-if)# ip access-group name in | out 實例 為一個名為Internetfilter的標準ACL設定條件。（所有其他的條件隱含禁止。） ip access-list standard Internetfilter deny

29、 55 permit 55 permit 55 permit 和deny指令沒有數(shù)字，no表示刪除某個測試條件。 Router(config std- | ext-nacl)# permit | deny ip ACL test conditions no permit | deny ip ACL text conditions標識ACL 使用“deny”為一個有名ACL設定條件。deny source source-wildcard | any 使用這個命令的no形式取消設定的deny條件。no d

30、eny source source-wildcard | any標識ACL 使用“permit”為有名標準ACL設定條件。permit source source-wildcard | anylog 使用這個命令的no形式取消設定的條件。：no permit source source-wildcard| any 在access-list配置模式使用下這個命令，需要在ip access-list 命令之后，定義數(shù)據(jù)報經(jīng)過ACL的條件。10.5 應用和驗證訪問控制列表 ACL可以控制路由器支持的絕大部分協(xié)議。在全局ACL配置的時候，可以輸入一個代表協(xié)議的數(shù)字，作為它的第一個參數(shù)。根據(jù)這個數(shù)字，路

31、由器會識別使用哪一個ACL軟件。對于某個協(xié)議，可能有多個ACL 對于一個新的ACL，可以選擇不同的數(shù)字，只要其在協(xié)議數(shù)字范圍之內(nèi)。但是，一個端口的一個協(xié)議，只能夠指定一個ACL。 對于某些協(xié)議，一個端口可以指定兩個ACL：一個負責收到的數(shù)據(jù)，一個負責發(fā)出的數(shù)據(jù)。而某些協(xié)議，需要把這兩個ACL組合成一個負責進出該端口的數(shù)據(jù) 假如ACL負責控制接收的數(shù)據(jù)，當路由器接收到數(shù)據(jù)報，將檢查是否滿足ACL的條件。假如這個數(shù)據(jù)報被允許，路由器繼續(xù)處理這個數(shù)據(jù)報。如果被拒絕，該數(shù)據(jù)報將被丟棄。 如果ACL是負責控制發(fā)出的數(shù)據(jù)，當接收到一個數(shù)據(jù)報，并發(fā)送到了發(fā)出端口，路由器將檢查ACL的條件是否滿足。假如數(shù)據(jù)報被允許，則傳送這個數(shù)據(jù)報，如果數(shù)據(jù)報被拒絕，將丟棄這個數(shù)據(jù)報。ACL的放置 ACL可以用于控制數(shù)據(jù)流，消除不需要的數(shù)據(jù)流。依賴于ACL放置的位置，可以減少不必要的數(shù)據(jù)流。如在遠離目的端，禁止某些數(shù)據(jù)流，可以減少使用到達目的端的網(wǎng)絡資源。 ACL放置的規(guī)則是：盡量將擴展ACL放置在靠近被拒絕的數(shù)據(jù)源。標準ACL不能指定目標地址，所以需要把標準A