訪問控制列表ACL

1、訪問控制列表訪問控制列表訪問控制列表訪問控制列表訪問控制列表訪問控制列表ACLACLACL目標目標v理解訪問控制列表的工作原理（訪問控制理解訪問控制列表的工作原理（訪問控制列表的作用，列表的作用，路由器對訪問控制列表的處路由器對訪問控制列表的處理過程理過程）v理解訪問控制列表的反碼理解訪問控制列表的反碼v掌握訪問控制列表的種類掌握訪問控制列表的種類v掌握標準和擴展訪問控制列表的配置方法掌握標準和擴展訪問控制列表的配置方法v能夠利用訪問控制列表對網(wǎng)絡(luò)進行控制能夠利用訪問控制列表對網(wǎng)絡(luò)進行控制什么是訪問控制列表什么是訪問控制列表v訪問控制列表（訪問控制列表（ACL） 應(yīng)用于路由器接口的指令列表應(yīng)用

2、于路由器接口的指令列表 ，用于指定哪些數(shù)據(jù)，用于指定哪些數(shù)據(jù)包可以接收轉(zhuǎn)發(fā)，哪些數(shù)據(jù)包需要拒絕包可以接收轉(zhuǎn)發(fā)，哪些數(shù)據(jù)包需要拒絕vACL的工作原理的工作原理 讀取第三層及第四層包頭中的信息讀取第三層及第四層包頭中的信息 根據(jù)預(yù)先定義好的規(guī)則對包進行過濾根據(jù)預(yù)先定義好的規(guī)則對包進行過濾 訪問控制列表的作用訪問控制列表的作用1-1v提供網(wǎng)絡(luò)訪問的基本安全手段提供網(wǎng)絡(luò)訪問的基本安全手段v可用于可用于QoS，控制數(shù)據(jù)流量，控制數(shù)據(jù)流量v控制通信量控制通信量主機主機A主機主機B人力資源網(wǎng)絡(luò)人力資源網(wǎng)絡(luò)研發(fā)網(wǎng)絡(luò)研發(fā)網(wǎng)絡(luò)使用使用ACL阻止某指定網(wǎng)絡(luò)訪問另一指定網(wǎng)絡(luò)阻止某指定網(wǎng)絡(luò)訪問另一指定網(wǎng)絡(luò) 訪問控制列表

3、的作用訪問控制列表的作用1-2v實現(xiàn)訪問控制列表的核心技術(shù)是包過濾實現(xiàn)訪問控制列表的核心技術(shù)是包過濾Internet公司總部公司總部內(nèi)部網(wǎng)絡(luò)內(nèi)部網(wǎng)絡(luò)未授權(quán)用戶未授權(quán)用戶辦事處辦事處訪問控制列表訪問控制列表訪問控制列表工作原理訪問控制列表工作原理2-1v通過分析通過分析IP數(shù)據(jù)包包頭信息，進行判斷（這里數(shù)據(jù)包包頭信息，進行判斷（這里IP所承載的上層協(xié)議為所承載的上層協(xié)議為TCP）訪問控制列表工作原理訪問控制列表工作原理2-2路由器對訪問控制列表的處理過程路由器對訪問控制列表的處理過程3-1 路由器對訪問控制列表的處理過程路由器對訪問控制列表的處理過程3-2v第一步，創(chuàng)建訪問控制列表第一步，創(chuàng)建訪

4、問控制列表v第二步，應(yīng)用到接口第二步，應(yīng)用到接口e0的出方向上的出方向上 訪問控制列表實例訪問控制列表實例使用通配符使用通配符any和和host 4-1v通配符通配符any可代替可代替 55 使用通配符使用通配符any和和host 4-2vhost表示檢查表示檢查IP地址的所有位地址的所有位 Deny和和permit命令命令Router(config)#access-list access-list-number permit|deny test conditions允許數(shù)據(jù)包通過應(yīng)允許數(shù)據(jù)包通過應(yīng)用了訪問控制列表用了訪問控制列表的接口的接口拒絕數(shù)據(jù)包通

5、過拒絕數(shù)據(jù)包通過應(yīng)用訪問控制列表應(yīng)用訪問控制列表v使用命令使用命令ip access-group將將ACL應(yīng)用到某一個應(yīng)用到某一個接口上接口上 在接口的一個方向上，只能應(yīng)用一個在接口的一個方向上，只能應(yīng)用一個access-listRouter(config-if)#ip access-group access-list-number in|out訪問控制列表的種類訪問控制列表的種類v基本類型的訪問控制列表基本類型的訪問控制列表 標準訪問控制列表標準訪問控制列表 擴展訪問控制列表擴展訪問控制列表 v 其他種類的訪問控制列表其他種類的訪問控制列表 基于基于MAC地址的訪問控制列表地址的訪問控制列表

6、 基于時間的訪問控制列表基于時間的訪問控制列表擴展擴展acl標準標準acl路由器路由器B路由器路由器C路由器路由器D路由器路由器AS0S0S1S1E0E0E1E0E0E1應(yīng)用訪問控制列表應(yīng)用訪問控制列表源源目的目的標準訪問控制列表標準訪問控制列表5-1v標準訪問控制列表標準訪問控制列表 根據(jù)數(shù)據(jù)包的源根據(jù)數(shù)據(jù)包的源IP地址來允許或拒絕數(shù)據(jù)包地址來允許或拒絕數(shù)據(jù)包 訪問控制列表號從訪問控制列表號從1到到99標準訪問控制列表標準訪問控制列表5-2v標準訪問控制列表只使用源地址進行過濾，表明標準訪問控制列表只使用源地址進行過濾，表明是允許還是拒絕是允許還是拒絕 標準訪問控制列表標準訪問控制列表5-3

7、標準訪問控制列表的配置標準訪問控制列表的配置v第一步，使用第一步，使用access-list命令創(chuàng)建訪問控制列表命令創(chuàng)建訪問控制列表v第二步，使用第二步，使用ip access-group命令把訪問控制列表命令把訪問控制列表應(yīng)用到某接口，應(yīng)用到某接口，access-class 命令把訪問列表應(yīng)用命令把訪問列表應(yīng)用到網(wǎng)絡(luò)設(shè)備的線路上，允許或拒絕遠程管理設(shè)備到網(wǎng)絡(luò)設(shè)備的線路上，允許或拒絕遠程管理設(shè)備Router(config)#access-list access-list-number permit | deny source source- wildcard logRouter(config-

8、if)#ip access-group access-list-number in | out 標準標準ACL應(yīng)用應(yīng)用1：允許特定源的流量：允許特定源的流量6-1Non-E0E1S03標準標準ACL應(yīng)用：允許特定源的流量應(yīng)用：允許特定源的流量6-2v第一步，創(chuàng)建允許來自第一步，創(chuàng)建允許來自的流量的的流量的ACLv第二步，應(yīng)用到接口第二步，應(yīng)用到接口E0和和E1的出方向上的出方向上 Router(config)#access-list 1 permit 55

9、Router(config)#interface fastethernet 0/0Router(config-if)#ip access-group 1 outRouter(config)#interface fastethernet 0/1Router(config-if)#ip access-group 1 outv 1、單地址、單地址v 地址地址 v 2、子網(wǎng)、子網(wǎng)v 網(wǎng)絡(luò)號網(wǎng)絡(luò)號 反掩碼反掩碼v v 55 v Access-list 2 permit 192.168.1.

10、2 v Access-list 2 deny host 標準標準ACL應(yīng)用：拒絕特定主機的通信流量應(yīng)用：拒絕特定主機的通信流量v第一步，創(chuàng)建拒絕來自第一步，創(chuàng)建拒絕來自3的流量的的流量的ACLv第二步，應(yīng)用到接口第二步，應(yīng)用到接口E0的出方向的出方向Router(config)#access-list 1 deny host 3 Router(config)#access-list 1 permit 55Router(config)#interface fastethernet

11、 0/0Router(config-if)#ip access-group 1 out 標準標準ACL應(yīng)用：拒絕特定子網(wǎng)的流量應(yīng)用：拒絕特定子網(wǎng)的流量v第一步，創(chuàng)建拒絕來自子網(wǎng)第一步，創(chuàng)建拒絕來自子網(wǎng)的流量的的流量的ACLv第二步，應(yīng)用到接口第二步，應(yīng)用到接口E0的出方向的出方向Router(config)#access-list 1 deny 55Router(config)#accesslist 1 permit anyRouter(config)#interface fastethernet 0/0Router（config-if）

12、#ip access-group 1 out擴展訪問控制列表擴展訪問控制列表7-1v擴展訪問控制列表擴展訪問控制列表 基于源和目的地址、傳輸層協(xié)議和應(yīng)用端口號進行過基于源和目的地址、傳輸層協(xié)議和應(yīng)用端口號進行過濾濾 每個條件都必須匹配，才會施加允許或拒絕條件每個條件都必須匹配，才會施加允許或拒絕條件 使用擴展使用擴展ACL可以實現(xiàn)更加精確的流量控制可以實現(xiàn)更加精確的流量控制 訪問控制列表號從訪問控制列表號從100到到199 擴展訪問控制列表擴展訪問控制列表7-2v擴展訪問控制列表使用更多的信息描述數(shù)據(jù)擴展訪問控制列表使用更多的信息描述數(shù)據(jù)包，表明是允許還是拒絕包，表明是允許還是拒絕從從172.

13、16.3.0/24來的來的,到到3的，的，使用使用TCP協(xié)議，協(xié)議，利用利用HTTP訪問的訪問的數(shù)據(jù)包可以通過！數(shù)據(jù)包可以通過！路由器路由器擴展訪問控制列表擴展訪問控制列表7-320FTP-DATA（文件傳輸協(xié)議）（文件傳輸協(xié)議）FTP（數(shù)據(jù)）（數(shù)據(jù)）TCP21FTP（文件傳輸協(xié)議）（文件傳輸協(xié)議）FTPTCP23TELNET終端連接終端連接TCP25SMTP簡單郵件傳輸協(xié)議簡單郵件傳輸協(xié)議TCP42NAMESERVER主機名字服務(wù)器主機名字服務(wù)器UDP53DOMAIN域名服務(wù)器（域名服務(wù)器（DNS)TCP/UDP69TFTP普通文件傳輸協(xié)議（普通文件傳輸協(xié)議（TFTP)U

14、DP80WWW萬維網(wǎng)萬維網(wǎng)TCP擴展訪問控制列表擴展訪問控制列表7-4擴展訪問控制列表的配置擴展訪問控制列表的配置8-1v第一步，使用第一步，使用access-list命令創(chuàng)建擴展訪問控制命令創(chuàng)建擴展訪問控制列表列表Router(config)#access-list access-list-number permit | deny protocol source source-wildcard destination destination-wildcard operator port established logeq portnumber等于端口號等于端口號 portnumbergt p

15、ortnumber大于端口號大于端口號portnumberlt portnumber小于端口號小于端口號portnumberneq portnumber不等于端口號不等于端口號portnumber擴展訪問控制列表的配置擴展訪問控制列表的配置8-2擴展訪問控制列表的配置擴展訪問控制列表的配置8-3v第二步，使用第二步，使用ip access-group命令將擴展訪問命令將擴展訪問控制列表應(yīng)用到某接口控制列表應(yīng)用到某接口Router（config-if）#ip access-group access-list-number in | out 擴展擴展ACL應(yīng)用應(yīng)用1：拒絕：拒絕ftp流量通過流量通

16、過E0v第一步，創(chuàng)建拒絕來自第一步，創(chuàng)建拒絕來自、去往、去往、ftp流量的流量的ACLv第二步，應(yīng)用到接口第二步，應(yīng)用到接口E0的出方向的出方向Router(config)#access-list 101 deny tcp 55 55 eq 21Router(config)#access-list 101 permit ip any anyRouter(config)#interface fastthernet 0/0Router（config-if）#ip access-group

17、 101 out擴展擴展ACL應(yīng)用應(yīng)用2： 拒絕拒絕telnet流量通過流量通過E0v第一步，創(chuàng)建拒絕來自第一步，創(chuàng)建拒絕來自、去往、去往、telnet流量的流量的ACLv第二步，應(yīng)用到接口第二步，應(yīng)用到接口E0的出方向上的出方向上Router(config)#access-list 101 deny tcp 55 55 eq 23Router(config)#access-list 101 permit ip any anyRouter(config)#interface fast

18、ethernet 0/0Router（config-if）#ip access-group 101 out命名的訪問控制列表命名的訪問控制列表9-1v標準標準ACL和擴展和擴展ACL中可以使用一個字母數(shù)字組中可以使用一個字母數(shù)字組合的字符串（名字）代替來表示合的字符串（名字）代替來表示ACL的表號的表號 v命名命名IP訪問列表允許從指定的訪問列表刪除單個訪問列表允許從指定的訪問列表刪除單個條目條目v如果添加一個條目到列表中，那么該條目被添加如果添加一個條目到列表中，那么該條目被添加到列表末尾到列表末尾 v不能以同一個名字命名多個不能以同一個名字命名多個ACLv在命名的訪問控制列表下在命名的訪問

19、控制列表下 ，permit和和deny命令的命令的語法格式與前述有所不同語法格式與前述有所不同 命名的訪問控制列表命名的訪問控制列表9-2v第一步，創(chuàng)建名為第一步，創(chuàng)建名為cisco的命名訪問控制列表的命名訪問控制列表v第二步，指定一個或多個第二步，指定一個或多個permit及及deny條件條件 v第三步，應(yīng)用到接口第三步，應(yīng)用到接口E0的出方向的出方向Router（config）#interface fastethernet 0/0Router（config-if）#ip access-group cisco outRouter(config)#ip access-list extended

20、 ciscoRouter（config-ext-nacl）# deny tcp 55 55 eq 23Router（config-ext-nacl）# permit ip any any查看訪問控制列表查看訪問控制列表10-1Router#show ip interface fastethernet 0/0 FastEthernet0/0 is up, line protocol is up Internet address is /24 Broadcast address is 255.255.255

21、.255 Address determined by setup command MTU is 1500 bytes Helper address is not set Directed broadcast forwarding is disabled Outgoing access list is cisco Inbound access list is not set Proxy ARP is enabled Local Proxy ARP is disabled Security level is default Split horizon is enabled ICMP redirec

22、ts are always sent ICMP unreachables are always sent ICMP mask replies are never sent IP fast switching is enabled IP fast switching on the same interface is disabled 查看訪問控制列表查看訪問控制列表10-2Router#show access-list Extended IP access list cisco 10 deny tcp 55 55 eq telnet 20 permit ip any any實驗實驗v實驗背景實驗背景 隨著隨著BENET公司網(wǎng)絡(luò)建設(shè)的開展，對網(wǎng)絡(luò)的安全性公司網(wǎng)絡(luò)建設(shè)的開展，對網(wǎng)絡(luò)的安全性也要求越來越高，需要在路由器上應(yīng)用訪問控制列也要求越來