網(wǎng)絡(luò)互聯(lián)及應(yīng)用第6章 訪問(wèn)控制列表

1、網(wǎng)絡(luò)互聯(lián)及應(yīng)用第第6 6章章 訪問(wèn)控制列表訪問(wèn)控制列表訪問(wèn)控制列表2022-2-14網(wǎng)絡(luò)互聯(lián)及應(yīng)用2項(xiàng)目描述項(xiàng)目背景三方培訓(xùn)學(xué)校的校園內(nèi)網(wǎng)，由主校區(qū)、分校區(qū)及生活區(qū)三大塊組成，三個(gè)區(qū)域均通過(guò)Cisco Catalyst2621型路由器進(jìn)行連接，并通過(guò)主校區(qū)的路由器連接到外網(wǎng)。分校區(qū)通過(guò)Cisco Catalyst2950交換機(jī)連接汽車培訓(xùn)部的若干臺(tái)主機(jī)，生活區(qū)通過(guò)Cisco Catalyst2950交換機(jī)連接學(xué)生宿舍的若干臺(tái)主機(jī)，網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖1所示。2022-2-14網(wǎng)絡(luò)互聯(lián)及應(yīng)用3網(wǎng)絡(luò)拓?fù)鋱D2022-2-14網(wǎng)絡(luò)互聯(lián)及應(yīng)用4圖1 三方培訓(xùn)學(xué)校校園內(nèi)網(wǎng)路由拓?fù)鋱D項(xiàng)目構(gòu)成單元訪問(wèn)控制列表基礎(chǔ)

2、 標(biāo)準(zhǔn)訪問(wèn)控制列表擴(kuò)展訪問(wèn)控制列表 2022-2-14網(wǎng)絡(luò)互聯(lián)及應(yīng)用5訪問(wèn)控制列表2022-2-14網(wǎng)絡(luò)互聯(lián)及應(yīng)用6訪問(wèn)控制列表基礎(chǔ) 單元目標(biāo)及任務(wù)單元目標(biāo)及任務(wù)了解訪問(wèn)控制列表的作用；了解訪問(wèn)控制列表的原理；了解訪問(wèn)控制列表的應(yīng)用；了解訪問(wèn)控制列表的分類；理解應(yīng)用訪問(wèn)控制列表的注意事項(xiàng)；掌握訪問(wèn)控制列表的通配符掩碼；掌握不同類型的訪問(wèn)控制列表號(hào)；掌握訪問(wèn)控制列表命令的基本格式。2022-2-14網(wǎng)絡(luò)互聯(lián)及應(yīng)用7訪問(wèn)控制列表的作用ACL就是用來(lái)在使用路由技術(shù)的網(wǎng)絡(luò)里，識(shí)別和過(guò)濾那些由某些網(wǎng)絡(luò)發(fā)出的或者被發(fā)送去某些網(wǎng)絡(luò)的數(shù)據(jù)流量，以決定這些數(shù)據(jù)流量是應(yīng)該轉(zhuǎn)發(fā)還是丟棄的技術(shù)。隨著網(wǎng)絡(luò)的不斷擴(kuò)大，越

3、來(lái)越多不用種類的網(wǎng)絡(luò)被連接起來(lái)。網(wǎng)絡(luò)管理人員所面對(duì)的一個(gè)任務(wù)越來(lái)越顯得緊迫和棘手，這就是在允許正當(dāng)訪問(wèn)的同時(shí)，如何拒絕那些不受歡迎的訪問(wèn)，因?yàn)樗鼈兇蠖鄬?duì)網(wǎng)絡(luò)的重要設(shè)備和數(shù)據(jù)具有危險(xiǎn)性。在能夠選擇的管理網(wǎng)絡(luò)數(shù)據(jù)流量的方法中，最簡(jiǎn)單方便且易于理解和使用的，就是ACL。ACL對(duì)網(wǎng)絡(luò)的安全和性能都起著重要的作用，在網(wǎng)絡(luò)安全方面，ACL通過(guò)對(duì)數(shù)據(jù)包的過(guò)濾，可以將特定的信息隔離在網(wǎng)絡(luò)外部，保護(hù)內(nèi)部網(wǎng)絡(luò)中設(shè)備和數(shù)據(jù)的安全，同時(shí)又不影響正常的網(wǎng)絡(luò)服務(wù)。同時(shí)，ACL還可以實(shí)現(xiàn)訪問(wèn)限制，起到限制網(wǎng)絡(luò)流量、提高網(wǎng)絡(luò)性能的作用。正是由于具備這樣的特征，ACL成為實(shí)現(xiàn)防火墻的重要手段。2022-2-14網(wǎng)絡(luò)互聯(lián)及應(yīng)用8

4、訪問(wèn)控制列表的原理ACL實(shí)際上是一系列的判斷語(yǔ)句，這些語(yǔ)句是一種自上而下的邏輯排列關(guān)系。當(dāng)把一個(gè)ACL放置在接口上時(shí)，被過(guò)濾的數(shù)據(jù)包會(huì)一個(gè)個(gè)地和這些語(yǔ)句的條件進(jìn)行順序的比較，以找出符合條件的數(shù)據(jù)包。當(dāng)數(shù)據(jù)包不能符合一條語(yǔ)句的條件時(shí)，它將與下一條語(yǔ)句的條件比較，直到它符合某一條語(yǔ)句的條件為止。如果一個(gè)數(shù)據(jù)包與所有語(yǔ)句的條件都不能匹配，在ACL的最后有一條隱含的語(yǔ)句，它將會(huì)強(qiáng)制性地把這個(gè)數(shù)據(jù)包丟棄，如圖2所示。2022-2-14網(wǎng)絡(luò)互聯(lián)及應(yīng)用92022-2-14網(wǎng)絡(luò)互聯(lián)及應(yīng)用10圖2 ACL的操作過(guò)程訪問(wèn)控制列表的應(yīng)用由于ACL是用來(lái)過(guò)濾數(shù)據(jù)流量的技術(shù)，所以它一定是被放置在路由器的接口上使用的。由

5、于在接口上數(shù)據(jù)流量有進(jìn)接口（in）和出接口（out）兩個(gè)方向，所以在接口上使用ACL也有進(jìn)（in）和出（out）兩個(gè)方向。進(jìn)方向的ACL負(fù)責(zé)過(guò)濾進(jìn)入接口的數(shù)量流量，出方向的ACL負(fù)責(zé)過(guò)濾從接口發(fā)出的數(shù)據(jù)流量。對(duì)于路由器的接口來(lái)說(shuō)，在同一個(gè)接口上，每種被路由協(xié)議的ACL（如IP協(xié)議的訪問(wèn)控制列表、IPX協(xié)議的訪問(wèn)控制列表等）都可以配置兩個(gè)，一個(gè)是進(jìn)方向的（in），一個(gè)是出方向的（out）。ACL只能過(guò)濾經(jīng)過(guò)路由器的數(shù)據(jù)包，對(duì)于路由器自己本身所產(chǎn)生的數(shù)據(jù)包，應(yīng)用在接口上的ACL是不能過(guò)濾的。除了在串行接口、以太網(wǎng)接口等物理接口上應(yīng)用ACL以實(shí)現(xiàn)控制數(shù)據(jù)流量的功能以外，ACL還具有很多其它的應(yīng)用方式

6、，比如在虛擬終端線路接口（vty）上應(yīng)用ACL，以實(shí)現(xiàn)允許網(wǎng)管員通過(guò)vty 接口遠(yuǎn)程登錄（telnet）路由器的同時(shí)，阻止沒有權(quán)限的用戶遠(yuǎn)程登錄路由器的功能。另外，ACL還可以應(yīng)用在隊(duì)列技術(shù)、按需撥號(hào)、NAT、基于策略的路由等多種技術(shù)中。2022-2-14網(wǎng)絡(luò)互聯(lián)及應(yīng)用11訪問(wèn)控制列表的分類2022-2-14網(wǎng)絡(luò)互聯(lián)及應(yīng)用12應(yīng)用訪問(wèn)控制列表的注意事項(xiàng) ACL的列表號(hào)指明了所使用的協(xié)議類型。的列表號(hào)指明了所使用的協(xié)議類型。 ACL的配置是基于協(xié)議、接口和方向的。的配置是基于協(xié)議、接口和方向的。 ACL的語(yǔ)句順序決定了對(duì)數(shù)據(jù)包的控制順序。的語(yǔ)句順序決定了對(duì)數(shù)據(jù)包的控制順序。 最有限制性的語(yǔ)句應(yīng)放

7、在最有限制性的語(yǔ)句應(yīng)放在ACL語(yǔ)句的首行。語(yǔ)句的首行。 先建立先建立ACL，再應(yīng)用到接口。，再應(yīng)用到接口。 ACL的語(yǔ)句不能逐條刪除，只能一次性刪除整個(gè)的語(yǔ)句不能逐條刪除，只能一次性刪除整個(gè)ACL。 ACL的隱含語(yǔ)句。的隱含語(yǔ)句。 ACL只能過(guò)濾穿過(guò)路由器的數(shù)據(jù)流量，不能過(guò)濾由路只能過(guò)濾穿過(guò)路由器的數(shù)據(jù)流量，不能過(guò)濾由路由器本身發(fā)出的數(shù)據(jù)包。由器本身發(fā)出的數(shù)據(jù)包。2022-2-14網(wǎng)絡(luò)互聯(lián)及應(yīng)用13訪問(wèn)控制列表的通配符掩碼 (1) 通配符掩碼的概念在ACL中用來(lái)判斷IP地址的網(wǎng)絡(luò)位的掩碼是通配符掩碼（wildcard）。(2) 通配符掩碼的作用通配符掩碼是一個(gè)32位的數(shù)字字符串，它被用點(diǎn)號(hào)分成

8、4個(gè)8位組，每個(gè)8位組包含8位。在通配符掩碼中，0表示“檢查相應(yīng)的位”，而1表示“不檢查(忽略)相應(yīng)的位”。通配符掩碼與IP地址成對(duì)出現(xiàn)。在通配符掩碼的地址位使用1或0表明如何處理相應(yīng)的IP地址位。ACL使用通配符掩碼來(lái)標(biāo)識(shí)一個(gè)或幾個(gè)地址是被允許，還是被拒絕。2022-2-14網(wǎng)絡(luò)互聯(lián)及應(yīng)用14(3) ACL通配符掩碼與IP子網(wǎng)掩碼的區(qū)別盡管都是32 位的數(shù)字字符串，ACL通配符掩碼跟IP子網(wǎng)掩碼的工作原理是不同的。在IP子網(wǎng)掩碼中數(shù)字1和0用來(lái)決定是網(wǎng)絡(luò)、子網(wǎng)還是相應(yīng)的主機(jī)IP地址。正如剛才所講的，在ACL 通配符掩碼中，掩碼位的數(shù)字1和0用來(lái)決定相應(yīng)的IP地址是被忽略，還是被檢查。ACL通

9、配符掩碼和IP子網(wǎng)掩碼正好相反，所以習(xí)慣上將通配符掩碼稱為“反碼”。(4) 兩種常見的通配符掩碼通配符any。在ACL中，通常把 55 簡(jiǎn)寫為any。通配符host。在ACL中，通常把類似 的通配符掩碼簡(jiǎn)寫為host 。2022-2-14網(wǎng)絡(luò)互聯(lián)及應(yīng)用15不同類型訪問(wèn)控制列表的列表號(hào) 表1列出了部分協(xié)議的ACL列表號(hào)。表 1 ACL類型及其對(duì)應(yīng)的列表號(hào)2022-2-14網(wǎng)絡(luò)互聯(lián)及應(yīng)用16ACL類型列表號(hào)IP標(biāo)準(zhǔn)的199擴(kuò)展的10099，13001999，20002699命名的名字（IOS1

10、1.2版本以后可用）AppleTalk600699IPX標(biāo)準(zhǔn)的800899擴(kuò)展的900999SAP過(guò)濾10001099命名的名字（IOS11.2版本以后可用）訪問(wèn)控制列表命令的基本格式 l使用ACL時(shí)，必須先在全局模式下建立ACL。l建立ACL的命令基本格式如下：Router(config)# access-list access-list-number permit | deny test-conditions其中access-list-number 是指ACL列表號(hào)，起到區(qū)別不同類型ACL的作用。permit(允許)和deny（拒絕）可選項(xiàng)，兩者選一。test-conditions是用來(lái)與

11、數(shù)據(jù)包信息做比較的條件。建立完ACL之后，要在接口上應(yīng)用它，命令如下：Router(config-if)# protocol access-group access-list-number其中protocol是指協(xié)議類型。刪除被建立的訪問(wèn)控制列表的命令如下：Router(config)# no access-list access-list-numberlACL的語(yǔ)句不能逐條刪除，只能一次性刪除整個(gè)ACL（把列表號(hào)刪除）。2022-2-14網(wǎng)絡(luò)互聯(lián)及應(yīng)用17訪問(wèn)控制列表2022-2-14網(wǎng)絡(luò)互聯(lián)及應(yīng)用18標(biāo)準(zhǔn)訪問(wèn)控制列表 單元目標(biāo)及任務(wù)單元目標(biāo)及任務(wù)了解標(biāo)準(zhǔn)訪問(wèn)控制列表的工作過(guò)程；掌握標(biāo)準(zhǔn)訪問(wèn)

12、控制列表的配置命令格式；在三方培訓(xùn)學(xué)校校園網(wǎng)中進(jìn)行標(biāo)準(zhǔn)訪問(wèn)控制列表的配置實(shí)訓(xùn)。2022-2-14網(wǎng)絡(luò)互聯(lián)及應(yīng)用19標(biāo)準(zhǔn)訪問(wèn)控制列表的工作過(guò)程Standard ACL檢查可以被路由的IP分組的源地址，并且把它與Standard ACL中的條件判斷語(yǔ)句相比較，決定其是被允許，還是被拒絕。Standard ACL可以基于網(wǎng)絡(luò)、子網(wǎng)及主機(jī)IP地址允許或拒絕整個(gè)協(xié)議組(如IP)。例如，從路由器接口進(jìn)來(lái)的分組經(jīng)過(guò)檢查其源地址和協(xié)議類型，并且與Standard ACL條件判斷語(yǔ)句相比較，如果匹配則執(zhí)行允許或拒絕。如果該分組被允許通過(guò)，就從路由器的出口轉(zhuǎn)發(fā)出去；如果該分組沒有被允許，就簡(jiǎn)單地丟棄它。其工作過(guò)程

13、如圖3所示。2022-2-14網(wǎng)絡(luò)互聯(lián)及應(yīng)用202022-2-14網(wǎng)絡(luò)互聯(lián)及應(yīng)用21圖3 Standard ACL的工作過(guò)程標(biāo)準(zhǔn)訪問(wèn)控制列表的配置命令配置Standard ACL的方法如下：在全局模式下建立Standard ACL：Router(config)# access-list access-list-number permit | deny source source-wildcard其中access-list-number是指Standard ACL的列表號(hào)，范圍為1-99。source表示源IP地址，source-wildcard是該地址的通配符掩碼。當(dāng)一系列的建立Standar

14、d ACL的命令語(yǔ)句都使用同一個(gè)列表號(hào)時(shí)，這些語(yǔ)句就組成了一個(gè)Standard ACL，其與數(shù)據(jù)包信息相比較的順序就是命令語(yǔ)句鍵入的順序。在接口模式上應(yīng)用Standard ACL的命令如下：Router(config-if)# ip access-group access-list-number in | out其中in | out是在路由器接口上應(yīng)用Standard ACL的方向，默認(rèn)是out（出方向）。2022-2-14網(wǎng)絡(luò)互聯(lián)及應(yīng)用22標(biāo)準(zhǔn)訪問(wèn)控制列表的配置實(shí)訓(xùn)l步驟1：在分校區(qū)Branch_Router路由器上建立動(dòng)態(tài)路由Branch_Router (config)# router r

15、ipBranch_Router (config-router)# network Branch_Router (config-router)# network l步驟2：在主校區(qū)Teaching_Router路由器上建立動(dòng)態(tài)路由Teaching_Router (config)# router ripTeaching_Router (config-router)# network Teaching_Router (config-router)# network Teaching_Router (c

16、onfig-router)# network 2022-2-14網(wǎng)絡(luò)互聯(lián)及應(yīng)用23l步驟3：在生活區(qū)Living_Router路由器建立動(dòng)態(tài)路由Living_Router (config)# router ripLiving_Router (config-router)# network Living_Router (config-router)# network l步驟4：在分校區(qū)路由器Branch_Router上創(chuàng)建Standard ACL，禁止學(xué)生宿舍的主機(jī)訪問(wèn)汽車培訓(xùn)部的主機(jī)。 Branch_Router (

17、config) # access-list 99 deny 55Branch_Router (config) # access-list 99 permit anyBranch_Router (config) # interface fastethernet 0/1 Branch_Router (config-if) # ip access-group 99 out2022-2-14網(wǎng)絡(luò)互聯(lián)及應(yīng)用24訪問(wèn)控制列表2022-2-14網(wǎng)絡(luò)互聯(lián)及應(yīng)用25擴(kuò)展訪問(wèn)控制列表 單元目標(biāo)及任務(wù)單元目標(biāo)及任務(wù)了解擴(kuò)展訪問(wèn)控制列表的工作過(guò)程；掌握擴(kuò)展訪問(wèn)控制列表的配置命令格

18、式；在三方培訓(xùn)學(xué)校校園網(wǎng)中進(jìn)行擴(kuò)展訪問(wèn)控制列表的配置實(shí)訓(xùn)。2022-2-14網(wǎng)絡(luò)互聯(lián)及應(yīng)用26擴(kuò)展訪問(wèn)控制列表的工作過(guò)程Extended ACL比Standard ACL使用得更廣泛，因?yàn)樗峁┝烁蟮膹椥院涂刂品秶?。Extended ACL既可檢查分組的源地址和目的地址，也可檢查協(xié)議類型和TCP或UDP的端口號(hào)。Extended ACL可以基于分組的源地址、目的地址、協(xié)議類型、端口地址和應(yīng)用來(lái)決定訪問(wèn)是允許還是拒絕。Standard ACL只能禁止或拒絕整個(gè)協(xié)議集，而Extended ACL可以允許或拒絕協(xié)議集中的某些協(xié)議。例如，允許HTTP而拒絕FTP。路由器根據(jù)Extended ACL來(lái)

19、檢查分組的工作過(guò)程如圖4所示。2022-2-14網(wǎng)絡(luò)互聯(lián)及應(yīng)用272022-2-14網(wǎng)絡(luò)互聯(lián)及應(yīng)用28圖4 路由器根據(jù)Extended ACL來(lái)檢查分組的工作過(guò)程擴(kuò)展訪問(wèn)控制列表的配置命令l配置Extended ACL的方法如下：l在全局模式下建立Extended ACL：Router(config)# access-list access-list-number permit | deny protocol source source wildcard operator port destination destination- wildcard operator port establis

20、hed log其中access-list-number是指Extended ACL的列表號(hào)，范圍為100-199，13001999，20002699；source source-wildcard表示源IP地址和源地址的IP地址的通配符掩碼；destination destination-wildcard 表示目的IP地址和目的IP地址的通配符掩碼；operator port表示端口號(hào)；“ ”中的是可選項(xiàng)。established可選項(xiàng)比較特殊，在訪問(wèn)控制列表語(yǔ)句中鍵入該可選項(xiàng)，可以在拒絕數(shù)據(jù)包通過(guò)的方向上，讓已經(jīng)建立起會(huì)話連接的TCP數(shù)據(jù)流通過(guò)（如TCP的ACK確認(rèn)包），從而達(dá)到單向訪問(wèn)的目的。

21、在防火墻上經(jīng)常使用帶有established可選項(xiàng)的Extended ACL語(yǔ)句，以達(dá)到在防止外部攻擊的同時(shí)企業(yè)內(nèi)部的用戶可以正常地與Internet連接的目的。l從該命令可以看出，Extended ACL比Standard ACL具有更強(qiáng)的靈活性。2022-2-14網(wǎng)絡(luò)互聯(lián)及應(yīng)用29l在接口模式上應(yīng)用Extended ACL的命令如下：Router(config-line)#access-class access-list-number in | out其中in | out是在路由器接口上應(yīng)用Extended ACL的方向，默認(rèn)是out（出方向）。l其實(shí)在接口上應(yīng)用訪問(wèn)控制列表的命令格式，E

22、xtended ACL和Standard ACL是一樣的，只不過(guò)所使用的列表號(hào)不同而已。2022-2-14網(wǎng)絡(luò)互聯(lián)及應(yīng)用30擴(kuò)展訪問(wèn)控制列表的配置實(shí)訓(xùn)l步驟1：建立各路由器的動(dòng)態(tài)路由（略，請(qǐng)參考Standard ACL中的配置）l步驟2：在生活區(qū)路由器Living_Router上創(chuàng)建Extended ACL，禁止學(xué)生宿舍的主機(jī)PC4訪問(wèn)汽車培訓(xùn)部的主機(jī)PC1，而其它主機(jī)之間則能正常通信。Living_Router (config-router)# exitLiving _Router (config) # access-list 199 deny ip host host Living _Router (config) # access-list 199 permit any anyLiving _Router (config) # interface fastethernet 0/0 Living _Router (config-if) # ip acc