《現(xiàn)代通信網(wǎng)》實驗九 訪問控制列表（ACL）

1、ACL訪問控制列表2022/9/8Xian University of Posts and Telecommunications內(nèi)容1、電信網(wǎng)實驗 程控交換系統(tǒng)概述及CENTREX群用戶數(shù)據(jù)配置信令的概念及局間數(shù)據(jù)配置2、以太網(wǎng)實驗 家庭及小型辦公網(wǎng)絡(luò)接入及雙絞線的制作以太網(wǎng)原理、組網(wǎng)技術(shù)及以太網(wǎng)交換機基本操作VLAN概念、工作原理及交換機VLAN基本配置交換機鏈路聚合實驗、交換機STP實驗3、 IP網(wǎng)實驗 路由器基本原理及靜態(tài)路由實驗OSPF基本原理及OSPF路由基本實驗ACL訪問控制列表 NAT地址轉(zhuǎn)換 4、下一代網(wǎng)絡(luò)實驗 NGN局?jǐn)?shù)據(jù)配置 H.323協(xié)議原理及H.323用戶終端配置 IA

2、D用戶數(shù)據(jù)配置實驗本章學(xué)習(xí)目標(biāo)掌握ACL的原理及配置了解ACL的概念及其作用了解ACL的工作原理和過程掌握在路由器上配置ACL的方法，實現(xiàn)對數(shù)據(jù)流的控制 Internet什么是ACL?當(dāng)網(wǎng)絡(luò)流量不斷增長的時候，對數(shù)據(jù)流進行管理、限制、過濾的方法作為通用判別標(biāo)準(zhǔn)應(yīng)用到不同場合2022/9/8Xian University of Posts and TelecommunicationsACL簡介實際的網(wǎng)絡(luò)中，出于性能和安全的要求，需要路由器根據(jù)源地址、目的地址、服務(wù)類型等參數(shù)限制或允許特定網(wǎng)絡(luò)之間的相互訪問等功能。訪問控制列表（Access Control List，ACL ）是路由器使用的一種分

3、組過濾技術(shù)，用來控制路由器或交換設(shè)備上端口進出的數(shù)據(jù)包。一個ACL中可以包含一條或多條特定類型的規(guī)則。每個規(guī)則告訴路由器對于與規(guī)則匹配的分組是允許還是拒絕通過。2022/9/8Xian University of Posts and TelecommunicationsACL的作用ACL提供對通信流量的控制手段。ACL是提供網(wǎng)絡(luò)安全訪問的基本手段。ACL可以在路由器端口處決定哪種類型的通信流量被轉(zhuǎn)發(fā)或被阻塞。2022/9/8Xian University of Posts and Telecommunications ACL的分類輸出接口輸入接口ACL進程允許?源和目的協(xié)議Fei_1/1Fei

4、_1/2標(biāo)準(zhǔn)ACL以源地址作為過濾標(biāo)準(zhǔn)只能粗略的限制某一大類協(xié)議擴展ACL以源地址、目的地址、協(xié)議類型、端口號等作為過濾標(biāo)準(zhǔn)可以精確的限制到某一種具體的協(xié)議輸出接口ACL如何工作 ACL可以應(yīng)用在路由器的進入接口方向和外出接口方向。輸入接口NY報文丟棄選擇接口NACL?路由條目?YFei_1/1輸出接口NY報文丟棄選擇接口路由條目?N檢查ACL規(guī)則允許?YACL如何工作ACL?Y輸入接口Fei_1/1Fei_1/12022/9/8Xian University of Posts and Telecommunications如果沒有ACL的規(guī)則允許轉(zhuǎn)發(fā)則丟棄報文 NY報文丟棄選擇接口路由條目?N

5、Y檢查ACL規(guī)則允許?YACL?報文丟棄N輸出接口輸入接口ACL如何工作Fei_1/1Fei_1/1拒絕還是允許輸入接口丟棄Y目的接口拒絕拒絕Y匹配第一條規(guī)則?允許拒絕還是允許輸入接口丟棄Y目的接口拒絕拒絕Y匹配第一條規(guī)則?允許N拒絕允許匹配下一條規(guī)則?YY拒絕還是允許輸入接口丟棄Y目的接口拒絕拒絕Y匹配第一條規(guī)則?允許N拒絕允許匹配下一條規(guī)則?拒絕匹配最后一條規(guī)則?YYNYY允許2022/9/8Xian University of Posts and Telecommunications 丟棄Y拒絕Y允許N拒絕允許拒絕YYNYY允許隱式拒絕拒絕N拒絕還是允許輸入接口匹配第一條規(guī)則?目的接口匹

6、配下一條規(guī)則?匹配最后一條規(guī)則 ?2022/9/8Xian University of Posts and Telecommunications需要注意只有在上一條規(guī)則不匹配時才去匹配下一條規(guī)則若匹配到，無論拒絕還是允許，都不再匹配下一條規(guī)則每一個ACL最后都是隱式拒絕。標(biāo)準(zhǔn)與擴展ACL的比較標(biāo)準(zhǔn)ACL擴展ACL基于源地址過濾.允許/拒絕整個 TCP/IP 協(xié)簇.指定特定的 IP 協(xié)議和協(xié)議號ACL號范圍從 100 到 199.ACL號范圍從1 到 99基于源、目的地址過濾.2022/9/8Xian University of Posts and Telecommunicationsacces

7、s-list access-list-number permit|deny source wildmaskRouter(config)#IP 標(biāo)準(zhǔn)ACL使用列表號 1 至 99“no access-list access-list-number” 刪除整個ACL在接口上應(yīng)用ACL設(shè)置進入或外出方向“no ip access-group access-list-number in | out ” 去掉接口上的ACL設(shè)置Router(config-if)#ip access-group access-list-number in | out 配置標(biāo)準(zhǔn)ACL2022/9/8Xian Universi

8、ty of Posts and Telecommunications3S0Fei_1/1非網(wǎng)段只允許兩邊的網(wǎng)絡(luò)互相訪問access-list 1 permit 55(implicit deny all - not visible in the list)(access-list 1 deny 55)interface fei_1/2ip access-group 1 outinterface fei_1/1ip access-group 1 out /應(yīng)用在接口Fei_1/2標(biāo)準(zhǔn)ACL配置示例擴展ACL的配置Router(config)#設(shè)置擴展ACLaccess-list access-li

9、st-number permit | deny protocol source source-wildcard operator port destination destination-wildcard operator port established Router(config-if)# ip access-group access-list-number in | out 應(yīng)用到接口access-list 101 deny tcp 55 55 eq 21access-list 101 permit ip any any(implicit deny all)(access-list 10

10、1 deny ip 55 55)interface fei_1/2ip access-group 101 out拒絕從子網(wǎng) 到子網(wǎng) 通過fei_ 1/2口出去的FTP訪問 允許其他所有流擴展ACL的配置實例3S0非網(wǎng)段Fei_1/1Fei_1/22022/9/8Xian University of Posts and TelecommunicationsACL的規(guī)則按照由上到下的順序執(zhí)行，找到第一個匹配后即執(zhí)行相應(yīng)的操作（然后跳出ACL）末尾隱含為deny全部ACL可應(yīng)用于IP接口或某種服務(wù)在引用ACL之前，要首先創(chuàng)建好ACL對于一個協(xié)議，一個接口的一個方向上同一時間內(nèi)只能設(shè)置一個ACL拒絕數(shù)據(jù)包應(yīng)該靠近源E0E0E1S0To0S1S0S1E0E0BAC在什