訪問控制列表

訪問控制列表第七章工作任務1S0/0BS0/0R1R2F0/0F0/0PC1Server1/24/24/24要求:PC1不能訪問Server1，但PC2可以訪問。PC2工作任務2S0/0BS0/0R1R2F0/0F0/0PC1Server1/24/24/24要求:PC1、PC2都可以訪問Server1,但PC2不能訪問Server1的WWW服務。PC2學習目標1.訪問控制列表2.配置標準訪問控制列表3.配置擴展訪問控制列表4.驗證和監(jiān)視ACL5.基于時間的訪問控制列表6.基于名稱的訪問控制列表訪問控制列表ACL：AccessList

應用到路由器接口的指令序列，告訴路由器哪些數(shù)據(jù)包可以接收，哪些數(shù)據(jù)包需要拒絕。Internet

當網(wǎng)絡訪問增長時，管理IP通信當數(shù)據(jù)包通過路由器時，起到過濾作用

為什么使用ACL？ACL作用1．限制網(wǎng)絡流量、提高網(wǎng)絡性能。2．提供對通信流量的控制手段。3．提供網(wǎng)絡訪問的基本安全手段。4．在路由器接口處，決定哪種類型的通信流量被轉(zhuǎn)發(fā)、哪種類型的通信流量被阻塞。ACL如何工作ACL條件順序CiscoIOS按照各描述語句在ACL中的順序，根據(jù)各描述語句的判斷條件，對數(shù)據(jù)包進行檢查。一旦找到了某一匹配條件，就結(jié)束比較過程，不再檢查以后的其他條件判斷語句。

ACL的類型

標準ACL檢查源地址允許或拒絕整個協(xié)議族OutgoingPacketfa0/0S0/0IncomingPacketAccessListProcessesPermit?Source

擴展ACL檢查源和目的地址通常允許或拒絕特定的協(xié)議OutgoingPacketFa0/0s0/0IncomingPacketAccessListProcessesPermit?Sourceand

DestinationProtocolACL的類型用擴展ACL檢查數(shù)據(jù)包常見端口號端口號協(xié)議20文件傳輸協(xié)議（FTP）數(shù)據(jù)21文件傳輸協(xié)議（FTP）程序23遠程登錄（Telnet）25簡單郵件傳輸協(xié)議（SMTP）69普通文件傳送協(xié)議（TFTP）80超文本傳輸協(xié)議(HTTP)53域名服務系統(tǒng)（DNS）標準ACL配置access-listaccess-list-number{permit|deny}{source[wildcard]}Router(config)#例：Router(config)#access-list1permit55Step1:定義訪問控制列表ACL表號（access-list-number）協(xié)議ACL表號的取值范圍IP（Internet協(xié)議）1-99ExtendedIP(擴展Internet協(xié)議)100-199AppleTalk600-699IPX（互聯(lián)網(wǎng)數(shù)據(jù)包交換）800-899ExtendedIPX(擴展互聯(lián)網(wǎng)數(shù)據(jù)包交換)900-999IPXserviceAdvertisingProtocol(IPX服務通告協(xié)議)1000-1099通配符掩碼（wildcardmask）

是一個32比特位的數(shù)字字符串

0表示“檢查相應的位”,1表示“不檢查（忽略）相應的位”特殊的通配符掩碼1.Any552.Host9Host9{protocol}access-groupaccess-list-number{in|out}例：Router(config-if)#ipaccess-group1out標準ACL配置Step2:將訪問控制列表應用到某一接口上Router(config)#ints0/0Router(config-if)#標準ACL配置ACL不在接口上應用，ACL將不起任何作用

ACL最后隱含denyany命令

ACL不能對本路由器產(chǎn)生的數(shù)據(jù)包進行控制

標準ACL要盡量靠近目的地址的接口處完成工作任務1S0/0BS0/0R1R2F0/0F0/0PC1Server1/24/24/24要求:PC1不能訪問Server1，但PC2可以訪問。PC2標準ACL與擴展ACL比較標準（Standard）擴展（Extended）過濾基于源過濾基于源和目的允許或拒絕整個協(xié)議族允許或拒絕特定的IP協(xié)議或端口范圍（100-199）范圍（1-99）擴展ACL配置參數(shù)參數(shù)描述access-list-number訪問控制列表表號（100-109）permit|deny如果滿足條件，允許或拒絕后面指定特定地址的通信流量protocol用來指定協(xié)議類型，如IP、TCP、UDP、ICMP等sourceanddestination分別用來標識源地址和目的地址source-mask通配符掩碼，跟源地址相對應destination-mask通配符掩碼，跟目的地址相對應operatorlt,gt,eq,neq(小于，大于，等于，不等于)port一個端口號established如果數(shù)據(jù)包使用一個已建立連接，便可允許TCP信息通過access-listaccess-list-number

{permit|deny}protocolsourcesource-wildcard[operatorport]

destinationdestination-wildcard[operatorport][established][log]擴展ACL配置ACL要在接口上應用

ACL最后隱含denyany命令擴展ACL要盡量靠近源地址的接口處完成工作任務2S0/0BS0/0R1R2F0/0F0/0PC1Server1/24/24/24要求:PC1、PC2都可以訪問Server1,但PC2不能訪問Server1的WWW服務。PC2驗證ACLShowaccess-listShowipaccess-listShowipinterfaceShowrun基于時間的訪問控制列表

基于時間的訪問控制列表用途：

可能公司會遇到這樣的情況，要求上班時間不能上QQ，下班可以上或者平時不能訪問某網(wǎng)站只有到了周末可以。對于這種情況僅僅通過發(fā)布通知規(guī)定是不能徹底杜絕員工非法使用的問題的，這時基于時間的訪問控制列表應運而生。

基于時間的訪問控制列表的格式：

基于時間的訪問控制列表由兩部分組成，第一部分是定義時間段，第二部分是用擴展訪問控制列表定義規(guī)則。這里我們主要講解下定義時間段，具體格式如下：

time-range

時間段名稱

absolutestart[小時：分鐘][日月年][end][小時：分鐘][日月年]例如：time-rangesofter

absolutestart0:001may2005end12:001june2005路由器連接了二個網(wǎng)段，分別為/24,/24。在/24網(wǎng)段中有一臺服務器提供FTP服務，IP地址為3。只容許網(wǎng)段的用戶在周末訪問3上的FTP資源，工作時間不能下載該FTP資源。路由器配置命令：

time-rangesofter

定義時間段名稱為softer

periodicweekend00:00to23:59

定義具體時間范圍，為每周周末（6，日）的0點到23點59分。當然可以使用periodicweekdays定義工作日或跟星期幾定義具體的周幾。

access-list101denytcpany3eqftptime-rangesofter

設置ACL，禁止在時間段softer范圍內(nèi)訪問3的FTP服務。

access-list101permitipanyany

設置ACL，容許其他時間段和其他條件下的正常訪問。

inte1

進入E1端口。

ipaccess-group101out

宣告ACL101。

基于時間的ACL比較適合于時間段的管理，通過上面的設置的用戶就只能在周末訪問服務器提供的FTP資源了，平時無法訪問?；诿Q的訪問控制列表

不管是標準訪問控制列表還是擴展訪問控制列表都有一個弊端，那就是當設置好ACL的規(guī)則后發(fā)現(xiàn)其中的某條有問題，希望進行修改或刪除的話只能將全部ACL信息都刪除。也就是說修改一條或刪除一條都會影響到整個ACL列表。用基于名稱的訪問控制列表來解決上述問題?；诿Q的訪問控制列表的格式：

ipaccess-list[standard|extended][ACL名稱]

例如：ipaccess-liststandardsofter就建立了一個名為softer的標準訪問控制列表?；诿Q的訪問控制列表的使用方法：當我們建立了一個基于名稱的訪問列表后就可以進入到這個ACL中進行配置了。

例如：我們添加三條ACL規(guī)則

permit

permit

permit如果我們發(fā)現(xiàn)第二條命令應該是而不是，如果使用不是基于名稱的訪問控制列表的話，使用nopermit后整個ACL信息都會被刪除掉。正是因為使用了基于名稱的訪問控制列表，我們使用n