1、第十章 访问控制列表,访问列表简介 标准IP访问控制列表 扩展IP访问控制列表 高级访问控制列表 查看访问控制列表的应用,当网络快速增长时,ACL能够更好地为企业控制流量的入出. 为穿越路由器或交换机的流量实施过滤.,为什么使用访问控制列表(ACL)?,访问列表的应用,虚拟会话 (IP),端口上的数据传输,应用到路由器接口上控制数据流的通过: Permit(允许)或deny(拒绝)分组穿越路由器. 允许或拒绝到路由器的vty(虚拟终端)访问. 如果没有访问控制列表,所有的数据流都能穿越路由器的接口随意访问.,什么是 ACL?,ACL 是一种路由器配置脚本,它根据从数据包报头中发现的条件来控制路
2、由器应该允许还是拒绝数据包通过. ACL 执行以下任务: 限制网络流量以提高网络性能. 提供流量控制。ACL 可以限制路由更新的传输. 提供基本的网络访问安全性。ACL 可以允许一台主机访问部分网络,同时阻止其它主机访问同一区域。 决定在路由器接口上转发或阻止哪些类型的流量。 控制客户端可以访问网络中的哪些区域。 屏蔽主机以允许或拒绝对网络服务的访问。ACL 可以允许或拒绝用户访问特定文件类型,例如 FTP 或 HTTP.,标准访问列表(standard access lists) 只检查分组的源地址信息 允许或拒绝的是整个协议栈,不区分流量类型,如WWW、Telnet、UDP等 扩展访问列表
3、(extended access lists) 可以同时检查源和目的地址信息 可针对于三层或四层协议信息进行控制,是目前使用非常广泛的安全控制方法。,访问控制列表的类型,如何识别标准和扩展访问列表,标准IP访问列表 (1-99):只使用源地址信息来做过滤决定. 扩展IP访问列表(100-199): 可以根据源和目的IP地址、协议类型、源和目的端口等信息综合作出过滤决定. 延伸的标准IP访问列表编号:1300-1999. 延伸的扩展IP访问列表编号:2000-2699. 其他的访问列表号码用来进行其他二层或三层网络协议的过滤。 命名的IP访问控制列表:以列表名代替列表编号来定义IP访问控制列表,
4、同样包括标准和扩展两种列表,定义过滤的语句与编号方式相似。,访问列表配置指南,在路由器的全局配置模式下创建ACL。 指定一个访问列表的表号,1-99表示标准ACL;100-199表示扩展访问列表,不到必要的时候,不要使用扩展的列表号码. 每接口、每协议、每方向只能有一个访问列表。 在ACL中,你输入列表条目的顺序就是IOS测试的顺序。 记住:把最严格的条目写在最上面,并且注意好判断语句之间的逻辑顺序,防止出错。 ACL的最后一行语句默认是拒绝所有,此条目并不显示,所以要非常注意。你要根据实际情况,添加相应的允许(permit)语句。 在把ACL映射到接口之前先做好这个ACL,否则就全部拒绝。
5、ACL对穿越路由器和到达路由器的流量起作用,对来自路由器本身的流量不起作用。,ACLs的放置位置,每个 ACL 都应该放置在最能发挥作用的位置。基本的规则是: 将扩展 ACL 尽可能靠近要拒绝流量的源。这样,才能在不需要的流量流经网络之前将其过滤掉. 因为标准 ACL 不会指定目的地址,所以其位置应该尽可能靠近目的地.,使用标准访问列表对分组实施过滤,步骤1: 为ACL设定判断语句 ,注意从严格到不严格的顺序,即 将最频繁使用的 ACL 条目放在列表顶部。,步骤2: 把做好的ACL映射到接口上,因为最终ACL的执行 需要接口来完成。,Router(config-if)#protocol acc
6、ess-group access-list-number in | out,访问列表命令概述,标准IP访问列表 (1-99) 扩展IP访问列表 (100-199) 标准IP访问列表 (1300-1999) (延伸的范围) 扩展IP访问列表 (2000-2699) (延伸的范围),Router(config)#access-list access-list-number permit | deny test conditions,在接口上启动访问列表 可以设定入站和出站的方向 缺省 = outbound no ip access-group access-list-number 从接口上移除访问
7、列表,Router(config-if)#ip access-group access-list-number in | out,逐一设定IP标准访问列表中的表项 IP标准访问列表的表号使用 1 to 99 缺省的通配符掩码 = 0.0.0.0(也就是说,当你不写通配符掩码的时候) no access-list access-list-number 移除整个ACL,编号方式的ACL不能删除具体的表项只能全部删除,这点要格外注意。 IP标准访问控制列表尽可能应用在靠近目的地址的位置,Router(config)#access-list access-list-number permit | de
8、ny | remark source mask,标准IP访问列表的配置,本例的ACL只允许源网络地址172.16.0.0的那些通信流量通过,而阻塞其他所有的通信流量。,标准IP访问列表范例1:允许一个源的通信流量通过,要求设计一个ACL,以便阻塞来自一个特定主机172.16.4.13的流量,而把所有其他的流量从E0接口发送出去.,标准IP访问列表范例2:拒绝一个特定主机的通信流量,要求设计一个ACL,以便阻塞一个特定子网172.16.4.0的流量,而允许其他所有的通信流量,并把他们从E0接口转发出去,标准IP访问列表范例3:拒绝一个特定子网的通信流量,控制VTY(Telnet)访问,创建一个标
9、准IP访问控制列表,只允许特定的主机能登录到远程路由器 使用access-class命令将此访问列表应用到VTY线路 例:Router(config)#access-list 50 permit 172.16.10.3Router(config)#line vty 0 4Router(config-line)#access-class 50 in,使用扩展访问控制列表对分组实施过滤,Router(config-if)#ip access-group access-list-number in | out,扩展IP访问列表配置,在接口上启动这个扩展访问列表 尽可能将扩展访问控制列表应用在靠近源地
10、址的位置,为扩展访问列表设置表项参数,有点复杂.,Router(config)#access-list access-list-number permit | deny protocol source source-wildcard operator port destination destination-wildcard operator port established log,拒绝来自子网172.16.4.0 到子网 172.16.3.0的FTP流量通过 E0. 因为FTP服务可以很容易地通过配置到别的端口来实现,因此拒绝21,20端口仅仅是心理安慰罢了,不能从根本上保证服务的拒绝.,
11、扩展访问列表范例1:拒绝FTP通信流量通过ETHERNET0,Router(config)#ip access-list standard | extended name,Router(config std- | ext-nacl)#permit | deny ip access list test conditions permit | deny ip access list test conditions no permit | deny ip access list test conditions,Router(config-if)#ip access-group name in | o
12、ut,使用Named(命名)IP访问列表,Name:是由字母数字串组成的名字,比使用号码表示ACL来的直观;并且不受号码范围的限制.,由于存在ACL配置子模式,以后在permit或deny的前面不需要重复的输入列表前缀了. “no” 命令可以单独删除列表中的条目,而不像编号方式的全部删除.,在接口上激活命名IP访问列表. 推荐使用命名IP访问控制列表.,创建标准命名 ACLs,图中显示了创建标准命名 ACL 的步骤. Step 1.进入全局配置模式,使用 ip access-list 命令创建命名 ACL。ACL 名称是字母数字,必须唯一而且不能以数字开头. Step 2.在命名 ACL 配置
13、模式下,使用 permit 或 deny 语句指定一个或多个条件,以确定数据包应该转发还是丢弃. Step 3. 使用 end 命令返回特权执行模式.,编辑命名 ACLs,从 Cisco IOS 软件第 12.3 版开始,命名 IP ACL 允许删除指定 ACL 中的具体条目. 可以使用序列号将语句插入命名 ACL 中的任何位置。,访问列表的配置原则,访问列表中表项的顺序是至关重要的. 推荐: 在PC中使用文本编辑器创建访问列表的表项, 然后剪切并粘贴到路由器的配置文件中. 访问列表是从上至下的顺序处理的,要牢记 要把最严谨的表项放在最前面,防止产生错误. 不能对列表中的条目重新排序和移除.
14、使用no access-list number移除整个访问列表. 例外: 命名访问列表可以移除单个表项条目,但无法重新排序. 对于任何表项条目都不匹配的,IOS默认为拒绝所有. 除非在访问列表的结束位置用明确的permit语句允许.,wg_ro_a#show ip interfaces e0 Ethernet0 is up, line protocol is upInternet address is 10.1.1.11/24Broadcast address is 255.255.255.255Address determined by setup commandMTU is 1500 by
15、tesHelper address is not setDirected broadcast forwarding is disabledOutgoing access list is not setInbound access list is 1Proxy ARP is enabledSecurity level is defaultSplit horizon is enabledICMP redirects are always sentICMP unreachables are always sentICMP mask replies are never sentIP fast swit
16、ching is enabledIP fast switching on the same interface is disabledIP Feature Fast switching turbo vectorIP multicast fast switching is enabledIP multicast distributed fast switching is disabled,检查ACL的应用,检查ACL的表项条目,wg_ro_a#show access-lists Standard IP access list 1permit 10.2.2.1permit 10.3.3.1perm
17、it 10.4.4.1permit 10.5.5.1 Extended IP access list 101permit tcp host 10.22.22.1 any eq telnetpermit tcp host 10.33.33.1 any eq ftppermit tcp host 10.44.44.1 any eq ftp-data,wg_ro_a#show protocol access-list access-list number,wg_ro_a#show access-lists access-list number,本章考试要点,标准与扩展IP访问列表号范围 理解术语”implicit deny(隐含拒绝)” 标准IP访问控制列表配置 扩展IP访问控制列表配置 验证访问控制列表的应用,
