ACL原理及配置实例.ppt

上次回顾：广域网接口配置 配置PPP协议 PPP协议的验证方式 本次内容（补充） 理解ACL的基本原理 会配置标准ACL 会配置扩展ACL 会配置ACL对网络进行控制 理解NAT 会配置NAPT 2 需求需求 公网 互联网用户 对外信息 服务器 员工上网 信息 服务器 需求需求1 1 作为公司网络管理员，当公司领导提出下列要求 时你该怎么办？ 为了提高工作效率，不允许员工上班时间进行 QQ聊天、MSN聊天等，但需要保证正常的访问 Internet，以便查找资料了解客户及市场信息等 。 公司有一台服务器对外提供有关本公司的信息 服务，允许公网用户访问，但为了内部网络的安 全，不允许公网用户访问除信息服务器之外的任 何内网节点。 需求需求2 2 访问控制列表访问控制列表(ACL)(ACL) ACLACL概述概述 基本基本ACLACL配置配置 扩展扩展ACLACL配置配置 访问控制列表概述 访问控制列表（ACL） 读取第三层、第四层包头信息 根据预先定义好的规则对包进行过滤 IP报头TCP报头数据 源地址 目的地址 源端口 目的端口 访问控制列表利用这4个元素 定义的规则 7 访问控制列表的工作原理 访问控制列表在接口应用的方向 访问控制列表的处理过程 拒绝 允许 允许 允许 到达访问控制组接口的数据包 匹配 第一条 目的接口 隐含的 拒绝 丢弃 Y Y Y Y YY N N N 匹配 下一条 拒绝 拒绝 拒绝 匹配 下一条 8 访问控制列表类型 标准访问控制列表 扩展访问控制列表 命名访问控制列表 定时访问控制列表 9 标准访问控制列表配置3-1 创建ACL Router(config)#access-list access-list-number permit | deny source source-wildcard 删除ACL Router(config)# no access-list access-list-number 允许数据包通过 应用了访问控制 列表的接口 拒绝数据包通过 10 标准访问控制列表配置3-2 应用实例 Router(config)# access-list 1 permit 55 Router(config)# access-list 1 permit 允许/24和主机的流量通过 隐含的拒绝语句 Router(config)# access-list 1 deny 55 关键字 host any 11 Host any Host = any= 55 R1(config)# access-list 1 deny R1config)# access-list 1 permit 55 与 R1(config)# access-list 1 deny host R1(config)# access-list 1 permit any 相同 标准访问控制列表配置3-3 将ACL应用于接口 Router(config-if)# ip access-group access-list- number in |out 在接口上取消ACL的应用 Router(config-if)# no ip access-group access- list-number in |out 13 标准访问控制列表配置实例 实验 编号的标准IP访问列表。 【实验目的】 掌握路由器上编号的标准IP访问列表规则及配置。 【背景描述】 你是一个公司的网络管理员，公司的经理部、财务部 门和销售部门分属不同的3个网段，三部门之间用路 由器进行信息传递，为了安全起见，公司领导要求销 售部门不能对财务部门进行访问，但经理部可以对财 务部门进行访问。 PC1代表经理部的主机，PC2代表销售部门的主机、 PC3代表财务部门的主机。 【技术原理】 IP ACL（IP访问控制列表或IP访问列表）是实现对流 经路由器或交换机的数据包根据一定的规则进行过滤 ，从而提高网络可管理性和安全性。 标准IP访问列表可以根据数据包的源IP地址定义规则 ，进行数据包的过滤。 IP ACL基于接口进行规则的应用，分为：入栈应 用和出栈应用。 入栈应用是指由外部经该接口进行路由器的数据包 进行过滤。 出栈应用是指路由器从该接口向外转发数据时进行 数据包的过滤。 IP ACL的配置有两种方式：按照编号的访问列表， 按照命名的访问列表。 标准IP访问列表编号范围是199、13001999，扩 展IP访问列表编号范围是100199、20002699。 【实现功能】 实现网段间互相访问的安全控制。 【实验设备】 RSR10路由器（两台）、V.35线缆（1条）、交叉 线（3条） 【实验拓扑】 【实验步骤】 步骤1： Router1、 Router2 基本配置 IP地址等 步骤2： 路由表 步骤3： 访问控制列表 访问控制列表应用在接口 步骤4： 测试 配置静态路由 Router1(config)#ip route serial 1/2 Router2(config)#ip route serial 1/2 Router2(config)#ip route serial 1/2 测试命令：show ip route。 步骤2 配置标准IP访问控制列表。 Router2(config)#access-list 1 permit 55 ! 允许来自网段的流量通过 Router2(config)#access-list 1 deny 55 ! 拒绝来自网段的流量通过 验证测试： Router2#show access-lists 1 Standard IP access list 1 includes 2 items: deny , wildcard bits 55 permit , wildcard bits 55 步骤3 把访问控制列表在接口下应用。 Router2(config)# interface fastEthernet 1/0 Router2(config-if)#ip access-group 1 out ! 在 接口下访问控制列表出栈流量调用 验证测试： Router2#show ip interface fastEthernet 1/0 步骤4. 验证测试。 ping（网段的主机不能ping通 网段的主机；网段的主机能 ping通网段的主机）。 【注意事项】 1、注意在访问控制列表的网络掩码是反掩码。 2、标准控制列表要应用在尽量靠近目的地址的接 口。 【参考配置】 Router1#show running-config !查看路由器 1的全部配置 扩展访问控制列表配置2-1 创建ACL Router(config)# access-list access-list-number permit | deny protocol source source-wildcard destination destination-wildcard operator operan 删除ACL Router(config)# no access-list access-list-number 将ACL应用于接口 Router(config-if)# ip access-group access-list-number in |out 在接口上取消ACL的应用 Router(config-if)# no ip access-group access-list-number in |out 27 扩展访问控制列表配置2-2 应用实例1 Router(config)# access-list 101 permit ip 55 55 Router(config)# access-list 101 deny ip any any 应用实例2 Router(config)# access-list 101 deny tcp 55 host eq 21 Router(config)# access-list 101 permit ip any any 应用实例3 Router(config)# access-list 101 deny icmp 55 host echo Router(config)# access-list 101 permit ip any any 28 扩展扩展ACLACL的编号为的编号为100 199100 199，扩展，扩展ACLACL增强了标准增强了标准ACLACL 的功能的功能 增强增强ACLACL可以基于下列参数进行网络传输的过滤可以基于下列参数进行网络传输的过滤 pp目的地址目的地址 ppIPIP协议协议 可以使用协议的名字来设定检测的网络协议或可以使用协议的名字来设定检测的网络协议或 路由协议，例如：路由协议，例如：ICMPICMP、TCPTCP和和UDPUDP等等等等 ppTCP/IPTCP/IP协议族中的上层协议协议族中的上层协议 可以使用名称来表示上层协议，例如：可以使用名称来表示上层协议，例如：“ “ftp”ftp”或或 “ “www”www” 也可以使用操作符也可以使用操作符eqeq、gtgt、lt lt和和neqneq (equal to, (equal to, greater than, less thangreater than, less than和和not equal to)not equal to)来处理部分来处理部分 协议协议 例如：希望允许除了例如：希望允许除了httphttp之外的所有通讯，其之外的所有通讯，其 语句是语句是permit permit tcptcp any any any any neqneq 80 80 请复习请复习TCPTCP和和UDPUDP的端口号的端口号 也可以使用名称来代替端口号，例如：使用也可以使用名称来代替端口号，例如：使用telnettelnet来来 代替端口号代替端口号2323 端口号协议名称 20，21FTP 23Telnet 25SMTP 53DNS 69 80 TFTP WWW 端口号端口号 放置扩展放置扩展ACLACL的正确位置的正确位置 在下图中，需要设定网络在下图中，需要设定网络中的所有节点不中的所有节点不 能访问地址为能访问地址为44服务器服务器 在哪个路由器的哪个接口上放置在哪个路由器的哪个接口上放置ACL?ACL? pp在在Router CRouter C的的E0E0接口上放置接口上放置 pp这将防止这将防止中的所有机器访问中的所有机器访问 44，但是他们可以继续访问，但是他们可以继续访问InternetInternet 由于扩展由于扩展ACLACL可以控制目的地地址，所以应该放置在尽量接近数据发送源可以控制目的地地址，所以应该放置在尽量接近数据发送源 的路由器上。减少网络资源的浪费。的路由器上。减少网络资源的浪费。 放置扩展放置扩展ACLACL的正确位置的正确位置 Router-C(config)#access-list 100 deny ip 55 4 Router-C(config)#access-list 100 permit ip any any Router-C(config)#int e0 Router-C(config-if)#ip access-group 100 in 使用使用ACLACL 配置练习 PC1不能对Server0进行WWW访问 扩展访问控制列表例扩展访问控制列表例 如上图，如上图， 网络网络中部门经理中部门经理 使用的使用的IPIP地址为地址为,,部门经理部门经理 可以访问内网可以访问内网serverserver及与内网结点通信，并及与内网结点通信，并 访问访问InternetInternet，员工不能访问，员工不能访问serverserver，但，但 可以和内网其他节点通信，只允许员工访问可以和内网其他节点通信，只允许员工访问 InternetInternet的的WWWWWW的服务和收发邮件。的服务和收发邮件。 答案答案 Access-list 100 permit Access-list 100 permit ipip host host any any Access-list deny Access-list deny ipip 0.0.255 host 0.0.255 host 44 Access-list permit Access-list permit ipip 55 55 55 55 Access-list permit Access-list permit tcptcp 55 any 55 any eqeq www(www(或或80)80) Access-list permit Access-list permit tcptcp 55 any 55 any eqeq pop3(pop3(或或110)110) Access-list permit Access-list permit tcptcp 55 any 55 any eqeq smtpsmtp( (或或25)25) 扩展访问控制列表例扩展访问控制列表例 扩展访问控制列表例扩展访问控制列表例 如上图，允许如上图，允许server pingserver ping网络内的网络内的 节点，但是不允许该网络内节点节点，但是不允许该网络内节点pingping serverserver。允许其他所有访问。允许其他所有访问。 答案：答案： access-list 100 permit access-list 100 permit icmpicmp 55 host 4 echo-reply55 host 4 echo-reply access-list 100 deny access-list 100 deny icmpicmp 55 55 host 4 echohost 4 echo Access-list 100 permit Access-list 100 permit ipip any any anyany 命名访问控制列表配置5-1 创建ACL Router(config)# ip access-list standard | extended access-list-name 配置标准命名ACL Router(config-std-nacl)# Sequence-Number permit | deny source source-wildcard 配置扩展命名ACL Router(config-ext-nacl)# Sequence-Number permit | deny protocol source source-wildcard destination destination- wildcard operator operan 标准命名ACL 扩展命名ACL Sequence-Number决定ACL语句在ACL列表中的位置 38 命名访问控制列表配置5-2 标准命名ACL应用实例 查看ACL配置信息 Router#show access-lists Standard IP access list cisco 10 permit 20 deny any Router(config)# ip access-list standard cisco Router(config-std-nacl)# permit host Router(config-std-nacl)# deny any 允许来自主机/24的流量通过 更改ACL,又允许来自主机/24的流量通过 Router(config)# ip access-list standard cisco Router(config-std-nacl)#15 permit host Router#show access-lists Standard IP access list cisco 10 permit 15 permit 20 deny any 添加序列号为15的ACL语句 ACL语句添加到了 指定的ACL列表位置 教员演示操作过程教员演示操作过程 39 命名访问控制列表配置5-3 扩展命名ACL应用实例 Router(config)# ip access-list extended cisco Router(config-ext-nacl)# deny tcp 55 host eq 21 Router(config-ext-nacl)# permit ip any any 40 命名访问控制列表配置5-4 删除整组ACL Router(config)# no ip access-list standard | extended access-list-name 删除组中单一ACL语句 no Sequence-Number no ACL语语句 创创建ACL Router(config)# ip access-list standard cisco Router(config-std-nacl)# permit host Router(config-std-nacl)#end Router#show access-lists Standard IP access list cisco 10 permit 删除组中单一ACL语句 Router(config-std-nacl)# no 10 或 Router(config-std-nacl)#no permit host 41 命名访问控制列表配置5-5 将ACL应用于接口 Router(config-if)# ip access-group access-list-name in |out 在接口上取消ACL的应用 Router(config-if)# no ip access-group access-list-name in |out 42 命名访问控制列表配置实例 公司添加服务器，要求如下 可以访问服务器 /24中除上述地址外都不能访问服务器 其他公司网段都可以访问服务器 公司人员调整，更改服务器访问权限 不允许和主机访问服务器 允许0主机访问服务器 43 定义时间范围 定义时间范围的名称 Router(config)# time-range time-range-name 指定该时间范围何时生效 定义一个时间周期 Router(config-time-range)# periodic days-of-the-week hh:mm to days-of-the-week hh:mm 定义一个绝对时间 Router(config-time-range)# absolute start hh:mm day month year end hh:mm day month year 参数days-of-the-week的取值 取值说明 Monday 星期一 Tuesday星期二 Wednesday星期三 Thursday星期四 Friday星期五 Saturday星期六 Sunday 星期日 daily每天 weekdays在平日 (指星期一至星期五) weekend周末（指星期六和星期日） 44 定时访问控制列表配置2-1 扩展ACL中引入时间范围 Router(config)# access-list access-list-number permit | deny protocol source source-wildcard destination destination- wildcard operator operan time-range time-range-name 将ACL应用于接口 Router(config-if)# ip access-group access-list-number in |out 45 定时访问控制列表配置2-2 应用实例1 Router(config)# time-range mytime Router(config-time-range)# periodic weekdays 8:30 to 17:30 Router(config-time-range)# exit Router(config)# access-list 101 permit ip any any time-range mytime Router(config)# int f0/0 Router(config-if)# ip access-group 101 in 应用实例2 Router(config)# time-range mytime Router(config-time-range)# absolute start 8:00 10 may 2009 end 18:00 20 may 2009 Router(config-time-range)# exit Router(config)# access-list 101