电子教案09访问控制列表的配置.ppt

第9章 访问控制列表的配置,第9章 访问控制列表的配置,学习目的与要求： 互联网的开放性决定了网络上的数据可以任意流动，但有时候需要对数据进行控制。通过设置访问控制列表来控制和过滤通过路由器的信息流是的一种方法。 本章主要讲述使用标准访问控制列表和扩展访问控制列表控制网络流量的方法，同时提供了标准访问控制列表和扩展访问控制列表以及在路由接口应用ACL的例子。 完成本章的学习，你将能够： 描述访问控制列表的分类及其工作过程 会根据应用需求配置各种访问控制列表,第9章 访问控制列表的配置,9.1 访问控制列表 9.2 配置标准访问控制列表 9.3 配置扩展访问控制列表 9.4 命名的访问列表 本章小结 本章习题 本章实训,9.1 访问控制列表,访问控制列表简称ACL(Access Control Lists)，配置路由器的访问控制列表是网络管理员一件经常性的工作。 本节介绍ACL的概念、功能及其工作原理。,9.1.1 ACL概述,访问控制列表(ACL) 使用包过滤技术，在路由器上读取第3层或第4层包头中的信息，如源地址、目的地址、源端口、目的端口以及上层协议等，根据预先定义的规则决定哪些数据包可以接收、哪些数据包需要拒绝，从而达到访问控制的目的。,ACL的功能 检查和过滤数据包。ACL通过将访问控制列表应用到路由器接口来管理流量和检查特定的数据包。任何经过该接口的流量都要接受ACL中规则的检测，以此决定被路由的分组是被转发还是被丢掉，从而过滤网络流量。例如，可以允许E-mail流量被路由，但同时阻塞所有Telnet流量。 限制网络流量，提高网络性能。ACL能够按照优先级或用户队列处理数据包。通过排队确保路由器不去处理那些不需要的分组。排队限制了网络流量，减少了网络拥塞。 限制或减少路由更新的内容。ACL能够限定或简化路由器选择更新的内容，这些限定常用于限定关于特定网络的信息通过网络传播。 提供网络访问的基本安全级别。通过在路由器上配置ACL，可以允许一个主机访问网络的一部分，而阻止其他主机访问相同的区域。,配置ACL的原则 顺序处理原则。对ACL表项的检查是按照自上而下的顺序进行的，从第一行起，直到找到第一个符合条件的行为止，其余的行不再继续比较。因此必须考虑在访问控制列表中放入语句的次序，比如测试性的语句最好放在ACL的最顶部。 最小特权原则。对ACL表项的设置应只给受控对象完成任务所必须的最小的权限。如果没有ACL，则等于permit any。一旦添加了ACL，默认在每个ACL中最后一行为隐含的拒绝(deny any)。如果之前没找到一条许可(permit)语句，意味着包将被丢弃。所以每个ACL必须至少有一行permit语句，除非用户想将所有数据包丢弃。 最靠近受控对象原则。尽量考虑将扩展的ACL放在靠近源地址的位置上。这样创建的过滤器就不会反过来影响其他接口上的数据流。另外，尽量使标准的ACL靠近目的地址，由于标准ACL只使用源地址，如果将其靠近源会阻止报文流向其他端口。,9.1.2 ACL的工作原理,图9-2 ACL匹配性检查,9.2 配置标准访问控制列表,最广泛使用的访问控制列表是IP访问控制列表，IP访问控制列表工作于TCP/IP协议组。按照访问控制列表检查IP数据包参数的不同，可以将其分成标准ACL和扩展ACL两种类型。此外Cisco IOS 11.2版本中还引入了IP命名ACL类型。从本节开始分别介绍各种ACL的配置方法。,9.2.1 标准ACL的工作过程,图9-3 标准ACL的工作过程,9.2.2 配置标准ACL,1. 定义标准ACL Router(config)# access-list access-list-number deny | permit source source-wildcard log 其中的参数见表9.1 2将标准ACL应用到某一接口上 Router(config-if)# ip access-group access-list-number in | out 其中，参数in和out表示ACL作用在接口上的方向，两者都是以路由器作为参照物的，如果in和out都没有指定，那么默认为out。 注意：在每个接口、每个协议、每个方向上只能有一个访问控制列表。 3. 删除已建立的标准ACL Router(config)#no access-list access-list-number,表9.1 标准ACL参数及描述,关于通配符掩码的使用说明,表示成4位点分十进制形式。默认的通配符掩码为。 在通配符掩码位中，0表示“检查相应的位”，而1表示“不检查(忽略)相应的位”。 比如，源地址和通配符掩码为 55，表示路由器前3个8位组必须精确匹配，最后1个8位组的值可以任意。 再如，如要指定IP地址为从到之间的所有子网，则通配符掩码为55 (31-16=15)。 any可以表示任何IP地址，例如： Router(config)# access-list 10 permit any host表示一台主机，例如： Router(config)# access-list 10 permit host 172. 16. 30.22,标准ACL配置示例一,某企业销售部、市场部的网络和财务部的网络通过路由器RTA和RTB相连，整个网络配置RIPv2路由协议，保证网络正常通信。要求在RTB上配置标准ACL，允许销售部的主机PC1访问路由器RTB，但拒绝销售部的其他主机访问RTB，允许销售部、市场部网络上所有其他流量访问RTB。,图9-4 标准ACL配置,配置步骤如下：,(1) 配置标准ACL 在路由器上RTB上配置如下： RTB(config)#access-list 1 permit host 0 RTB(config)#access-list 1 deny 55 RTB(config)#access-list 1 permit any RTB(config)#interface s0/0/0 RTB(config-if)#ip access-group 1 in (2) 验证标准ACL show access-lists命令 RTB# show access-lists show ip interface命令 RTB# show ip interface,标准ACL配置示例二,利用标准ACL限制虚拟终端访问的问题。配置一个VTY访问控制列表，只允许网络/24中的主机00 telnet路由器RTA。,图9-5 用标准ACL限制Telnet访问,配置方法如下：,RTA(config)# access-list 10 permit host 00 RTA(config)# line vty 0 4 RTA(config-line)# password cisco RTA(config-line)# login RTA(config-line)# access-class 10 in,注意： 在配置接口的访问时可以使用数字表号的或者命名的ACL 只有数字的访问列表才可以应用到虚拟连接中 用户可以连接所有的VTY，因此所有的VTY连接都应用相同的ACL,9.3 配置扩展的ACL,扩展ACL比标准ACL功能更强大，使用得更广泛，因为它可以基于分组的源地址、目的地址、协议类型、端口号和应用来决定访问是被允许或者拒绝，因而扩展ACL比标准ACL提供了更广阔的控制范围和更多的处理方法。,9.3.1 扩展ACL的工作过程,图9-6 扩展ACL的工作过程,9.3.2 配置扩展ACL,1定义扩展ACL Router(config)# access-list access-list-number deny | permit protocol source source-wildcard destination destination-wildcard operator operand established 其中的参数说明见表9.2。 2. 将扩展ACL应用到某一接口上 Router(config-if)# ip access-group access-list-number in | out 3. 删除扩展ACL Router(config)# no access-list access-list-number,表9.2 扩展ACL参数及描述,表9.3 一些保留的TCP/UDP端口号,扩展ACL配置示例,某企业销售部的网络和财务部的网络通过路由器RTA和RTB相连，整个网络配置RIPv2路由协议，保证网络正常通信。要求在RTA上配置扩展ACL，实现以下4个功能： (1)允许销售部网络的主机访问WWW Server 0； (2)拒绝销售部网络的主机访问FTP Server 0； (3)拒绝销售部网络的主机Telnet路由器RTB； (4)拒绝销售部主机0 Ping路由器RTB。,图9-7 扩展ACL的配置,配置方法如下：,RTA(config)# access-list 100 permit tcp 55 host 0 eq 80 RTA(config)# access-list 100 deny tcp 55 host 0 eq 20 RTA(config)# access-list 100 deny tcp 55 host 0 eq 21 RTA(config)# access-list 100 deny tcp 55 host eq 23 RTA(config)# access-list 100 deny tcp 55 host eq 23 RTA(config)# access-list 100 deny icmp host 0 host RTA(config)# access-list 100 deny icmp host 0 host RTA(config)# access-list 100 permit ip any any RTA(config)# interface f0/0 RTA(config-if)# ip access-group 100 in,9.4 命名的访问控制列表,Cisco IOS软件11.2版本中引入了IP命名ACL，命名ACL允许在标准ACL和扩展ACL中使用一个字母数字组合的字符串(名字)代替前面所使用的数字来表示ACL表号。 使用命名ACL有以下的好处： 不受99条标准ACL和100条扩展ACL的限制 网络管理员可以方便地对ACL进行修改，而无须删除ACL之后再对其进行重新配置,配置命名访问控制列表 步骤一： Router(config)# ip access-list extended | standard name 步骤二： Router(config-std-|ext-nacl)# permit source source-wildcard | any 或 Router(config-std-|ext-nacl)# deny source source-wildcard | any,命名ACL配置示例,图9-8 命名ACL网络配置拓扑,1.配置标准命名ACL,要求：在路由器RTA上进行配置，以阻塞来自某部门子网/24的通信流量，而允许转发所有其他部门的通信流量。 RTA(config)# ip access-list standard acl_std RTA(config-std-nacl)# deny 55 RTA(config-std-nacl)# permit any RTA(config-std-nacl)# exit RTA(config)# interface f0/0 RTA(config-if)# ip access-group acl_std in,2.配置扩展命名ACL,要求：只需拒绝该部门子网中的FTP和Telnet通信流量通过f0/0 RTA(config)# ip acess-list extended acl_ext RTA(config-ext-nacl)#deny tcp 55 any eq 21 RTA(config-ext-nacl)#deny tcp 55 any eq 20 RTA(config-ext-nacl)#deny tcp 55 any eq 23 RTA(config-ext-nacl)# permit ip any any RTA(config-ext-nacl)# exit RTA(config)# interface f0/0 RTA(config-if)# ip access-group acl_ext in,利用命名ACL删除指定的语句示例,命名ACL允许删除任意指定的语句，但新增的语句只能被放到ACL的结尾处。下面的例子说明了如何删除和新增ACL语句。 Router(config)# ip access-list extended test Router(config-ext-nacl)# permit ip host host Router(config-ext-nacl)# permit tcp any host eq www Router(config-ext-nacl)# permit icmp any any Router(config-ext-nacl)# permit udp any host eq tftp Router(config-ext-nacl) # z Router# show access-lists Router# configure terminal Router(config)# ip access-list extended test Router(config-ext-nacl)# no permit icmp any any Router(config-ext-nacl)# permit tcp any host eq telnet Router(config-ext-nacl)# z Router# show access-lists,本章小结,访问控制列表使用包过滤技术，在路由器上读取第3层或第4层包头中的信息，如源地址、目的地址、源端口、目的端口以及上层协议等，根据预先定义的规则决定哪些数据包可以接收、哪些数据包需要拒绝，从而达到访问控制的目的。 在路由器上实现的访问控制列表是一个连续的条件判断语句的集合，这些语句对数据包的地址或上层协议进行网络通信流量的控制，从而提供基本的网络通信流量过滤的能力，对网络安全起到很好的保护作用。 标准ACL只检查可以被路由的数据包的源地址，从而允许或拒绝基于网络、子网或主机IP地址的某一协议通过路由器出口。 扩展ACL可以基于分组的源地址、目的地址、协议类型、端口号和应用来决定访问是被允许或者拒绝。它比标准ACL功能更强大，使用得更广泛。 命名ACL允许在标