路由器及路由协议基础配置-访问控制列表.ppt

路由器及路由协议基础配置访问控制列表 计算机科学与工程学院实验中心张翔 索引 访问控制列表基础访问控制列表 2 2020 1 21 什么是访问控制列表 对于数据流控制的需求作为网络管理者 我们通常需要了解如何去控制非法的网络访问 而允许正常的网络访问 尽管已经存在有多种措施 比如如密码 复查设备 callbackequipment 等等 但是 还需要更灵活的基本数据流过滤能力和特定的控制能力 例如 网络管理者可能需要允许用户访问Internet 但是却不允许外部的用户登录到局域网中 路由器提供的数据流过滤功能路由器提供了基本的数据流过滤能力 比如说使用 访问控制列表 ACL 通过ACL 我们可以有条件地阻止或发行Internet数据流 3 2020 1 21 什么是访问控制列表 简单讲 访问控制列表ACL是运用到路由器端口的指令列表 这些指令告诉路由器接受哪些数据报文而拒绝哪些数据报文 接受或者拒绝根据一定的规则进行 如源地址 目标地址 端口号等 ACL使得用户能够检测特定的数据报文 从而实现数据流的管理 4 2020 1 21 ACL的功能 ACL可以用于执行以下一些功能 限制网络数据流 增加网络性能 例如 通过使用ACL限制在线视频数据流 可以极大地减轻网络负载 提高网络性能 提供数据流控制 例如 ACL可以限定或者减少路由更新的内容 如果这些更新在该网络条件下并不是必须的 那么通过对其进行流控可以很好的节约带宽 提高网络性能 为网络访问提供基本的安全保护 ACL可以允许某个主机访问网络的某一部分 而阻止另一台主机访问网络的这个部分 决定是否在路由器端口转发或者阻止指定类型的数据报文例如 ACL可以允许某一个特定网段的email数据流通过路由器进行转发 但是却出于安全的需要阻止所有的telnet数据流 5 2020 1 21 路由器对ACL的执行 路由器将根据ACL中指定的条件 对经过路由器端口的数据报文逐一进行检查 通常ACL执行判断的标准基于源或者目的IP地址 协议以及上层协议端口号 6 2020 1 21 ACL在路由器上的应用 Onelist perport perdirection perprotocolACL应该根据路由器的端口所允许的每一个协议来制定 如果需要控制流经某个端口的所有数据流 就需要为该端口允许的每一个协议分别创建ACL 例如 如果一个端口配置成仅允许IP AppleTalk和IPX协议的数据流进入 那么就需要创建至少三条ACL 如果该路由器需要在两个端口的进出两个方向上仅允许以上三个协议通过 那么则需要应用至少12条ACL 7 2020 1 21 ACL如何工作 ACL语句按照逻辑次序顺序执行 如果与某个条件语句相匹配 分组就会根据规则被允许通过或被拒绝通过 一旦某一条语句匹配 则不会再检查后面的其他规则语句 如果所有的规则语句都不匹配 最后将强加一条拒绝全局流量的隐式语句 8 2020 1 21 路由器如何执行选路与ACL功能 无论是否使用ACL 路由器处理数据报文最初的过程是相同的 当一个数据报进入一个端口 路由器检查这个数据报是否可路由 如果是可以路由的 路由器检查这个端口是否有ACL应用 如果有 根据ACL中的条件指令 检查这个数据报文 如果数据报是被允许的 就查询路由表 决定数据报的目标端口 路由器检查目标端口是否存在ACL控制流出的数据报不存在 这个数据报就直接发送到目标端口 如果存在 就再根据ACL进行取舍 9 2020 1 21 路由器执行数据报文处理的流程图 10 2020 1 21 创建与应用ACL 配置模式ACL需要在全局配置模式中创建 ACL类型Cisco路由器支持多种ACL类型 包括标准 扩展 IPX AppleTalk等 配置ACL的时候需要为每一个协议的ACL指定一个唯一的数字 用以标识这个ACL 这个数字必须在有效范围之内 参看下图 11 2020 1 21 创建与应用ACL 创建ACL的步骤Step1 在全局配置模式中使用access list命令撰写ACL应用规则 仅针对使用数字定义ACL的情况 请特别注意创建ACL的顺序 因为路由器在应用ACL时是按照顺序依次检查执行的 ACL顺序所表现出的逻辑正确性关系到该ACL是否能正确实现照管理员的控制意图 Step2 在路由器端口配置子模式中使用access group命令将写好的ACL应用到该指定端口 一组ACL可以同时应用到多个路由器端口 所有通过这些端口的数据报文都必须接受该组ACL的检查 12 2020 1 21 创建与应用ACL 创建于应用ACL示例 13 2020 1 21 删除 修改ACL 修改ACL对于传统的使用数字编号定义的ACL 如果需要增加另外的语句或是语句需要改变 你就必须删掉该ACL 然后再重新建立一个带有新语句的ACL 一个好的办法是 使用PC上的文本编辑器创建或修改ACL 然后再通过简易文件传输协议 TFTP 或超级终端的发送文本文件将ACL传到路由器 删除ACL 14 2020 1 21 使用通配符掩码位 什么是通配符掩码 通配符掩码是一个32比特的数字字符串 它被用点号分成4个8位组 每个8位组包含8个比特 通配符掩码跟IP地址是成对出现的 在通配符掩码的地址位使用1或0表明如何处理相应的IP地址位 其中0表示 检查相应的位 而1表示 不检查相应的位 ACL使用通配符掩码来标志一个或多个地址是被允许 还是被拒绝 术语 Wildcard 是 ACL掩码位匹配过程 的绰号 它是从纸牌游戏中引伸过来的一个比喻 15 2020 1 21 使用通配符掩码位 通配符掩码与子网掩码尽管都是32比特的数字字符串 ACL通配符掩码跟IP子网掩码的在功能上毫不相干 它们用于不同的目的 并且遵循不同的应用规则 在IP子网掩码中数字1和0用来决定是网络 子网还是相应的主机IP地址 而在ACL通配符掩码中 掩码位是1还是0 用来决定相应的IP地址被忽略 还是被检查 16 2020 1 21 使用通配符掩码位 如何匹配所有的IP地址 使用通配符掩码255 255 255 255 代表忽略所有IP地址位 可以使用ANY代替该特殊通配符掩码 17 2020 1 21 使用通配符掩码位 如何匹配单个IP地址 使用通配符掩码0 0 0 0 代表IP地址位都需要检查 可以使用HOST代替该特殊通配符掩码 18 2020 1 21 使用通配符掩码位 如何匹配特定IP子网 19 2020 1 21 Addressandwildcardmask 172 30 16 00 0 15 255 检查ACL配置 使用show命令检查ACL配置showipinterface显示该接口的IP信息以及在该接口上是否有ACL应用 如果有 可以看见ACL名称和应用在接口上的的方向 showaccess lists查看当前设备上配置的所有ACL showrunning config查看所有配置的ACL的详细信息 20 2020 1 21 检查ACL配置 showipinterface 21 2020 1 21 检查ACL配置 showaccess list 22 2020 1 21 检查ACL配置 showrunning config 23 2020 1 21 索引 访问控制列表基础访问控制列表 24 2020 1 21 标准访问控制列表 什么是标准访问控制列表 标准访问控制列表仅检查可以路由的IP分组的源地址并且把它与ACL中的条件判断语句相比较 标准访问控制列表可以允许或禁止整套IP协议 标准ACL的数字定义为1到99 可以提供数据流过滤控制 基于源地址和通配掩码 标准ACL通常应用于靠近目的端的路由器端口 25 2020 1 21 标准访问控制列表 标准访问控制列表命令的详细语法Router config access listaccess list number deny permit source source wildcard log Router config noaccess listaccess list number作业 26 2020 1 21 标准访问控制列表应用示例 1 E0和E1端口只允许来自于网络172 16 0 0的数据报被转发 其余的将被阻止 27 2020 1 21 标准访问控制列表应用示例 2 E0端口不允许来自于特定地址172 16 4 13的数据流 其它的数据流将被转发 28 2020 1 21 标准访问控制列表应用示例 3 E0端口不允许来自于特定子网172 16 4 0的数据 而允许其他数据通过 29 2020 1 21 扩展访问控制列表 什么是扩展访问控制列表 扩展访问控制列表 即ExtendedACL 提供了比StandardACL更大范围的控制 因而运用更广 例如 可以使用扩展ACL来实现允许Web数据流通过 而禁止FTP或Telnet通过 扩展ACL既可检查分组的源地址和目的地址 也检查协议类型和TCP或UDP的端口号 扩展ACL的数字定义为100到199 扩展ACL通常应用部署在靠近源端的路由器端口上 30 2020 1 21 扩展访问控制列表 扩展访问控制列表命令的详细语法 31 2020 1 21 扩展访问控制列表应用示例 1 在E0端口 禁止转出来自172 16 4 0子网的FTP数据流到172 16 3 0子网 其它的数据流将被转发 32 2020 1 21 扩展访问控制列表应用示例 2 在E0端口 禁止转出来自172 16 4 0子网的Telnet数据流 其它的数据流将被转发 33 2020 1 21 命名访问控制列表 命名访问控制列表CiscoIOS软件11 2版本中引入了IP命名访问控制列表 命名ACL允许在标准ACL和扩展ACL中 使用字符代替数字来标识ACL 使用命名ACL有以下好处 通过一个字符串组成的名字可以更加直观的表示特定的访问控制列表 命名ACL不受99条标准ACL和100条扩展ACL的限制 命令ACL可以使得网络管理员方便的对ACL进行修改而无需删除ACL之后再对其进行重新配置 34 2020 1 21 命名访问控制列表 创建命名ACL我们使用ipaccess list命令建命名ACL 语法格式如下 ipaccess list extended standard namePermit Deny语句的语法格式 35 2020 1 21 命名访问控制列表 命名访问控制列表创建及应用示例 36 2020 1 21 命名访问控制列表 命名访问控制列表修改示例 37 2020 1 21 命名访问控制列表 命名访问控制列表修改示例 续1 38 2020 1 21 命名访问控制列表 命名访问控制列表修改示例 续2 39 2020 1 21 命名访问控制列表 命名访问控制列表修改示例 续3 40 2020 1 21 放置ACL 在什么地方放置ACL ACL可以用于控制数据流 通过适当的选择ACL放置的位置 可以减少不必要的数据流 如在远离目的端而靠近源端的地方禁止某些数据流 可以减少这些数据流消耗的用于试图达目的端的网络资源 简单讲 当ACL被放置在正确的地方时 它不仅可以过滤通信流量 而且可以使整个网络更有效的运作 41 2020 1 21 放置ACL 放置ACL的一般原则尽可能把扩展ACL放置在距离要被拒绝的通信流量最近的地方 通常是靠近源端的路由器端口上 标准ACL由于不能指定目的地址 所以它们应该尽可能放置在距离目的地最近的地方 ACL的防火墙应用防火墙路由器通常位于内部网和外部网之间 提供了一个隔离点 使得内部网结构不会受外部网影响 可以考虑在防火墙路由器上使用ACL 以控制流入和流出内部网某个特定部分的数据流 为了使用ACL的安全特性 至少需要在边界路由器上配置ACL 这样可以提供基本的安全性 42 2020 1 21 限制虚