思科之acl访问控制协议.ppt

访问控制列表 ACL 主要内容 一 ACL的基本原理二 ACL的应用 一 ACL的基本原理 1 什么是ACL2 ACL是如何工作的3 创建ACL4 通配符掩码的作用5 验证ACL 1 什么是ACL ACL是应用在路由器端口上的一个列表 用于告诉路由器允许或禁止哪些流量通过 ACL是一个连续的允许和拒绝语句的集合 关系到地址和上层协议 ACL是应用在路由器接口的指令列表 这些指令告诉路由器哪些分组需要拒绝 哪些分组可以接收 拒绝和接收基于一定的条件 任何经过应用了ACL的接口的流量都要接受ACL中条件的检测 ACL适用于所有的路由协议 路由器基于ACL中指定的条件来决定转发还是丢弃分组 ACL不能对本路由器产生的数据包进行控制 2 ACL是如何工作的 ACL是一组语句 定义了分组的下列行为 1 进入入站路由器接口2 通过路由器转发3 流出出站路由器接口ACL语句按照逻辑次序顺序执行 如果与某个条件语句相匹配 则不再检查剩下的语句 如果都不匹配 则强加一条拒绝全部流量的暗含语句 缺省情况下拒绝所有的流量 ACL的匹配性检查 ACL语句能够实现 1 筛选出某些主机 允许或者拒绝它们访问你的网络的某一部分 2 允许或拒绝用户访问某种类型的应用 例如FTP或HTTP等 3 创建ACL 第一步 在全局配置模式下创建ACL标准ACL ACL号码在1 99之间 扩展ACL ACL号码在100 199之间 第二步 把ACL应用到某一个接口 出站接口或者入站接口 4 通配符掩码的作用 通配符掩码是一个32比特的数字字符串 用点号分成4个8位组 每个8位组包含8个比特 在通配符掩码位中 0表示检查相应的位 1表示忽略相应的位 通配符掩码跟IP地址是成对出现的 在通配符掩码的地址位使用1或0表明如何处理相应的IP地址位 ACl通配符掩码跟IP子网掩码的工作原理不同 通配符掩码位的匹配 通配符any 加入在ACL中允许访问任何目的地址时 使用通配符掩码表示为 0 0 0 0255 255 255 255简便地 可以使用通配符any替代 例如 access list1permit0 0 0 0255 255 255 255access list1permitany 通配符host 在ACL中想要与整个IP主机地址的所有位相匹配时 使用通配符掩码表示为 202 207 208 80 0 0 0简便地 可以使用通配符host替代 例如 access list1permit202 207 208 80 0 0 0access list1permithost202 207 208 8 5 验证ACL 使用如下命令验证 showipinterface查看端口是否应用了aclshowaccess lists查看路由器的所有aclshowrunning config查看所有的运行配置信息 包括acl的配置 二 ACL的应用 1 ACL表号2 标准ACL3 扩展ACL4 命名ACL5 ACL的放置6 防火墙7 用ACL限制telnet访问 1 ACL表号 Cisco的IOS为不同的协议分配了ACL表号 见下表 2 标准ACL 标准ACL检查可以被路由的IP分组的源地址并且把它与ACL中的条件判断语句相比较 如果匹配 则执行允许 permit 或拒绝 deny 的操作 标准ACL可以基于网络 子网或主机IP地址允许或拒绝整个协议组 如IP 标准ACL在全局配置模式下使用命令access list来定义 并分配1 99之间的一个数字编号 将定义好的ACL应用到接口 定义ACL in和out参数可以控制接口中不同方向的数据包 如果不配置该参数 缺省为out 标准ACL举例 定义ACL access list1deny172 16 1 1access list1permit172 16 1 00 0 0 255access list1deny172 16 1 10 0 255 255access list1permit172 16 1 1 0 255 255 255应用到接口 ipaccess group1inipaccess group1out 我们采用如图所示的网络结构 路由器连接了二个网段 分别为172 16 4 0 24 172 16 3 0 24 在172 16 4 0 24网段中有一台服务器提供WWW服务 IP地址为172 16 4 13 配置任务 禁止172 16 4 0 24网段中除172 16 4 13这台计算机访问172 16 3 0 24的计算机 172 16 4 13可以正常访问172 16 3 0 24 路由器配置命令access list1permithost172 16 4 13设置ACL 容许172 16 4 13的数据包通过 access list1denyany设置ACL 阻止其他一切IP地址进行通讯传输 inte1进入E1端口 ipaccess group1in将ACL1宣告 经过设置后E1端口就只容许来自172 16 4 13这个IP地址的数据包传输出去了 来自其他IP地址的数据包都无法通过E1传输 另外在路由器连接网络不多的情况下也可以在E0端口使用ipaccess group1out命令来宣告 宣告结果和上面最后两句命令效果一样 3 扩展ACL 扩展ACL提供更大的灵活性和控制范围 它既可以检查分组的源地址和目的地址 也可以检查协议类型和TCP或UDP的端口号 标准ACL只能允许或者拒绝整个协议集 但扩展ACL可以允许或拒绝协议集中的某些协议 例如允许http而拒绝ftp 扩展ACL编号使用100 199 access list101denytcpanyhost192 168 1 1eqwww这句命令是将所有主机访问192 168 1 1这个地址网页服务 WWW TCP连接的数据包丢弃 扩展ACL举例 我们采用如图所示的网络结构 路由器连接了二个网段 分别为172 16 4 0 24 172 16 3 0 24 在172 16 4 0 24网段中有一台服务器提供WWW服务 IP地址为172 16 4 13 配置任务 禁止172 16 3 0的计算机访问172 16 4 0的计算机 包括那台服务器 不过惟独可以访问172 16 4 13上的WWW服务 而其他服务不能访问 access list101permittcpany172 16 4 130 0 0 0eqwww设置ACL101 容许源地址为任意IP 目的地址为172 16 4 13主机的80端口即WWW服务 由于CISCO默认添加DENYANY的命令 所以ACL只写此一句即可 inte1进入E1端口ipaccess group101out将ACL101宣告出去设置完毕后172 16 3 0的计算机就无法访问172 16 4 0的计算机了 就算是服务器172 16 4 13开启了FTP服务也无法访问 惟独可以访问的就是172 16 4 13的WWW服务了 而172 16 4 0的计算机访问172 16 3 0的计算机没有任何问题 扩展ACL有一个最大的好处就是可以保护服务器 例如很多服务器为了更好的提供服务都是暴露在公网上的 这时为了保证服务正常提供所有端口都对外界开放 很容易招来黑客和病毒的攻击 通过扩展ACL可以将除了服务端口以外的其他端口都封锁掉 降低了被攻击的机率 如本例就是仅仅将80端口对外界开放 不过它存在一个缺点 那就是在没有硬件ACL加速的情况下 扩展ACL会消耗大量的路由器CPU资源 所以当使用中低档路由器时应尽量减少扩展ACL的条目数 将其简化为标准ACL或将多条扩展ACL合一是最有效的方法 4 命名ACL 不管是标准访问控制列表还是扩展访问控制列表都有一个弊端 那就是当设置好ACL的规则后发现其中的某条有问题 希望进行修改或删除的话只能将全部ACL信息都删除 也就是说修改一条或删除一条都会影响到整个ACL列表 这一个缺点影响了我们的工作 为我们带来了繁重的负担 不过我们可以用基于名称的访问控制列表来解决这个问题 ipaccess list standard extended ACL名称 例如 ipaccess liststandardsofter建立了一个名为softer的标准访问控制列表 当我们建立了一个基于名称的访问列表后就可以进入到这个ACL中进行配置了 例如我们添加三条ACL规则permit1 1 1 10 0 0 0permit2 2 2 20 0 0 0permit3 3 3 30 0 0 0 什么时候使用基于名称的访问控制列表 如果设置ACL的规则比较多的话 应该使用基于名称的访问控制列表进行管理 这样可以减轻很多后期维护的工作 方便我们随时进行调整ACL规则 5 ACL的放置 ACL通过过滤数据包并且丢弃不希望抵达目的地的数据包来控制通信流量 然而 网络能否有效地减少不必要的通信流量 这还要取决于网络管理员把ACL放置在哪个地方 根据减少不必要通信流量的通行准则 网管员应该尽可能地把ACL放置在靠近被拒绝的通信流量的来源处 1 2 3 4 假设在图所示的一个运行TCP IP协议的网络环境中 网络只想拒绝从RouterA的fa0 1接口连接的网络到RouterD的fa0 0接口连接的网络的访问 即禁止从网络1到网络4的访问 如果网管员使用标准ACL来进行网络流量限制 因为标准ACL只能检查源IP地址 所以实际执行情况为 凡是检查到源IP地址和网络1匹配的数据包将会被丢掉 即网络1到网络2 网络3和网络4的访问都将被禁止 由此可见 这个ACL控制方法不能达到网管员的目的 同理 将ACL放在RouterB和RouterC上也存在同样的问题 只有将ACL放在连接目标网络的RouterD上 网络才能准确实现网管员的目标 由此可以得出一个结论 标准ACL要尽量靠近目的