交换机路由器的配置与管理第七章.ppt

第7章访问列表 访问列表概述 访问列表由一系列语句组成 这些语句主要包括匹配条件和采取的动作 允许或禁止 两个部分访问列表应用在路由器的接口上 通过匹配数据包信息与访问列表参数来决定允许还是拒绝数据包通过某个接口 数据包是通过还是拒绝 主要通过数据包中的源地址 目的地址 源端口 目的端口 协议等信息来决定 访问列表的功能 控制网络流量 提高网络性能控制用户网络行为控制网络病毒的传播 访问列表类型 访问列表可分为标准IP访问列表和扩展IP访问列表 标准访问列表 其只检查数据包的源地址 从而允许或拒绝基于网络 子网或主机的IP地址的所有通信流量通过路由器的出口 扩展IP访问列表 它不仅检查数据包的源地址 还要检查数据包的目的地址 特定协议类型 源端口号 目的端口号等 ACL的相关特性 每一个接口可以在进入 inbound 和离开 outbound 两个方向上分别应用一个ACL 且每个方向上只能应用一个ACL ACL语句包括两个动作 拒绝 deny 和允许 permit 数据包进入路由器时 进入方向 In方向 的ACL起作用 数据包离开路由器时 出方向 Out方向 的ACL起作用每个ACL列表结尾有一个隐含的 拒绝的所有数据包 denyany 的语句 ACL转发的过程 IP地址与通配符掩码的作用规 32位的IP地址与32位的通配符掩码逐位进行比较 通配符掩码为0的位要求IP地址的对应位必须匹配 通配符掩码为1的位所对应的IP地址位不必匹配例 IP地址为192 168 1 0 通配符掩码为0 0 0 255对应的二进制为 1100000010101000000000010000000000000000000000000000000011111111检查的地址范围为 192 168 1 0 192 168 1 255 通配符掩码示例 通配符掩码掩码的两种特殊形式 host表示一台主机 是通配符掩码0 0 0 0的简写形式192 168 1 100 0 0 0等价于host192 168 1 10any表示所有主机 是通配符掩码掩码255 255 255 255的简写形式192 168 1 10255 255 255 255等价于any 访问列表配置步骤 第一步是配置访问列表语句第二步是把配置好的访问列表应用到某个端口上 标准IP访问列表的配置命令 配置标准访问列表access listaccess list numberdeny permitsource addresssource wildcard log access list number 只能是1 99之间的一个数字deny permit deny表示匹配的数据包将被过滤掉 permit表示允许匹配的数据包通过source address 表示单台或一个网段内的主机的IP地址source wildcard 通配符掩码Log 访问列表日志 如果该关键字用于访问列表中 则对匹配访问列表中条件的报文作日志 标准IP访问列表的配置命令续 应用访问列表到接口ipaccess groupaccess list numberin outIn 检查进入路由器的报文Out 检查离开路由器的报文显示所有协议的访问列表配置细节showaccess list access list number 显示IP访问列表showipaccess list access list number 标准IP访问列表的配置举例 主机192 168 1 1不能访问主机192 168 2 1 但可访问其他主机 对其他主机间的访问不做任何限制 标准IP访问列表的配置举例配置 router configureterminalrouter config access list1denyhost192 168 1 1router config access list1permitanyrouter config interfaceEthernet1router config ipaccess group1out 扩展IP访问列表的配置命令 配置扩展访问列表access listaccess list numberpermit denyprotocolsource addresssource wildcardsource portdestinaitonaddressdestination wildcarddestination portlogoptionsaccess list numberL 编号范围为100 199 Permit 通过 deny 禁止通过Protocol 需要被过滤的协议的类型 如IP TCP UDP ICMP EIGRP GRE等 source address 源IP地址source wildcard 源通配符掩码 扩展IP访问列表的配置命令续 source port 可以是单一的某个端口 也可以是一个端口范围 扩展IP访问列表的配置命令续 destination address 目的IP地址destination wildcard 目的地址通配符掩码destination port 目的端口号 指定方法与源端口号的指定方法相同 扩展IP访问列表配置举例 要求允许LAN3的所有主机能登录Internet 但只能浏览WWW FTP SMTP POP3协议的通信 LAN2中的主机192 168 2 1向Internet提供WWW服务 主机192 168 2 2向Internet提供FTP服务 主机192 168 2 3向Internet提供SMTP服务 其余主机不能被Internet访问 LAN1中的主机不能访问Internet 但可以访问LAN2和LAN3 扩展IP访问列表配置举例配置 router configureterminal 允许网段LAN3的主机访问Internet的WWW FTP SMTP和POP3服务router config access list101permittcp192 168 3 00 0 0 255anyeqwwwrouter config access list101permittcp192 168 3 00 0 0 255anyeqftprouter config access list101permittcp192 168 3 00 0 0 255anyeqsmtprouter config access list101permittcp192 168 3 00 0 0 255anyeqpop3 禁止LAN1的主机访问internetrouter config access list101denyip192 168 1 00 0 0 255any 扩展IP访问列表配置举例配置续 应用访问列表101router config interfaceserial1router config if ipaccess group101out 允许其他网段的主机访问LAN2的WWW FTP SMTP服务 拒绝其他请求router config access list102permittcpanyhost192 168 2 1eqwwwrouter config access list102permittcpanyhost192 168 2 2eqftprouter config access list102permittcpanyhost192 168 2 3eqsmtprouter config access list102denyipanyany 应用访问列表102router config if interfaceethernet0router config if ipaccess group102out 访问列表配置注意事项 注意访问列表中语句的次序 尽量把作用范围小的语句放在前面新的表项只能被添加到访问表的末尾 即不允许将新的语句插入到原有的访问列表中标准的IP访问列表只匹配源地址 如果要检查更多的条件 则使用扩展的IP访问列表标准的访问列表尽量靠近目的在应用访问列表时 要特别注意应用的方向 命名IP访问列表 命名IP访问列表通过一个名称而不是一个编号来引用的 命名的访问列表可用于标准的和扩展的访问表中 名称的使用是区分大小写的 并且必须以字母开头 在名称的中间可以包含任何字母数字混合使用的字符 也可以在其中包含 以及 等特殊字符名称的最大长度为100个字符 编号IP访问列表和命名IP访问列表的区别 名字能更直观地反映出访问列表完成的功能命名访问列表突破了99个标准访问列表和100个扩展访问列表的数量限制 能够定义更多的访问列表 命名IP访问列表允许删除个别语句 而编号访问列表只能删除整个访问列表单个路由器上命名访问列表的名称必须是唯一的 而不同路由器上的命名访问列表名称可以相同 编号与命名访问列表命令比较 命名访问列表配置举例一 通过配置命名访问列表来实现以下要求 主机192 168 1 1不能访问主机192 168 2 1 但可访问其他主机 对其他主机间的访问不做任何限制 命名访问列表配置举例一配置 router configureterminalrouter config ipaccess liststandarddenyhost1router config std nacl denyhost192 168 1 1router config std nacl permitanyrouter config std nacl exit 应用访问列表denyhost1router config interfaceEthernet0router config ipaccess groupdenyhost1out 命名访问列表配置举例二 LAN3的所有主机只能访问Internet中的WWW FTP SMTP POP3服务 LAN2中的主机192 168 2 1只提供WWW服务 主机192 168 2 2只提供FTP服务 主机192 168 2 3只提供SMTP服务 LAN1中的主机不能访问Internet 但可以访问LAN2和LAN3 命名访问列表配置举例二配置 router configureterminal 允许网段LAN3的主机访问Internet的WWW FTP SMTP和POP3服务router config ipaccess listextendedacl lan1 lan3Router config ext nacl permittcp192 168 3 00 0 0 255anyeqwwwRouter config ext nacl permittcp192 168 3 00 0 0 255anyeqftpRouter config ext nacl permittcp192 168 3 00 0 0 255anyeqsmtpRouter config ext nacl permittcp192 168 3 00 0 0 255anyeqpop3 禁止LAN1的主机访问internetRouter config ext nacl denyip192 168 1 00 0 0 255anyRouter config ext nacl exit 应用访问列表acl lan1 lan3router config interfaceserial1router config if ipaccess groupacl lan1 lan3out 命名访问列表配置举例二配置续 允许其他网段的主机访问LAN2的WWW FTP SMTP服务 拒绝其他请求Router config ipaccess listextendedacl lan2Router config ext nacl permittcpanyhost192 168 2 1eqwwwRouter config ext nacl permittcpanyhost192 168 2 2eqftpRouter config ext nacl permittcpanyhost192 168 2 3eqsmtpRouter config ext nacl denyipanyanyRouter config ext nacl exit 应用访问列表acl lan2router config interfaceethernet0router config if ipaccess groupacl lan2out 命名访问列表删除语句 显示example的内容cqdd showipaccess listsexampleExtendedIPaccesslistexamplepermittcphost192 168 1 1anydenytcphost192 168 1 2any删除语句permittcphost192 168 1 1anycqdd configureterminalcqdd config ipaccess listextendedexamplecqdd config ext nacl nopermittcphost192 168 1 1anycqdd config ext nacl Z显示删除语句后example的内容cqdd showipaccess listsexampleExtendedIPaccesslisthzhdenytcphost192 168 1 2any 命名访问列表加入语句 显示example的内容cqdd showipaccess listsexampleExtendedIPaccesslistexampledenytcphost192 168 1 2any增加语句permitudphost192 168 1 3cqdd configureterminalcqdd config ipaccess listextendedexamplecqdd config ext nacl permitudphost192 168 1 3cqdd config ext nacl Z显示增加语句后example的内容cqdd showipaccess listsexampleExtendedIPaccesslistexampledenytcphost192 168 1 2anypermitudphost192 168 1 3any 基于时间访问列表概述 基于时间的访问列表可以为一天中的不同时间段 或者一个星期中的不同日期 或者二者的结合制定不同的访问控制策略 从而满足用户对网络的灵活需求基于时间的访问列表能够应用于编号访问列表和命名访问列表 实现基于时间的访问表只需要两个步骤 第一步是定义一个时间范围 第二步是在访问列表中用time range引用时间范围 基于时间访问列表的配置命令 时间范围命名time rangetime range nametime range name 时间范围的名称定义绝对时间范围absolute startstart timestart date endend timeend date start time和end time分别用于指定开始和结束时间 使用24小时间表示 其格式为 小时 分钟 start date和end date分别用于指定开始的日期和结束的日期 使用日 月 年的日间格式 而不是通常采用的月 日 年格式 绝对时间定义举例 基于时间访问列表的配置命令续 定义周期 重复使用的时间范围periodicdays of the weekhh mmtodays of the weekhh mmperiodic是以星期为参数来定义时间范围的一个命令 它可以使用大量的参数 其范围可以是一个星期中的某一天 几天的结合 或者使用关键字daily weekdays weekend等 periodic中的参数 常用的周期时间范围定义形式 周期时间举例 指定的时间范围为从星期六的早上8 00到星期日的下午5 00 日期为2000年6月1日到2000年的12月31日 router config time rangeexamplerouter config time range absolutestart8 001June2000end17 0031December2000router config time range periodicweekend8 00to17 00 基于时间访问列表的配置举例一 网络中包括两个以太网段并通过路由器连接到initernet网络 要求限制192 168 1 0网段的主机只能在2000年6月1日至2000年12月31日内的星期六的早上7 00到星期日的下午5 00进行WWW访问 基于时间访问列表的配置举例一配置 router configureterminalrouter config time rangeallow wwwcqdd config time range asbolutestart7 001June2000end17 0031December2000cqdd config time range periodicweekend7 00to17 00cqdd config time range exitrouter config access list101permittcp192 168 1 00 0 0 255anyeqwwwtime rangeallow wwwrouter config interfaceserial0router config if ipaccess group101out 基于时间访问列表的配置举例二 Web服务器的IP地址为61 186 170 100 对Web服务器的访问作如下限制 从Internet网访问Web只能在星期六早上7 00到星期一早上7 00时间范围内进行 而192 168 1 0网段上的用户只能在星期一到星期五早上8 00到下午5 00访问Web服务器 日期范围为2004年5月1到2004年12月31日 基于时间访问列表的配置举例二配置 router configureterminalrouter config time rangeinternet wwwcqdd config time range asbolutestart8 00131December2004cqdd config time range periodicSaturday7 00toMonday7 00cqdd config time range exitrouter config time rangeintranet wwwcqdd config time range asbolutestart7 001May2004end17 0031December2004cqdd config time range periodicweekday8 00toMonday17 00cqdd config time range exit 基于时间访问列表的配置举例二配置续 router config access list101permittcpanyhost61 186 170 100eqwwwtime rangeinternet wwwrouter config access list102permittcp192 168 1 00 0 0 255host61 186 170 100eqwwwtime rangeintranet wwwrouter config interfaceserial0router config if ipaccess group101inrouter config interfaceethernet0router config if ipaccess group102in 通过IP访问列表控制vty访问举例 Web服务器的IP地址为61 186 170 100 网络管理员只能从Web服务器上登录路由器 而且登录只能是星期一到星期五的工作时间 上午8 00到下午5 00 登录 访问列表从2004年5月1日起一直有效 通过IP访问列表控制vty访问举例配置 router configureterminalrouter config time rangetelnet routercqdd config time range asbolutestart7 001May2004cqdd config time range periodicweekday8 00to17 00cqdd config time range exitrouter config access list101permittcphost61 186 170 100anyeqtelnettime rangetelnet routerrouter config linevty04cqdd config line access class101in 华为访问控制列表配置命令 1 定义编号访问控制列表aclnumberacl number match order config auto acl number 访问列表序号 取值范围2000 2999表示标准访问控制列表 3000 3999表示扩展访问控制列表 match order为可选参数 其作用是设置语句的执行顺序 当选用config参数时 表示路由器按照用户的配置顺序来执行访问列表中的规则 当选用auto参数时 表示路由器按照深度优先的顺序来执行访问列表中的规则 华为访问控制列表配置命令 2 定义命名访问控制列表命令 aclnameacl name advanced basic match order config auto acl name 访问控制列表的名称advanced 表示扩展访问控制列表 basic 表示标准访问控制列表 华为访问控制列表配置命令 3 定义标准访问控制列表的子规则rule rule id permit deny sourcesource addrwildcard any time rangename rule id 指定访问控制列表的子项 取值范围为0 127 permit 表明允许满足条件的报文通过 deny 表明禁止满足条件的报文通过 source addrwildcard any source addrwildcard表示源IP地址和源地址通配符掩码 any表示所有主机 name 时间段的名称 可选参数 表示该规则在此时间段规则有效 华为访问控制列表配置命令 4 定义扩展访问控制列表的子规则rule rule id permit deny protocol sourcesource addrwildcard any destinationdest addrwildcard any source portoperatorport1 port2 destination portoperatorport1 port2 established time rangename rule id 指定访问控制列表的子项 取值范围为0 127 permit 表明允许满足条件的报文通过 deny 表明禁止满足条件的报文通过 protocol 本参数用来指定协议类型 可设置为icmp igmp tcp udp ip等 source addrwildcard any source addrwildcard表示源IP地址和源地址通配符掩码 any表示所有主机 destinationdest addrwildcard any dest addrwildcard表示目的IP地址和目的地址通配符掩码 any表示所有目的地址 source portoperatorport1 port2 表示报文使用的源TCP或者UDP端口号 destination portoperatorport1 port2 表示报文使用的目的TCP或者UDP端口号 established 表示此条规则仅对TCP建立连接的第一个SYN报文有效 name 时间段的名称 可选参数 表示该规则在此时间段规则有效 华为访问控制列表配置命令 5 删除访问控制列表的子规则undorulerule idrule id 指定访问控制列表的子项 取值范围为0 127 显示访问控制列表的配置displayaclconfig all acl number acl name all 表示要显示所有的访问列表acl number 要显示的访问列表序号 acl name 要显示的访问列表名字 华为访问控制列表配置命令 6 时间的定义time rangetime name start timetoend time days of the week fromstart date toend date time name 定义时间范围的名字 start time 开始时间 表示形式为hh mm end time 结束时间 表示形式为hh mm days of the week 参数表示在每周的哪几天有效fromstart date 开始日期 表示形式为hh mmMM DD YYYY即小时 分月 日 年 toend date 结束日期 表示形式为hh mmMM DD YYYY 华为访问控制列表配置命令 7 应用访问控制列表packet filterinboundip group acl number acl name inbound 表示对端口接收的报文进行过滤acl number 访问控制列表编号 acl name 访问控制列表名字 rule id 可选参数 指定应用访问列表中的哪个子项 如果不指定则表示要应用访问列表中的所有子项 华为访问控制列表举例 公司企业网通过三层交换机Switch的百兆端口实现各部门之间的互连 财务部门的工资查询服务器 IP地址 129 110 1 2 由Ethernet2 1端口接入 要求正确配置ACL 限制其它部门在上班时间8 00至12 00访问工资服务器 而总裁的计算机 IP地址 129 111 1 2 不受限制 可以随时访问 华为访问控制列表举例配置 Quidway time rangehuawei8 00to18 00working day Quidway aclnametraffic of payserveradvanced Quidway acl adv traffic of payserver rule1denyipsourceanydestination129 110 1 20 0 0 0time rangehuawei Quidway acl adv traffic of payserver rule2permitipsource129 111 1 20 0 0 0destination129 110 1 20 0 0 0 Quidway packet filterip grouptraffic of payserver 综合楼汇聚层ACL配置 综合楼ACL的主要功能是过滤常见的病毒传播端口 控制病毒在网络上的传播配置步骤分为三步收集常见病毒的传播端口 配置访问控制列表 将访问控制列表应用到端口如果办公用户间很少直接相互访问 可以对二层交换机进行端口隔离 从而进一步控制病毒利用网络进行传播 教学楼汇聚层ACL配置 为了控制用户使用网络的流量和病毒的传播 使用较高的安全措施即只允许用户进行常用网络操作 其余操作全部禁止常见网络端口 使用三层交换机作防火墙 优点 包过滤速度快缺点 三层交换机的ACL只有包过滤功能 缺少防火墙的其他策略 如防上DDOS攻击 碎片攻击等 防火墙数据包流动示意图 三层交换机配置防火墙的步骤 配置主机请求数据的访问控制列表 对目的端口进行检 配置服务器回应数据的访问控制列表 对源端口进行检查 将第1步配置的访问列表应用在主机连接端口的in方向 将第2步配置的访问列表应用在服务器连接端口的in方向 由于防火墙采用 除了允许的数据包 其余全部禁止 的策略 因此每个访问列表的最后应该有一条语句禁止所有数据包通过 denyipanyany DMZ区防火墙访问列表遵守策略 遵守 除了允许的数据包 其余全部禁止 的策略遵守 最小服务 策略 三层交换机防火墙的维护 增加ACL列表将原有ACL列表复制保存 再删除原有的ACL列表按增加新ACL规则后的顺序重新配置ACL列表 修改ACL列表 由于cisco和华为都没有提供修改ACL语句的命令 因此 ACL语句的修改操作的步骤与增加ACL语句的操作步骤是一样的删除ACL规则 直接用no或undo命令删除相应的规则即可 TCP三次握手 Three wayHandshake 客户端发送一个包含SYN标志的TCP报文给服务器端 服务器在收到客户端的SYN报文后 将返回一个SYN ACK的报文 表示客户端的请求被接受 客户端返回一个ACK确认报文给服务器 这样一个TCP连接完成 TCP拦截原理 TCP拦截有拦截和监视两种工作模式拦截模式 路由器拦截到达的TCPSYN请求 并代表服务器建立与客户机的连接 如果连接成功 则代表客户机建立与服务器的连接 并将两个连接进行透明合并 在整个连接期间 路由器会一直拦截和发送数据包 对于非法的连接请求 路由器提供更为严格的半连接 half open 超时限制 以防止自身的资源被SYN攻击耗尽在监视模式下 路由器被动地观察流经路由器的连接请求 如果连接超过了所配置的建立时间 路由器就会关闭此连接 TCP拦截的配置 开启TCP拦截iptcpinterceptlistaccess list numberaccess list number是已经