使用访问控制列表控制网络通讯

使用访问控制列表控制网络通讯,主讲人：孟庆宝,使用访问控制列表控制网络通讯,学习目的与要求：互联网的开放性决定了网络上的数据可以任意流动，但有时候需要对数据进行控制。通过设置访问控制列表来控制和过滤通过路由器的信息流是的一种方法。本项目主要讲述使用标准访问控制列表和扩展访问控制列表控制网络流量的方法，同时提供了标准访问控制列表和扩展访问控制列表以及在路由接口应用ACL的例子。完成本项目的学习，你将能够：描述访问控制列表的分类及其工作过程会根据应用需求配置访问控制列表,访问控制列表（ACL）,访问控制列表ACL(AccessControlLists)，是网络管理员手工配置的，放置在路由器接口中的一组含有允许（permit）或拒绝（deny）语句条目序列，在数据包流经路由器的入方向（in）或出方向（out）进行匹配检查，最终决定数据包通过（forwarding）或丢弃（discarding）。,ACL的功能检查和过滤数据包。ACL通过将访问控制列表应用到路由器接口来管理流量和检查特定的数据包。例如，可以允许E-mail流量被路由，但同时阻塞所有Telnet流量。限制或减少路由更新的内容。ACL能够限定或简化路由器选择更新的内容，这些限定常用于限定关于特定网络的信息通过网络传播。提供网络访问的基本安全级别。通过在路由器上配置ACL，可以允许一个主机访问网络的一部分，而阻止其他主机访问相同的区域。作为高级功能的基础配置。为网络地址转换功能、拨号访问功能提供基础配置。ACL分类及编号标准访问控制列表（StandardACL）：可以根据源地址作访问控制，编号范围：1-99扩展访问控制列表（ExtendedACL）：可以根据源地址、目的地址和网络应用作访问控制，编号范围：100-199,ACL的工作原理,顺序查找，匹配后不再检索隐式拒绝处理,ACL在路由器中的工作过程,注：ACL在路由查找后进行处理,任务：使用标准访问控制列表限制网络访问,案例1：网络不能访问网络其他网络可以访问,配置标准ACL,步骤1.定义标准ACLRouter(config)#access-listaccess-list-numberdeny|permitsourcesource-wildcardlog,配置标准ACL,步骤2将标准ACL应用到某一接口上Router(config-if)#ipaccess-groupaccess-list-numberin|out其中，参数in和out表示ACL作用在接口上的方向，两者都是以路由器作为参照物的，如果in和out都没有指定，那么默认为out。注意：1、在每个接口、每个协议、每个方向上只能有一个访问控制列表。2、标准访问控制列表放置在离目的网络近的路由器中,配置标准ACL,删除已建立的标准ACLRouter(config)#noaccess-listaccess-list-numberRouter(config-if)#ipaccess-groupaccess-list-numberin|out,关于通配符掩码的使用说明,表示成4位点分十进制形式。默认的通配符掩码为。在通配符掩码位中，0表示“检查相应的位”，而1表示“不检查(忽略)相应的位”。比如，源地址和通配符掩码为55，表示路由器前3个8位组必须精确匹配，最后1个8位组的值可以任意。再如，如要指定IP地址为从到之间的所有子网，则通配符掩码为55(31-16=15)。any可以表示任何IP地址，例如：Router(config)#access-list10permitanyhost表示一台主机，例如：Router(config)#access-list10permithost2,标准ACL配置示例一,某企业销售部、市场部的网络和财务部的网络通过路由器RTA和RTB相连，整个网络配置RIPv2路由协议，保证网络正常通信。要求在RTB上配置标准ACL，允许销售部的主机PC1访问路由器RTB，但拒绝销售部的其他主机访问RTB，允许销售部、市场部网络上所有其他流量访问RTB。,图9-4标准ACL配置,配置步骤如下：,(1)配置标准ACL在路由器上RTB上配置如下：RTB(config)#access-list1permithost0RTB(config)#access-list1deny55RTB(config)#access-list1permitanyRTB(config)#interfaces0/0/0RTB(config-if)#ipaccess-group1in(2)验证标准ACLshowaccess-lists命令RTB#showaccess-listsshowipinterface命令RTB#showipinterface,标准ACL配置示例二,利用标准ACL限制虚拟终端访问的问题。配置一个VTY访问控制列表，只允许网络/24中的主机00telnet路由器RTA。,图9-5用标准ACL限制Telnet访问,配置方法如下：,RTA(config)#access-list10permithost00RTA(config)#linevty04RTA(config-line)#passwordciscoRTA(config-line)#loginRTA(config-line)#access-class10in,注意：在配置接口的访问时可以使用数字表号的或者命名的ACL只有数字的访问列表才可以应用到虚拟连接中用户可以连接所有的VTY，因此所有的VTY连接都应用相同的ACL,配置扩展ACL,扩展ACL比标准ACL功能更强大，使用得更广泛，因为它可以基于分组的源地址、目的地址、协议类型和应用来决定访问是被允许或者拒绝，因而扩展ACL比标准ACL提供了更广阔的控制范围和更多的处理方法。扩展ACL编号：100-199或2000-2699扩展ACL放置在靠近源端近的路由器接口中是最佳的。,扩展ACL的工作过程,扩展ACL的工作过程,ACL配置实例,某公司网络如图所示，S0服务器中开放了文件传输和网页浏览服务，请根据以下要求完成配置：1、PC0所在网络，除PC0以外，都不可以访问S0中的文件传输服务，其他应用不受影响。2、PC1所在网络，只有PC1可以使用S0中的文件传输和网页浏览服务，其他机器只能使用S0中的网页浏览服务，其他通讯均不可以访问。,配置扩展ACL,1定义扩展ACLRouter(config)#access-listaccess-list-numberdeny|permitprotocolsourcesource-wildcarddestinationdestination-wildcardoperatoroperandestablished,一些保留的TCP端口号,配置扩展ACL,2.将扩展ACL应用到某一接口上Router(config-if)#ipaccess-groupaccess-list-numberin|out3.删除扩展ACLRouter(config)#noaccess-listaccess-list-number4.查看访问控制列表条目Router#showaccess-listaccess-list-number5.查看访问控制列表放置端口情况Router#showinterfaceinterface-name,扩展ACL配置示例,某企业销售部的网络和财务部的网络通过路由器RTA和RTB相连，整个网络配置RIPv2路由协议，保证网络正常通信。要求在RTA上配置扩展ACL，实现以下4个功能：(1)允许销售部网络的主机访问WWWServer0；(2)拒绝销售部网络的主机访问FTPServer0；(3)拒绝销售部网络的主机Telnet路由器RTB；(4)拒绝销售部主机0Ping路由器RTB。,图9-7扩展ACL的配置,配置方法如下：,RTA(config)#access-list100permittcp55host0eq80RTA(config)#access-list100denytcp55host0eq20RTA(config)#access-list100denytcp55host0eq21RTA(config)#access-list100denytcp55hosteq23RTA(config)#access-list100denytcp55hosteq23RTA(config)#access-list100denyicmphost0hostRTA(config)#access-list100denyicmphost0hostRTA(config)#access-list100permitipanyanyRTA(config)#interfacef0/0RTA(config-if)#ipaccess-group100in,本章小结,访问控制列表使用包过滤技术，在路由器上读取第3层或第4层包头中的信息，如源地址、目的地址、源端口、目的端口以及上层协议等，根据预先定义的规则决定哪些数据包可以接收、哪些数据包需要拒绝，从而达到访问控制的目的。在路由器上实现的访问控制列表是一个连续的条件判断语句的集合，这些语句对数据包的地址或上层协议进行网络通信流量的控制，从而提供基本的网络通信流量过滤的能力，对网络安全起到很好的保护作用。标准ACL只检查可以被路由的数据包的源地址，从而允许或拒绝基于网络、子网或主机IP地址的某一协议通过路由器出口。扩展ACL可以基于分组的源地址、目的地址、协议类型、端口号和应用来决定访问是被允许或者拒绝。它比标准ACL功能更强大，使用得更广泛。,本章习题,一、填空题1ACL分为和两种类型。2当应用ACL时，以为参照物区分in和out的方向。3ACL最后一条隐含。4标准ACL的编号范