访问控制列表(ACL)

1、第7章 访问控制 列表(ACL) 8.1 ACL概述 利用ACL可以对经过路由器的数据包按照设定的规则进 行过滤，使数据包有选择的通过路由器，起到防火墙的 作用。 访问控制列表(ACL)由一组规则组成，在规则中定义允许 或拒绝通过路由器的条件。 ACL过滤的依据主要包括源地址、目的地址、上层协议 等。 ACL有两种：标准访问控制列表、扩展访问控制列表。 ACL的基本用途是限制访问网络的用户，保护网络的安 全。 ACL一般只在以下路由器上配置： 1、内部网和外部网的边界路由器。 2、两个功能网络交界的路由器。 限制的内容通常包括： 1、允许那些用户访问网络。（根据用户的IP地址进行 限制） 2、

2、允许用户访问的类型，如允许http和ftp的访问，但 拒绝Telnet的访问。（根据用户使用的上层协议进行限 制） ACL的工作过程 访问控制列表(ACL) 由多条判断语句组成。每条语句给 出一个条件和处理方式（通过或拒绝）。 路由器对收到的数据包按照判断语句的书写次序进行检 查，当遇到相匹配的条件时，就按照指定的处理方式进 行处理。 ACL中各语句的书写次序非常重要，如果一个数据包和 某判断语句的条件相匹配时，该数据包的匹配过程就结 束了，剩下的条件语句被忽略。 8.2 ACL语句 一个访问控制列表(ACL)可由多条语句组成，每条ACL 语句的形式为： Router(config)# acc

3、ess-list 表号 处理方式 条件 ACL表号：用于区分各访问控制列表。 一台路由器中可定义多个ACL，每个ACL使用一个表号。 其中针对IP数据报的ACL可使用的表号为： 标准访问控制列表：199。 扩展访问控制列表：100199。 同一个ACL中各语句的表号相同。 处理方式：取值有permit（允许）和deny（拒绝）两 种。当数据包与该语句的条件相匹配时，用给定的处 理方式进行处理。 条件：每条ACL语句只能定义一个条件。 例： access-list 1 permit 55 access-list 1 deny 0.255.

4、255.255 第1句表示允许地址为10.*.*.*的数据包通过。 第2句表示拒绝地址为20.*.*.*的数据包通过。 这里的地址指数据包的源地址。 应用ACL 如果只是定义了ACL，它还不会起到任何作用，必须把 ACL应用到一个接口上才能起作用。 应用ACL： Router(config)# interface 接口号 Router(config-if)# ip access-group 表号 in | out in：表示在数据包进入此接口时使用ACL进行过滤。 out：表示在数据包离开此接口时使用ACL进行过滤。 通常，使用出站接口检查的数据包数量较少，效率要高 一些。 例： Router

5、(config)# interface e0 Router(config-if)# ip access-group 1 out 表示在e0口上使用表号为1的ACL对出站数据包进行 过滤。 通配符掩码 在ACL语句中，当使用地址作为条件时，它的一般格式 为：地址 通配符掩码。 通配符掩码决定了地址中的哪些位需要精确匹配，哪些 为不需要匹配。 通配符掩码是一个32位数，采用点分十进制方式书写。 匹配时，“0”表示检查的位，“1”表示不检查的位。 如： 55 表示检查前16位，忽略后16位，所以这个条件表示的 地址是 192.168.*.*。 any条件： 当

6、条件为所有地址时，如果使用通配符掩码应写为： 55 这时可以用“any”表示这个条件。 如： Router(config)# access-list 1 permit 55 Router(config)# access-list 1 permit any 上面两个语句是等价的。 host关键字： 当条件为单一IP地址时，如果使用通配符掩码应写为： IP地址 这时可以用“host”关键字定义这个条件。 如： Router(config)# access-list 1 permit 200.1.1.

7、5 Router(config)# access-list 1 permit host 上面两个语句是等价的。 8.3 标准访问控制列表 标准ACL只能使用地址作为条件。 标准ACL使用数据包的源地址匹配ACL语句中的条件。 定义标准ACL时，可使用的表号为199。（针对IP数据 报） 标准ACL配置举例1 R1 E0 一个局域网连接在路由器R1的E0口，这个局域网 要求只有来自/8、/24、 /24的用户能够访问。 R1(config)# access-list 1 permit

8、 55 R1(config)# access-list 1 permit 55 R1(config)# access-list 1 permit 55 R1(config)# interface e0 R1(config-if)# ip access-group 1 out 配置完成后，可以用命令查看ACL： R1# show access-lists 说明： 1、在每个ACL中都隐含着一个语句： access-list list-num deny any 它位于ACL的最后，表示拒绝所有。所以任

9、何一个与 前面各语句都不匹配的数据包都会被拒绝。 2、在ip access-group语句中，用in或out表示入站时 匹配或出站时匹配，如果没有指定这个值，默认为 out。 3、在每个接口、每个方向上只能应用一个ACL。 4、一个ACL可以应用到多个接口上。 R1R2 PC1: .2PC2: .1.1.2PC3: .1.1.2 E0: .1E0: .1.1.1E1: .1.1.1 S0: .1S0: .2 /24 /24 /8 /8 实例1的实验验证： 标准ACL配置举例2 R1 E0 一个局域网连接在路由器R1的E

10、0口，这个局域网 要求拒绝来自/24的用户访问，其它用 户都可以访问。 R1(config)# access-list 1 deny 55 R1(config)# access-list 1 permit any R1(config)# interface e0 R1(config-if)# ip access-group 1 out 注意：access-list 1 permit any语句不能省略，如果省 略该语句，则所有和语句1不匹配的数据包都会被隐含 的access-list 1 deny any语句拒绝。 标准ACL配置

11、举例3 R1 E0 一个局域网连接在路由器R1的E0口，这个局域网 只允许来自/24的用户访问，但其中 和两台主机除外。 R1(config)# access-list 1 deny host R1(config)# access-list 1 deny host R1(config)# access-list 1 permit 55 R1(config)# interface e0 R1(config-if)# ip access

12、-group 1 out 注意：access-list 1 permit 192.168.20 55语句 不能写在另两条语句的前面，如果把它写在第1句，则 和因已经满足了条件，不会 再进行后面的匹配。 说明： 定义ACL时，每条语句都按输入的次序加入到ACL的 末尾，如果想要更改某条语句，或者更改语句的顺序， 只能先删除整个ACL，再重新输入。 比如删除表号为1的ACL： Router(config)# no access-list 1 在实际应用中，我们往往把路由器的配置文件导出到 TFTP服务器中，用文本编辑工具修改ACL，然后

13、再把 配置文件装回到路由器中。 8.4 扩展访问控制列表 扩展ACL可以使用地址作为条件，也可以用上层协议作 为条件。 扩展ACL既可以测试数据包的源地址，也可以测试数据 包的目的地址。 定义扩展ACL时，可使用的表号为100199。（针对IP 数据报） 扩展ACL的语句： access-list 表号 处理方式 条件 表号：取值100199。 处理方式：permit（允许）或deny（拒绝）。 条件：协议 源地址 目的地址 运算符 端口号 established 协议：用于匹配数据包使用的网络层或传输层协议，如IP、 TCP、UDP、ICMP等。 源地址、目的地址：使用“地址 通配符掩码”的

14、形式，也 可以使用any、host关键字。 运算符 端口号：用于匹配TCP、UDP数据包中的端口号。 运算符包括lt(小于)、gt(大于)、eq(等于)、neq(不等于)。 端口号用于对应一种应用，如21FTP、23Telnet、 25SMTP、53DNS、80HTTP等。 “运算符 端口号”可匹配数据包的用途。如：“eq 80” 可匹配那些访问Web网站的数据包。 在扩展ACL语句中， “运算符 端口号”可以没有。 例： access-list 100 permit tcp 55 55 eq 80 表示允许来自

15、192.168.*.*的用户访问位于10.*.*.*的 Web站点。 扩展ACL定义后，也需要使用 ip access-group 命令 应用在指定接口上才能起作用。 如： Router(config)# interface e0 Router(config-if)# ip access-group 100 out 在每个扩展ACL末尾也有一条默认语句： access-list list-num deny ip any any 它会拒绝所有与前面语句不匹配的数据包。 扩展ACL配置举例1 R1 E0 一个局域网连接在路由器R1的E0口，这个局域网 只允许Web通信流量和Ftp通信流量，其它都拒

16、绝。 R1(config)# access-list 100 permit tcp any any eq 80 R1(config)# access-list 100 permit tcp any any eq 20 R1(config)# access-list 100 permit tcp any any eq 21 R1(config)# interface e0 R1(config-if)# ip access-group 100 out 说明：标准FTP协议使用了两个端口，21用于建立 FTP连接，20用于数据传输。 说明： 例1的配置将会极大限制局域网和外网间的应用，它会 拒绝除W

17、eb和Ftp外的所有应用（包括ICMP、DNS、电 子邮件等），也会拒绝那些没有使用标准端口的Web和 Ftp应用。 在实际应用中，我们通常只对那些可能有害的访问作出 拒绝限制，或者限制用户访问某些有害的站点或服务。 扩展ACL配置举例2 R1 E0 R1是局域网和外网的边界路由器，禁止外网用户用 Telnet远程登录本路由器。 S0 192.168.*.* /24/24 R1(config)# access-list 100 deny tcp any host eq 23 R1(config)# access-list 100 de

18、ny tcp any host eq 23 R1(config)# access-list 100 permit ip any any R1(config)# interface s0 R1(config-if)# ip access-group 100 in 说明：这里使用了禁止对两个接口进行Telnet的数据包进 入S0口的方法阻断来自外网的Telnet请求。 由于对E0口没有限制，所以它不影响来自内网的Telnet请 求。 扩展ACL配置举例3 R1 E0 R1是局域网和外网的边界路由器，1是 一个有害的Web网站，禁止内网用户访问该网站。

19、S0 192.168.*.* /24/24 R1(config)# access-list 100 deny tcp 55 host 1 eq 80 R1(config)# access-list 100 permit ip any any R1(config)# interface e0 R1(config-if)# ip access-group 100 in 扩展ACL配置举例4 R1 E0 R1是局域网和外网的边界路由器，禁止对S0口的 ping操作。 S0 192.168.*.*

20、/24/24 R1(config)# access-list 100 deny icmp any host R1(config)# access-list 100 permit ip any any R1(config)# interface s0 R1(config-if)# ip access-group 100 in 说明：ping命令使用的是ICMP协议，但ICMP除了具有 网络探查功能外，还需要用它传输各种错误信息，所以 在路由器上不应该禁止该协议。如果想要禁止ping，最 好使用专用的防火墙。 8.5 命名访问控制列表 命

21、名ACL是新版路由器操作系统(11.2以后的版本)增加 的一种定义ACL的方法。 命名ACL使用一个符号串作为ACL的名字，不再使用表 号。 命名ACL也有标准ACL和扩展ACL两种，一个命名ACL 只能是其中的一种。 命名ACL配置方法 Router(config)# ip access-list standard | extended name standard：定义标准命名ACL。 extended：定义扩展命名ACL。 name：ACL的名字，可自定义。 该命令执行后，提示符变为Router(config-std-nacl)#或 Router(config-ext-nacl)#。在此提示符下可输入ACL语句。 命名ACL语句格式：处理方式 条件。 它只比以前的ACL少了前面的“access-list 表号”部分， 其它都相同。 例1 配置标准命名ACL R1 E0 要求拒绝来自/24的数据包通过S0口进入 路由器，其它都允许。 S0 R1(config)# ip access-list standard list1 R1(config-std-nacl)# deny 55 R