ACL访问控制技术

1、第第9章章 ACL访问访问控制技术控制技术2本章学习内容 9.1 ACL概述9.1.1 什么是什么是ACL9.1.2 ACL的访问顺序（难点）的访问顺序（难点）9.1.3 ACL的分类的分类9.2 ACL的基本配置举例9.2.1 标准标准ACL配置举例配置举例(重点重点)9.2.3 扩展扩展ACL配置举例（重难点）配置举例（重难点）9.3 本章命令汇总J要求：PC1所在网络能访问PC3，PC2所在网络不能访问PC3。J要求：PC1所在网络仅能访问PC2的WWW服务器，PC3所在网络仅能访问PC2的FTP服务器，其他计算机都不能访问PC2服务器。59.1 ACL 概 述 J 访问控制列表（Acc

2、ess Control List，简称ACL）网络操作系统所提供的一种访问控制技术。J ACL原理ACL使用包过滤技术，在路由器上读取第三层及第四层包头中的信息如源地址、目的地址、源端口、目的端口等，根据预先定义好的规则对包进行过滤，从而达到访问控制的目的。 J 功能保护资源、阻止非法用户对资源的访问；限制特定用户对资源的访问权限。J 使用范围路由器、三层交换机、部分最新的二层交换机都提供ACL支持。ACL语句举例：语句举例：RA(config)#access-list 1 permit 55RA(config)#access-list 1 permit

3、 55ip access-list extend server-protectPeimit tcp host 3 host 1 eq 1521Deny tcp 55 host 1 eq 1521Peimit tcp 55 host 1 eq 1521Permit tcp 55 host 0 eq 80Peimit tcp 55 host 10.1.

4、2.22 eq 217配置ACL的基本原则：（1）最小特权原则最小特权原则：只给受控对象完成任务所：只给受控对象完成任务所必需的最小的权限；必需的最小的权限；（2）最靠近受控对象原则最靠近受控对象原则：所有的网络层访问：所有的网络层访问权限控制尽可能离受控对象最近。权限控制尽可能离受控对象最近。8ACL语句的增加与删除JACL由一系列访问控制语句组成。J当创建一个ACL列表后，新增加的语句新增加的语句总是放放到列表最后到列表最后。J无法删除某一条ACL语句，只能删除整个删除整个ACL列表列表。9ACL的访问顺序J按照语句顺序语句顺序，根据判定条件对数据包进行检检查查。一旦找到了匹配条件就结束比

5、较过程找到了匹配条件就结束比较过程，不再检查后面的判断条件。J如果所有条件语句都不匹配所有条件语句都不匹配，则在最后强加一条拒绝全部流量的隐含语句，即总是拒绝所有总是拒绝所有流量。流量。10ACL访问顺序 示例协议源地址源端口目的地址目的端口访问权限TCP10.1/16所有0/3280允许TCP10.1/16所有2/3221允许TCP10.1/16所有1/321521允许TCP10.1.6/24所有1/321521禁止TCP3/32所有1/321521允许IP10.1/16N/A所有N/A禁止ip

6、access-list extend server-protectPermit tcp 55 host 0 eq 80Peimit tcp 55 host 2 ep 21Peimit tcp 55 host 1 eq 1521Deny tcp 55 host 1 eq 1521Peimit tcp host 3 host 1 eq 1521Deny ip 10.

7、1.0.0 55 any能否拒绝能否拒绝网络网络中主机中主机访问主机访问主机1:1521？ip access-list extend server-protectPeimit tcp host 3 host 1 eq 1521Deny tcp 55 host 1 eq 1521Peimit tcp 55 host 1 eq 1521Permit tcp 55 host 10.1.

8、2.20 eq 80Peimit tcp 55 host 2 eq 21ACL语句定义顺序：语句定义顺序：先小范围先小范围精确匹配，精确匹配，再大范围再大范围匹配。匹配。13 ACL的分类的分类 1标准标准ACL（standard ACL）2扩展扩展ACL（extended ACL）3命名命名ACL4基于时间的访问控制列表基于时间的访问控制列表141. 标准标准ACLJ标准ACL：使用使用IP包中的包中的源源IP地址地址进行过滤。进行过滤。在思科的路由器上使用的在思科的路由器上使用的ACL编号为编号为199以及以及13001999。151.标

9、准标准ACL的配置的配置J第一步，第一步，定义定义访问控制列表，命令如下：访问控制列表，命令如下： Router(config)# access-list access-list-number permit | deny source source-wildcard logJ第二步，把标准第二步，把标准 ACL应用到应用到一个具体一个具体接口。接口。161.标准标准ACL的配置的配置J第一步，第一步，定义定义访问控制列表，命令如下：访问控制列表，命令如下： Router(config)# access-list access-list-number permit | deny source s

10、ource-wildcard log标准标准ACL编号编号199，13001999源地址通配符掩码。通配符掩码。0检查相应位；检查相应位；1不检查相应位。不检查相应位。Any表示表示 55Host 9 表示表示9 源地址通配符掩码。通配符掩码。0检查相应位；检查相应位；1不检查相应位。不检查相应位。Any表示表示 55Host 9 表示表示9 源地址通配符掩码。通配符掩码。0检查相应位；检查相应位；1

11、不检查相应位。不检查相应位。Any表示表示 55Host 9 表示表示9 171.标准标准ACL的配置的配置J第一步，第一步，定义定义访问控制列表，命令如下：访问控制列表，命令如下： Router(config)# access-list access-list-number permit | deny source source-wildcard log生成日志文件生成日志文件181.标准标准ACL的配置的配置J第二步，把标准第二步，把标准 ACL应用到应用到一个具体一个具体接口接口： Rout

12、er(config)# int interface Router(config-if)# protocol access-group access-list-number in | out 例如：例如：Router(config)# access-list 1 permit 55 /允许源地址为允许源地址为网段的数据通过网段的数据通过Router(config)# int s1/1Router(config-if)# ip access-group 1 out192. 扩展ACLJ扩展ACL：可以控制可以控制源源IP，目的目的IP，源端口

13、源端口，目的端口目的端口等。等。在思科路由器上，扩展在思科路由器上，扩展ACL的编号为的编号为100199以及以及20002699。缺点缺点在没有硬件在没有硬件ACL加速的情况下，加速的情况下，消耗消耗大量的路由器大量的路由器CPU资源资源。中低档路由器上尽量。中低档路由器上尽量减少扩展减少扩展ACL的条目数。的条目数。202.扩展ACL的配置J第一步，定义访问控制列表，命令：第一步，定义访问控制列表，命令：Router(config)# access-list access-list-number permit | deny protocol source source-wildcard o

14、perator operand destination destination-wildcard operator operand established logJ第二步，把扩展第二步，把扩展 ACL应用应用到一个具体到一个具体接口接口：212.扩展ACL的配置J第一步，定义访问控制列表，命令：第一步，定义访问控制列表，命令：Router(config)# access-list access-list-number permit | deny protocol source source-wildcard operator operand destination destination-wi

15、ldcard operator operand established log扩展扩展ACL编号编号100199，20002699222.扩展ACL的配置J第一步，定义访问控制列表，命令：第一步，定义访问控制列表，命令：Router(config)# access-list access-list-number permit | deny protocol source source-wildcard operator operand destination destination-wildcard operator operand established log指定协议类型IP, TCP,

16、UDP, ICMP等232.扩展ACL的配置J第一步，定义访问控制列表，命令：第一步，定义访问控制列表，命令：Router(config)# access-list access-list-number permit | deny protocol source source-wildcard operator operand destination destination-wildcard operator operand established log源地址源地址 及及 通配符掩码通配符掩码。0检查相应位；检查相应位；1不检查相应位。不检查相应位。Any表示表示 255.25

17、5.255.255Host 9 表示表示9 242.扩展ACL的配置第一步J第一步，定义访问控制列表，命令：第一步，定义访问控制列表，命令：Router(config)# access-list access-list-number permit | deny protocol source source-wildcard operator operand destination destination-wildcard operator operand established logJ第二步，把扩展第二步，把扩展 ACL应用应用到一个

18、具体到一个具体接口接口：目的地址 ，通配符掩码,0检查,1不检查252.扩展ACL的配置第一步J第一步，定义访问控制列表，命令：第一步，定义访问控制列表，命令：Router(config)# access-list access-list-number permit | deny protocol source source-wildcard operator operand destination destination-wildcard operator operand established logJ第二步，把扩展第二步，把扩展 ACL应用应用到一个具体到一个具体接口接口：lt, gt,

19、 eq, neq(小于小于, 大于大于, 等于等于, 不等于不等于)一个端口号或应用名称262.扩展ACL的配置第一步J第一步，定义访问控制列表，命令：第一步，定义访问控制列表，命令：Router(config)# access-list access-list-number permit | deny protocol source source-wildcard operator operand destination destination-wildcard operator operand established logJ第二步，把扩展第二步，把扩展 ACL应用应用到一个具体到一个具体

20、接口接口：如果数据包使用一个已建立连接，则允许TCP信息通过。扩展扩展ACL命令命令示例如下：示例如下：例例1：Router(config)# access-list 101 deny tcp 55 55 eq 20例例2：Router(config)# access-list 101 permit tcp 55 host 0 eq 80例例3：Router(config)# access-list 101 deny ip 55 any

21、特定主机特定主机IP地址：地址：0 表示任何主机地址：表示任何主机地址： 55282.扩展ACL的配置第二步Router(config)# int interfaceRouter(config-if)# protocol access-group access-list-number in | out 例如：例如：Router(config)# int f0/0Router(config-if)# ip access-group 1 outJ第一步，定义访问控制列表；第一步，定义访问控制列表；J第二步，把扩展第二步，把扩展

22、 ACL应用应用到一个具体到一个具体接口接口：293.命名ACL的配置J命名命名ACL在标准在标准ACL和扩展和扩展ACL中，使中，使用用名字名字代替代替ACL编号编号。J命名命名ACL好处：好处：字母数字串直观表示特定字母数字串直观表示特定ACL。不受不受99条标准条标准ACL和和100条扩展条扩展ACL限制。限制。修改方便修改方便，无需删除后再重新配置。，无需删除后再重新配置。30命名ACL配置3个步骤J第一步，第一步，创建一个创建一个ACL命名命名，要求，要求名字字符串名字字符串要要唯一唯一。 Router(config)# ip access-list standard | exten

23、ded name31命名ACL配置3个步骤J第二步，定义访问控制列表，命令格式：第二步，定义访问控制列表，命令格式：（1）命名的标准）命名的标准ACL： Router(config-sta-nacl)# permit | deny source source-wildcard log编号的标准编号的标准ACL格式：格式： Router(config)# access-list access-list-number permit | deny source source-wildcard log32命名ACL配置3个步骤J第二步，定义访问控制列表，命令格式：第二步，定义访问控制列表，命令格式：（

24、2）命名的扩展）命名的扩展ACL： Router(config-sta-nacl)# permit | deny protocol source source-wildcard operator operand destination destination-wildcard operator operand established log33命名ACL配置3个步骤J第三步，把第三步，把 ACL应用到一个具体接口上：应用到一个具体接口上：Router(config)# int interfaceRouter(config-if)# protocol access-group name in |

25、 out 34命名ACL配置实例JRouter(config)# access-list extend server-protectJRouter(config-ext-nad)# permit tcp 55 host 0 eq wwwJRouter(config)# int f0/0JRouter(config)# ip access-group server-protect out35删除命名ACL命令J删除某一条命名ACL命令：Router(config-sta-nacl)# no permit | deny source source

26、-wildcard log Router(config-sta-nacl)# no permit | deny protocol source source-wildcard operator operand destination destination-wildcard operator operand established log删除命名的标准ACL删除命名的扩展ACL36命名ACL注意事项：J不能不能在任意位置加入新的ACL条目。J新增的ACL仍然放在最后一行。J必须注意ACL的放置顺序。379.2 ACL的基本配置举例9.2.1 标准ACL配置举例1. 实验目的（1）掌握标准）掌握

27、标准ACL的配置的配置。（2）掌握标准）掌握标准ACL的的测试测试。（3）掌握）掌握命名标准命名标准ACL的配置的配置。2. 实验拓扑J某公司经理部、财务部和销售部分别属于3个不同的网段，通过路由器传递信息。要求：销售部销售部PC2不能访问不能访问财务部财务部PC3；经理部经理部PC1可以访问可以访问财务部财务部PC3。2. 实验拓扑第一步：R1接口参数和OSPF协议配置RouterenRouter#conf tRouter(config)#hostname R1R1(config)#int f0/0R1(config-if)#ip add R

28、1(config-if)#no shutR1(config-if)#int f0/1R1(config-if)#ip add R1(config-if)#no shutR1(config-if)#int s0/0R1(config-if)#ip add R1(config-if)#clock rate 64000R1(config-if)#no shut第一步：第一步：R1接口参接口参数和数和OSPF协议配置协议配置R1(config)#router ospf 100R1(config-router)#net

29、work 55 area 0R1(config-router)#network 55 area 0R1(config-router)#network 55 area 0第二步：R2接口参数和OSPF协议配置RouterenRouter#conf tRouter(config)#hostname R2R2(config)#int f0/1R2(config-if)#ip add R2(config-if)#no shutR2(config-

30、if)#int s0/0R2(config-if)#ip add R2(config-if)#no shut第二步：R2接口参数和OSPF协议配置R2(config)#router ospf 100R2(config-router)#network 55 area 0R2(config-router)#network 55 area 0第三步：查看R1和R2路由表R2#show ip routeC /8 is directly connected, Serial0/0O 1

31、/24 110/65 via , 00:05:07, S0/0O /24 110/65 via , 00:05:07, S0/0C /24 is directly connected, F0/1R1#show ip routeC /8 is directly connected, Serial0/0C /24 is directly connected, F0/0C /24 is directly connected, F0/1O 192.

32、168.3.0/24 110/65 via , 00:03:47, S0/045第四步：测试网络连通性PC1ping 2 /PC1pingPC2Reply from 2: bytes=32 time=0ms TTL=127PC1ping 3 /PC1pingPC3Reply from 3: bytes=32 time=2ms TTL=126PC2ping 3 /PC2pingPC3Reply from 3: bytes=32 time=4ms TT

33、L=126结论：配置结论：配置ACL前，全网连通。前，全网连通。46第五步：在R2上上配置ACL思考：为什么要在R2上配置ACL？ACL的配置原则：的配置原则：（1）最小特权原则最小特权原则：只给受控对象完成任：只给受控对象完成任务所必需的最小的权限；务所必需的最小的权限；（2）最靠近受控对象原则最靠近受控对象原则：所有的网络层：所有的网络层访问权限控制尽可能离受控对象最近。访问权限控制尽可能离受控对象最近。47第五步：在R2上配置ACL48第五步：在R2上配置ACLR2(config)#access-list 1 deny 55R2(config)#ac

34、cess-list 1 permit anyR2(config)#int f0/1R2(config-if)#ip access-group 1 out49第六步：再次测试连通性J此时在R2上已经配置好了access-list 1，拒绝PC2所在网段主机访问PC3，运行其他网段主机访问PC3。PC1ping 3 / PC1能ping通PC3Reply from 3: bytes=32 time=1ms TTL=126PC2ping 3 / PC2ping不通PC3Reply from : Destination

35、host unreachable.50第七步：命名ACL的配置R2# show ip access-list /查看已配置的ACLStandard IP access list 1 deny 55 permit anyJ首先在R2上删除原来配置的access-list 1：JR2(config)#no access-list 1JR2# show ip access-list /此时没有显示内容51第七步：命名ACL的配置重新配置命名ACL：R2(config)#ip access-list standard 1jR2(config-std-nacl)#p

36、ermit 55R2(config-std-nacl)#deny 55R2(config-std-nacl)#peimit anyR2(config-std-nacl)#exitR2(config)#int f0/1R2(config-if)#ip access-group 1j out52第八步：查看命名ACLR2# show ip access-lists Standard IP access list 1j 10 permit 55 20 deny 0

37、.0.0.255 Permit any53第九步：测试网络连通性PC1ping 3 Reply from 3: bytes=32 time=4ms TTL=126PC2ping 3Reply from : Destination host unreachable.549.2.2 扩展ACL配置举例J1. 实验目的（1）掌握扩展ACL的配置。（2）掌握扩展ACL的测试。（3）掌握命名扩展ACL的配置。2. 实验拓扑J要求：PC1所在网络仅能访问PC2的WWW服务器，PC3所在网络仅能访问PC2的FTP服务器，其他计

38、算机都不能访问PC2服务器。563. 实验配置步骤J（1）分别配置各路由器的hostname和各接口参数。J（2）路由器上配置RIP协议使得全网互通。J（3）配置扩展ACL，并检测控制效果。第一步：R1接口配置RouterenRouter#conf tRouter(config)#hostname R1R1(config-if)#int f0/0R1(config-if)#ip add R1(config-if)#no shutR1(config-if)#int s0/0R1(config-if)#ip add 255.255

39、.255.0R1(config-if)#clock rate 64000R1(config-if)#no shut第一步：第一步：R2接口配置接口配置RouterenRouter#conf tRouter(config)#hostname R2R2(config)#int f0/0R2(config-if)#ip add R2(config-if)#no shutR2(config-if)#int s0/0R2(config-if)#ip add R2(config-if)#no shutR2(con

40、fig-if)#int s0/1R2(config-if)#ip add R2(config-if)#clock rate 64000R2(config-if)#no shut第一步：R3接口配置RouterenRouter#conf tRouter(config)#hostname R3R3(config)#int f0/0R3(config-if)#ip add R3(config-if)#no shutR3(config-if)#int s0/1R3(config-if)#ip add 20.0

41、.0.2 R3(config-if)#no shut第二步：R1的RIP协议配置R1(config)#router rip R1(config-router)#version 2R1(config-router)#network R1(config-router)#network 第二步：R2的RIP协议配置R2(config)#router rip R2(config-router)#version 2R2(config-router)#network R2(config-router)#network 1

42、R2(config-router)#network 第二步：第二步：R3的的RIP协议配置协议配置R3(config)#router ripR3(config-router)#version 2R3(config-router)#network R3(config-router)#network 63第三步：测试网络连通性PC1ping /PC1ping PC2服务器Reply from : bytes=32 time=3ms TTL=126PC3ping

43、/PC3ping PC2服务器Reply from : bytes=32 time=1ms TTL=125PC1能访问能访问WWW服务器服务器PC3能访问能访问WWW服务器服务器PC1能访问能访问FTP服务器：服务器：PC1 ftp Trying to connect.Connected to 220- Welcome to PT Ftp serverPC3能访问能访问FTP服务器：服务器：PC3 ftp Trying to connect.Connected t

44、o 220- Welcome to PT Ftp server第四步：配置扩展ACLR2(config)#access-list 100 permit tcp 55 host eq wwwR2(config)#access-list 100 permit tcp 55 host eq 21R2(config)#access-list 100 permit tcp 55 host eq 20

45、R2(config)#access-list 100 deny tcp any host R2(config)#access-list 100 permit ip any anyR2(config)#int f0/0 /应用于f0/0的out方向R2(config-if)#ip access-group 100 out测试PC1到PC2的连通性PC1能访问WWW服务器PC1 ftp Trying to connect.%Error opening / (Timed out)测试PC3到PC2的连通

46、性PC3不能访问WWW服务器PC3 ftp Trying to connect.Connected to 220- Welcome to PT Ftp server69第五步：配置命名扩展ACLR2#show ip access-list /查看R2的ACLExtended IP access list 100 permit tcp 55 host eq www (5 match(es) permit tcp 55 host 19

47、 eq ftp (3 match(es) permit tcp 55 host eq 20 deny tcp any host (42 match(es) permit ip any any (8 match(es)70第六步：配置命名扩展ACLJ首先首先删除删除原来的扩展原来的扩展ACL：R2(config)#no access-list 100R2#show ip access-lists /此时没有此时没有ACL信息信息定义命名的扩展ACLR2(config)#ip access-li

48、st extended ext-1R2(config-ext-nacl)#permit tcp 55 host eq wwwR2(config-ext-nacl)#permit tcp 55 host eq 21R2(config-ext-nacl)#permit tcp 55 host eq 20R2(config-ext-nacl)#deny tcp any host R2(config-ext-nacl)#per