38访问控制列表举例

第8章访问列表访问列表概述访问列表是由一系列语句组成的列表，这些语句主要包括匹配条件和采取的动作（允许或禁止）两个内容访问列表应用在路由器的接口上，通过匹配数据包信息与访问表参数来决定允许数据包通过还是拒绝数据包通过某个接口数据包是通过还是拒绝，主要通过数据包中的源地址、目的地址、源端口、目的端口、协议等信息来决定访问控制列表可以限制网络流量，提高网络性能，控制网络通信流量等，同时ACL也是网络访问控制的基本安全手段访问列表类型访问列表可分为标准IP访问列表和扩展IP访问列表。标准访问列表：其只检查数据包的源地址，从而允许或拒绝基于网络、子网或主机的IP地址的所有通信流量通过路由器的出口。扩展IP访问列表：它不仅检查数据包的源地址，还要检查数据包的目的地址、特定协议类型、源端口号、目的端口号等ACL的相关特性每一个接口可以在进入（inbound）和离开（outbound）两个方向上分别应用一个ACL，且每个方向上只能应用一个ACLACL语句包括两个动作，一个是拒绝（deny）即拒绝数据包通过，过滤掉数据包，一个是允许（permit）即允许数据包通过，不过滤数据包。在路由选择进行以前，应用在接口进入方向的ACL（内向ACL）起作用。在路由选择决定以后，应用在接口离开方向的ACL（内向ACL）起作用每个ACL的结尾有一个隐含的“拒绝的所有数据包（denyall）"的语句

ACL转发的过程IP地址与通配符掩码的作用32位的IP地址与32位的通配符掩码逐位进行比较，通配符掩码为0的位要求IP地址的对应位必须匹配，通配符掩码为1的位所对应的IP地址位不必匹配通配符掩码掩码的二进制形式描述00000000.00000000.00000000.00000000整个IP地址必须匹配5500000000.00000000.00000000.11111111只有前24位需要匹配5500000000.00000000.11111111.11111111只有前16位需要匹配^.255.255.25500000000.11111111.11111111.11111111只有前8位需要匹配255.255.25525511111111.11111111.11111111.11111111全部不需要匹配5500000000.00000000.00001111.11111111只有前20位需要匹配5500000000.00000000.00000011.11111111只有前22位需要匹配通配符掩码的两种特殊形式一个是host表示一种精确匹配，是通配符掩码的简写形式一个是any表示全部不进行匹配，是通配符掩码55的简写形式访问列表配置步骤第一步是配置访问列表语句第二步是把配置好的访问列表应用到某个端口上访问列表注意事项注意访问列表中语句的次序，尽量把作用范围小的语句放在前面。新的表项只能被添加到访问表的末尾，这意味着不可能改变已有访问表的功能。如果必须要改变，只有先删除已存在的访问列表，然后创建一个新访问列表、然后将新访问列表用到相应的接口上。标准的IP访问列表只匹配源地址，一般都使用扩展的IP访问列表以达到精确的要求。标准的访问列表尽量靠近目的，由于标准访问表只使用源地址，因此将其靠近源会阻止报文流向其他端口。扩展的访问列表尽量靠近过滤源的位置上，以免访问列表影响其他接口上的数据流。在应用访问列表时，要特别注意过滤的方向标准IP访问列表的配置命令配置标准访问列表access-listaccess-list-numberdenylpermitsource-addresssource-wildcard[log]access-list-number：只能是1〜99之间的一个数字deny|permit：deny表示匹配的数据包将被过滤掉；permit表示允许匹配的数据包通过source-address:表示单台或一个网段内的主机的IP地址source-wildcard:通配符掩码Log:访问列表日志，如果该关键字用于访问列表中，则对匹配访问列表中条件的报文作日志标准IP访问列表的配置命令续应用访问列表到接口ipaccess-groupaccess-list-numberin|outIn：通过接口进入路由器的报文Out:通过接口离开路由器的报文显示所有协议的访问列表配置细节showaccess-list[access-list-number]显示IP访问列表showipaccess-list[access-list-number]

hostAhostC标准IP访问列表的配置举例hostAhostCseivierlseiver2hostA不能访问服务器serverl和server2,其它主机可以访问服务器serverl和server2标准IP访问列表的配置举例配置routerB#configureterminalrouterB(config)#access-list1denyhostrouterB(config)#access-list1permitanyrouterB(config)#interfacefastEthernet1/0routerB(config)#ipaccess-group1in扩展IP访问列表的配置命令配置扩展访问列表access-listaccess-list-numberpermit|denyprotocolsource-addresssource-wildcardsource-portdestinaitonaddressdestination-wildcarddestination-portlogoptionsaccess-list-numberL：编号范围为100〜199。Permit：通过；deny:禁止通过Protocol:需要被过滤的协议的类型，如IP、TCP、UDP、ICMP、EIGRP,GRE等。source-address:源IP地址source-wildcard:源通配符掩码扩展IP访问列表的配置命令续source-port:可以是单一的某个端口，也可以是一个端口范围

例eq等于,用于指定单个的端口eq21或eqftp大于,用于指定大于某个端口的一个端口范围gt1024it小于,用于指定小于某个端口的一个端口范围It1024neq不等于,用于指定除了某个满口以外的所有端口range指位两个端口号间的一个端口范围range135145扩展IP访问列表的配置命令续destination-address：目的IP地址destination-wildcard：目的地址通配符掩码destination-port：目的端口号，指定方法与源端口号的指定方法相同扩展IP访问列表配置举例要求允许LAN3的所有主机能登录Internet，但只能浏览WWW、FTP、SMTP、POP3协议的通信。LAN2中的主机向Internet提供WWW服务，主机向Internet提供FTP服务，主机向Internet提供SMTP服务，其余主机不能被Internet访问。LAN1中的主机不能访问Internet，但可以访问LAN2和LAN3扩展IP访问列表配置举例配置router#configureterminalrouter(config)#access-list101permittcp55anyeqwwwrouter(config)#access-list101permittcp55anyeqftprouter(config)#access-list101permittcp55anyeqsmtprouter(config)#access-list101permittcp55anyeqpop3router(config)#access-list101denyipany55扩展IP访问列表配置举例配置续router(config)#access-list102permittcpanyhosteqwwwrouter(config)#access-list102permittcpanyhosteqftprouter(config)#access-list102permittcpanyhosteqsmtprouter(config)#interfaceserial1router(config-if)#ipaccess-group101outrouter(config-if)#interfacefastethernet1/0router(config-if)#ipaccess-group102out命名IP访问列表命名IP访问列表通过一个名称而不是一个编号来引用的。命名的访问列表可用于标准的和扩展的访问表中。名称的使用是区分大小写的，并且必须以字母开头。在名称的中间可以包含任何字母数字混合使用的字符，也可以在其中包含［，］、｛，｝、_、-、+、/、\、.、&、$、#、@、！以及?等特殊字符名称的最大长度为100个字符编号IP访问列表和命名IP访问列表的区别名字能更直观地反映出访问列表完成的功能命名访问列表突破了99个标准访问列表和100个扩展访问列表的数目限制，能够定义更多的访问列表。命名IP访问列表允许删除个别语句，而编号访问列表只能删除整个访问列表单个路由器上命名访问列表的名称在所有协议和类型的命名访问列表中必须是唯一的，而不同路由器上的命名访问列表名称可以相同。编号与命名访问列表命令比较命令类型端号访问列表命名访间列表标准访问列表access-list1-99permit|deny...access-liststandardYiamepemiit|deny...扩展访问列表access-list100-199permit|deny...access-listextendedm敬已permit|deny...标准访问列表应用ipaccess-groupl-凹in|outipaccess-groupnamein|out扩展访问列表应用ipaccess-group100-199in|outipaccess-groupnamein|out命名访问列表配置举例一hostAhostChostA不能访问服务器serverl和server2,其它主机可以访问服务器serverl和server2hostAhostCseiverlseiver2命名访问列表配置举例一配置routerB#configureterminalrouterB(config)#ipaccess-liststandardacl_hostarouterB(config-std-nacl)#denyhostrouterB(config-std-nacl)#permitanyrouterB(config-std-nacl)#exitrouterB(config)#interfacefastEthernet1/0routerB(config)#ipaccess-groupacl_hostain命名访问列表配置举例二要求允许LAN3的所有主机能登录Internet,但只能浏览WWW、FTP、SMTP、POP3协议的通信。LAN2中的主机向Internet提供WWW服务，主机向Internet提供FTP服务，主机向Internet提供SMTP服务，其余主机不能被Internet访问。LAN1中的主机不能访问Internet，但可以访问LAN2和LAN3

LAN3/24illsi命名访问列表配置举例二配置router#configureterminalrouter(config)#ipaccess-listextendedacl_lan1_lan3router(config-std-nacl)#permittcp55anyeqwwwrouter(config-std-nacl)#permittcp55anyeqftprouter(config-std-nacl)#permittcp55anyeqsmtprouter(config-std-nacl)#permittcp55anyeqpop3router(config-std-nacl)#denyipany55router(config-std-nacl)#exitrouter(config-std-nacl)#ipaccess-listextendedacl_lan2命名访问列表配置举例二配置续router(config-std-nacl)#access-list102permittcpanyhosteqwwwrouter(config-std-nacl)#access-list102permittcpanyhosteqftprouter(config-std-nacl)#access-list102permittcpanyhosteqsmtprouter(config-std-nacl)#exitrouter(config)#interfaceserial1router(config-if)#ipaccess-groupacl_lan1_lan3outrouter(config-if)#interfaceinterfacefastEthernet1/0router(config-if)#ipaccess-groupacl_lan2out命名访问列表删除语句显示example的内容cqdd#showipaccess-listsexampleExtendedIPaccesslistexamplepermittcphostanydenytcphostany删除语句permittcphostanycqdd#configureterminalcqdd(config)#ipaccess-listextendedexamplecqdd(config-ext-nacl)#nopermittcphostanycqdd(config-ext-nacl)#AZ显示删除语句后example的内容cqdd#showipaccess-listsexampleExtendedIPaccesslisthzhdenytcphostany命名访问列表加入语句显示example的内容cqdd#showipaccess-listsexampleExtendedIPaccesslistexamplepermittcphostanydenytcphostany增加语句permitudphostcqdd#configureterminalcqdd(config)#ipaccess-listextendedexamplecqdd(config-ext-nacl)#permitudphostcqdd(config-ext-nacl)#AZ显示增加语句后example的内容cqdd#showipaccess-listsexampleExtendedIPaccesslistexampledenytcphostanypermitudphostany基于时间访问列表概述基于时间的访问列表可以为一天中的不同时间段，或者一个星期中的不同日期，或者二者的结合制定不同的访问控制策略，从而满足用户对网络的灵活需求基于时间的访问列表能够应用于编号访问列表和命名访问列表。实现基于时间的访问表只需要两个步骤：第一步是定义一个时间范围；第二步是在访问列表中用time-range引用时间范围。基于时间访问列表的配置命令时间范围命名time-rangetime-range-nametime-range-nam:时间范围的名称定义绝对时间范围absolute[startstart-timestart-date][endend-timeend-date]start-time和end-time分别用于指定开始和结束时间，使用24小时间表示，其格式为“小时:

分钟”start-date和end-date分别用于指定开始的日期和结束的日期，使用日/月/年的日间格式，而不是通常采用的月/日/年格式绝对时间定义举例定义描述absolutestart17:00从配首的当天17:00开始直到永远absolutestart17:001decemdber2000从2000年口月1日17:00开始直到永远absoluteend17:00从配首时开始直到当天的1「叩结束absoluteend17:001decemdber2000从配首时开始直到如叩年U月1日17:叩结束absolutestart8:00end20:00从每天早晨的8点开始到下午的S点结束absolutestart17:001decemdber2000toend5:0031decemdber2000M2000年U月1日开始直到2000年19月31日结束基于时间访问列表的配置命令续定义周期、重复使用的时间范围periodicdays-of-the-weekhh:mmtodays-of-the-weekhh:mmperiodic是以星期为参数来定义时间范围的一个命令。它可以使用大量的参数，其范围可以是一个星期中的某一天、几天的结合，或者使用关键子daily、weekdays>weekend等periodic中的参数▲参数描述Monday,TuesdaynWednesday,ThursdaynFriday?staturday,Sunday某一天或某几天的结合Daily每天WeekdayM星期一到星期五Weekend日常用的时间范围定义形式

定义描述periodicweekend7:00to19:00星期六早上7:叩到日期日晚上7:00periodicweekday8:00to17:00星期一早上8:00到星期五下午5:00periodicdaily7:00to17:00每天的早上7:叩到下午5:00periodicstaturday17:00toMonday7:00星期六晚上5:00到星期一早上7:00periodicMondayFriday7:00to20:00星期一和星期五的早上7:00到下午8:00周期时间举例指定的时间范围为从星期六的早上8:00到星期日的下午5:00,日期为2000年6月1日到2000年的12月31日：router(config)#time-rangeexamplerouter(config-time-range)#absolutestart8:001Jun2000end17:0031Dec2000router(config-time-range)#periodicweekend8:00to17:00基于时间访问列表的配置举例一网络中包括两个以太网段并通过路由器连接到initernet网络，要求限制网段的主机只能在2000年6月1日至2000年12月31日内的星期六的早上7:00到星期日的下午5:00进行WWW访问基于时间访问列表的配置举例一配置router#configureterminalrouter(config)#time-rangeallow-wwwcqdd(config-time-range)#absolutestart7:001Jun2000end17:0031Dec2000cqdd(config-time-range)#periodicweekend7:00to17:00cqdd(config-time-range)#exitrouter(config)#access-list101permittcp55anyeqwwwtime-rangeallow-wwwrouter(config)#interfaceserial1/2router(config-if)#ipaccess-group101out基于时间访问列表的配置举例二Web服务器的IP地址为00,对Web服务器的访问作如下限制：从Internet网访问Web只能在星期六早上7:00到星期一早上7:00时间范围内进行；而网段上的用户只能在星期一到星期五早上8:00到下午5:00访问Web服务器；日期范围为2004年5月1到2004年12月31日基于时间访问列表的配置举例二配置router#configureterminalrouter(config)#time-rangeinternet-wwwcqdd(config-time-range)#absolutestart8:00131December2004cqdd(config-time-range)#periodicSaturday7:00toMonday7:00cqdd(config-time-range)#exitrouter(config)#time-rangeintranet-wwwcqdd(config-time-range)#absolutestart7:001May2004end17:0031December2004cqdd(config-time-range)#periodicweekday8:00toMonday17:00cqdd(config-time-range)#exit基于时间访问列表的配置举例二配置续router(config)#access-list101permittcpanyhost00eqwwwtime-rangeinternet-wwwrouter(config)#access-list102permittcp55host00eqwwwtime-rangeintranet-wwwrouter(config)#interfaceserial1/2router(config-if)#ipaccess-group101inrouter(config)#interfacefastethernet1/1router(config-if)#ipaccess-group102in通过IP访问列表控制vty访问举例Web服务器的IP地址为00,网络管理员只能从Web服务器上登录路由器，而且登录只能是星期一到星期五的工作时间（上午8:00到下午5:00）登录，访问列表从2004年5月1日起一直有效通过IP访问列表控制vty访问举例配置router#configureterminalrouter(config)#time-rangetelnet-routercqdd(config-time-range)#absolutestart7:001May2004cqdd(config-time-range)#periodicweekday8:00to17:00cqdd(config-time-range)#exitrouter(config)#access-list101permittcphost00anyeqtelnettime-rangetelnet-routerrouter(config)#linevty04cqdd(config-line)#access-class101inTCP三次握手(Three-wayHandshake)客户端发送一个包含SYN标志的TCP报文给服务器端；服务器在收到客户端的SYN报文后，将返回一个SYN+ACK的报文，表示客户端的请求被接受；客户端返回一个ACK确认报文给服务器，这样一个TCP连接完成。TCP拦截原理在TCP连接请求到达目标主机之前，TCP拦截通过拦截和验证来阻止这种攻击。TCP拦截可以在拦截和监视两种模式下工作在拦截模式下，路由器拦截到达的TCPSYN请求，并代表服务器建立与客户机的连接，如果连接成功，则代表客户机建立与服务器的连接，并将两个连接进行透明合并。在整个连接期间，路由器会一直拦截和发送数据包。对于非法的连接请求，路由器提供更为严格的半连接(half-open)超时限制，以防止自身的资源被SYN攻击耗尽在监视模式下，路由器被动地观察流经路由器的连接请求，如果连接超过了所配置的建立时间，路由器就会关闭此连接TCP拦截的配置开启TCP拦截iptcpinterceptlistaccess-list-numberaccess-list-number是已经设置好的IP访问列表的编号或名称。设置TCP拦截模式iptcpinterceptmodeintercept|watchintercept:拦截模式；watch：监视模式配置路由器等待时间iptcpinterceptwatch-timeoutsecondsSeconds：设置等待时间，单位为秒TCP拦截的配置续配置删除TCP半连接的阀值iptcpinterceptmax-incompletehighnumberNumber:路由器开始删除连接之前，能够存在的最大半连接数iptcpinerceptmax-incompletelownumberNumber:路由器停止删除连接之前，能够存在的最大半连接数iptcpinterceptone-minutehighnumberNumber:路由器开始删除连接之前，每分钟内能存在的最大半连接数目⑷iptcpinterceptone-minutelownumberNumber:路由器停止删除连接之前，每分钟内能存在的最大半连接数目TCP拦截的配置续设置路由器删除半连接的方式iptcpinterceptdrop-modeoldest|randomOldest：删除建立时间最早的连接；random:随机删除已经建立的连接查看TCP拦截信息showtcpinterceptconnectionsshowtcpinterceptstatisticsTCP拦截配置举例Web服务器的IP地址为00，配置路由器进行TCP拦截，以保护Web服务器不受SYN洪水攻击。要求采用两拦截和监视两种模式分别配置。在拦截模式下，设置最大半连接数的高、低值分别为500和300；每分钟保持连接数的高、低值分别为：500和300，删除连接的方式采用缺省值。在监视模式下，设置路由器等待时间为20秒。TCP拦截配置举例配置拦截模式的配置router#configureterminalrouter(config)#access-list101permittcpanyhost00router(config)#iptcpinterceptmodeinterceptrouter(config)#iptcpinterceptmax-incompletehigh500router(config)#iptcpinterceptmax-incompletelow300router(config)#iptcpinterceptone-minutehigh500router(config)#iptcpinterceptone-minutelow300router(config)#iptcpinterceptlist101TCP拦截配置举例配置续监视模式下地配置：router#configureterminalrouter(config)#access-list101permittcpanyhost00router(config)#iptcpinterceptmodewatchrouter(config)#iptcpinterceptwatch-timeout20router(config)#iptcpinterceptlist101私有地址与公有地址私有地址是因特网地址分配机构(IANA)指定的可以在不同的企业内部网上重复使用的IP地址，但它只能在企业内部网上使用，在Internet中包含这些地址的IP报文将被路由器丢弃，包括以下三类：一个A类地址/816个B类地址/16〜/16256个C类地址/16公有地址是除私有地址以外的其他IP地址，它们可以在Internet上进行路由，也称为合法的IP地址NAT的工作过程HostAD=005= 路由器S=HostBHostAD=00D=0000D=00D=D=公有地址:NAT分类静态地址转换(StaticAddressTranslation)动态地址转换(DynamicAddressTranslation)地址端口转换(NetworkAddressPortTranslation)NAT相关术语内部本地地址(insidelocaladdress)：内部网络主机使用的IP地址。内部全局地址(insideglobaladdress)：内部网络使用的公有IP地址。⑶外部本地地址(outsidelocaladdress)：外部网络主机使用的IP地址。⑷外部全局地址(outsideglobaladdress)：外部网络主机使用的IP地址。NAT配置命令配置接口的类型ipnat{inside|outside}配置内部全局地址池ipnatpoolpool-namestart-ipend-ip{netmasknetmask|prefix-lengthprefix-length}pool-name：地址池的名称；start-ip和end-ip:地址池的起始地址和结束地址；netmask：掩码，prefix-length:网络占用的二进制位数3.配置内部源地址转换ipnatinsidesource{listaccess-list-numberpoolname[overload]|staticlocal-ipglobal-ip}access-list-number：访问列表编号；overload：允许将多个内部本地地址转换为一个的内部全局地址；static：静态地址转换；local-ip:内部本地地址；global-ip:内部全局地址。NAT配置命令续配置使用单一内部全局地址的内部源地址转换ipnatinsidesourcelistaccess-list-numberinterfaceinterfacer-type[overload]配置NAT超时时间ipnattranslationtimeoutseconds6.其他命令查看生效的NAT设置showipnattranslations查看NAT统计信息 showipnatstatistics清除所有动态NAT配置clearipnattranslation*清除单个动态NAT配置clearipnattranslation<global-ip>配置步骤

步骤静态地址转换动态地址转换地址端口转换配萱内部全局址池无ipnatpooltesta0netmaskipnatpoolt%比netmask255.255.255配置访间列表以确定内部本地地址的池围无access-list1permit55access-Est1permit55配置内部本地地址与内部全局地址间的关系ipnatinsidesourcestaticipnatinsidesourcelist1pooltestaipnatinsidesourcelist1pooltes比overload配置外部接口ipnatinsideipnatinsideipnatinside配置内部接口ipnatoutsideipnatoutsideipnatoutside静态地址转换举例内部网络中有一台WWW、E_