ACL访问控制技术

第9章ACL访问控制技术1本章学习内容9.1ACL概述9.1.1什么是ACL9.1.2ACL的访问顺序（难点）9.1.3ACL的分类9.2ACL的基本配置举例9.2.1标准ACL配置举例(重点)9.2.3扩展ACL配置举例（重难点）9.3本章命令汇总2要求：PC1所在网络能访问PC3，PC2所在网络不能访问PC3。3要求：PC1所在网络仅能访问PC2的WWW服务器，PC3所在网络仅能访问PC2的FTP服务器，其他计算机都不能访问PC2服务器。49.1ACL概述访问控制列表（AccessControlList，简称ACL）——网络操作系统所提供的一种访问控制技术。ACL原理——ACL使用包过滤技术，在路由器上读取第三层及第四层包头中的信息如源地址、目的地址、源端口、目的端口等，根据预先定义好的规则对包进行过滤，从而达到访问控制的目的。功能——保护资源、阻止非法用户对资源的访问；限制特定用户对资源的访问权限。使用范围——路由器、三层交换机、部分最新的二层交换机都提供ACL支持。5ACL语句举例：RA(config)#access-list1permit55RA(config)#access-list1permit

55ipaccess-listextendserver-protectPeimit

tcp

host3

host

1

eq

1521Deny

tcp

55host1

eq

1521Peimit

tcp

55host1

eq

1521Permit

tcp

55host

0

eq

80Peimit

tcp

55host2

eq

216配置ACL的基本原则：（1）最小特权原则：只给受控对象完成任务所必需的最小的权限；（2）最靠近受控对象原则：所有的网络层访问权限控制尽可能离受控对象最近。7ACL语句的增加与删除ACL由一系列访问控制语句组成。当创建一个ACL列表后，新增加的语句总是放到列表最后。无法删除某一条ACL语句，只能删除整个ACL列表。8ACL的访问顺序按照语句顺序，根据判定条件对数据包进行检查。一旦找到了匹配条件就结束比较过程，不再检查后面的判断条件。如果所有条件语句都不匹配，则在最后强加一条拒绝全部流量的隐含语句，即总是拒绝所有流量。9ACL访问顺序示例协议源地址源端口目的地址目的端口访问权限TCP10.1/16所有0/3280允许TCP10.1/16所有2/3221允许TCP10.1/16所有1/321521允许TCP10.1.6/24所有1/321521禁止TCP3/32所有1/321521允许IP10.1/16N/A所有N/A禁止10ipaccess-listextendserver-protectPermit

tcp

55host

0

eq

80Peimit

tcp

55host2

ep

21Peimit

tcp

55host1

eq

1521Deny

tcp

55host1

eq

1521Peimit

tcp

host3

host

1

eq

1521Deny

ip

55any能否拒绝网络中主机访问主机1:1521？11ipaccess-listextendserver-protectPeimit

tcp

host3

host

1

eq

1521Deny

tcp

55host1

eq

1521Peimit

tcp

55host1

eq

1521Permit

tcp

55host

0

eq

80Peimit

tcp

55host2

eq

21ACL语句定义顺序：先小范围精确匹配，再大范围匹配。12

ACL的分类

1．标准ACL（standardACL）2．扩展ACL（extendedACL）3．命名ACL4．基于时间的访问控制列表131.标准ACL标准ACL：使用IP包中的源IP地址进行过滤。在思科的路由器上使用的ACL编号为1~99以及1300~1999。141.标准ACL的配置第一步，定义访问控制列表，命令如下：

Router(config)#

access-list

access-list-number{permit|deny}source[source-wildcard][log]第二步，把标准ACL应用到一个具体接口。151.标准ACL的配置第一步，定义访问控制列表，命令如下：

Router(config)#

access-list

access-list-number{permit|deny}source[source-wildcard][log]标准ACL编号1~99，1300~1999源地址通配符掩码。0—检查相应位；1—不检查相应位。Any表示55Host

9

表示9源地址通配符掩码。0—检查相应位；1—不检查相应位。Any表示55Host

9

表示9源地址通配符掩码。0—检查相应位；1—不检查相应位。Any表示55Host

9

表示9161.标准ACL的配置第一步，定义访问控制列表，命令如下：

Router(config)#

access-list

access-list-number{permit|deny}source[source-wildcard][log]生成日志文件171.标准ACL的配置第二步，把标准ACL应用到一个具体接口：

Router(config)#

int

interface

Router(config-if)#{

protocol}access-group

access-list-number

{in|out}例如：Router(config)#

access-list

1

permit

55

//允许源地址为网段的数据通过Router(config)#

int

s1/1Router(config-if)#

ip

access-group

1

out182.扩展ACL扩展ACL：可以控制源IP，目的IP，源端口，目的端口等。在思科路由器上，扩展ACL的编号为100~199以及2000~2699。缺点——在没有硬件ACL加速的情况下，消耗大量的路由器CPU资源。中低档路由器上尽量减少扩展ACL的条目数。192.扩展ACL的配置第一步，定义访问控制列表，命令：Router(config)#

access-list

access-list-number{permit|deny}protocolsourcesource-wildcard

[operatoroperand]

destination

destination-wildcard

[operatoroperand][established][log]第二步，把扩展ACL应用到一个具体接口：202.扩展ACL的配置第一步，定义访问控制列表，命令：Router(config)#

access-list

access-list-number{permit|deny}protocolsourcesource-wildcard

[operatoroperand]

destination

destination-wildcard

[operatoroperand][established][log]扩展ACL编号100~199，2000~2699212.扩展ACL的配置第一步，定义访问控制列表，命令：Router(config)#

access-list

access-list-number{permit|deny}protocolsourcesource-wildcard

[operatoroperand]

destination

destination-wildcard

[operatoroperand][established][log]指定协议类型—IP,TCP,UDP,ICMP等222.扩展ACL的配置第一步，定义访问控制列表，命令：Router(config)#

access-list

access-list-number{permit|deny}protocolsourcesource-wildcard

[operatoroperand]

destination

destination-wildcard

[operatoroperand][established][log]源地址及通配符掩码。0—检查相应位；1—不检查相应位。Any表示55Host

9

表示9232.扩展ACL的配置——第一步第一步，定义访问控制列表，命令：Router(config)#

access-list

access-list-number{permit|deny}protocolsourcesource-wildcard

[operatoroperand]

destination

destination-wildcard

[operatoroperand][established][log]第二步，把扩展ACL应用到一个具体接口：目的地址，通配符掩码,0—检查,1—不检查242.扩展ACL的配置——第一步第一步，定义访问控制列表，命令：Router(config)#

access-list

access-list-number{permit|deny}protocolsourcesource-wildcard

[operatoroperand]

destination

destination-wildcard

[operatoroperand][established][log]第二步，把扩展ACL应用到一个具体接口：lt,gt,eq,neq(小于,大于,等于,不等于)一个端口号或应用名称252.扩展ACL的配置——第一步第一步，定义访问控制列表，命令：Router(config)#

access-list

access-list-number{permit|deny}protocolsourcesource-wildcard

[operatoroperand]

destination

destination-wildcard

[operatoroperand][established][log]第二步，把扩展ACL应用到一个具体接口：如果数据包使用一个已建立连接，则允许TCP信息通过。扩展ACL命令示例如下：26例1：Router(config)#

access-list

101

deny

tcp

55

55

eq

20例2：Router(config)#

access-list

101

permit

tcp

55

host0

eq80例3：Router(config)#

access-list

101deny

ip

55

any特定主机IP地址：0表示任何主机地址：55272.扩展ACL的配置——第二步Router(config)#

int

interfaceRouter(config-if)#{protocol}access-group

access-list-number{in|out}例如：Router(config)#

int

f0/0Router(config-if)#ipaccess-group

1

out第一步，定义访问控制列表；第二步，把扩展ACL应用到一个具体接口：283.命名ACL的配置命名ACL——在标准ACL和扩展ACL中，使用名字代替ACL编号。命名ACL好处：字母数字串直观表示特定ACL。不受99条标准ACL和100条扩展ACL限制。修改方便，无需删除后再重新配置。29命名ACL配置——3个步骤第一步，创建一个ACL命名，要求名字字符串要唯一。

Router(config)#

ipaccess-list{standard|extended}

name30命名ACL配置——3个步骤第二步，定义访问控制列表，命令格式：（1）命名的标准ACL：

Router(config-sta-nacl)#{permit|deny}source[source-wildcard][log]编号的标准ACL格式：

Router(config)#

access-list

access-list-number{permit|deny}source[source-wildcard][log]31命名ACL配置——3个步骤第二步，定义访问控制列表，命令格式：（2）命名的扩展ACL：

Router(config-sta-nacl)#{permit|deny}protocolsource[source-wildcard][operatoroperand]destinationdestination-wildcard[operatoroperand][established][log]32命名ACL配置——3个步骤第三步，把ACL应用到一个具体接口上：Router(config)#

int

interfaceRouter(config-if)#{protocol}access-group

name{in|out}33命名ACL配置实例Router(config)#

access-list

extendserver-protectRouter(config-ext-nad)#

permit

tcp

55

host0

eq

wwwRouter(config)#

int

f0/0Router(config)#ipaccess-group

server-protect

out34删除命名ACL命令删除某一条命名ACL命令：Router(config-sta-nacl)#no{permit|deny}

source[source-wildcard][log]

Router(config-sta-nacl)#

no{permit|deny}protocolsource[source-wildcard][operatoroperand]destinationdestination-wildcard[operatoroperand][established][log]删除命名的标准ACL删除命名的扩展ACL35命名ACL注意事项：不能在任意位置加入新的ACL条目。新增的ACL仍然放在最后一行。必须注意ACL的放置顺序。369.2ACL的基本配置举例9.2.1标准ACL配置举例1.实验目的（1）掌握标准ACL的配置。（2）掌握标准ACL的测试。（3）掌握命名标准ACL的配置。372.实验拓扑某公司经理部、财务部和销售部分别属于3个不同的网段，通过路由器传递信息。要求：销售部PC2不能访问财务部PC3；经理部PC1可以访问财务部PC3。382.实验拓扑39第一步：R1接口参数和OSPF协议配置Router>enRouter#conftRouter(config)#hostnameR1R1(config)#intf0/0R1(config-if)#ipadd

R1(config-if)#noshutR1(config-if)#intf0/1R1(config-if)#ipadd

R1(config-if)#noshutR1(config-if)#ints0/0R1(config-if)#ipadd

R1(config-if)#clockrate64000R1(config-if)#noshut40第一步：R1接口参数和OSPF协议配置R1(config)#routerospf100R1(config-router)#network55area0R1(config-router)#network55area0R1(config-router)#network55area041第二步：R2接口参数和OSPF协议配置Router>enRouter#conftRouter(config)#hostnameR2R2(config)#intf0/1R2(config-if)#ipadd

R2(config-if)#noshutR2(config-if)#ints0/0R2(config-if)#ipadd

R2(config-if)#noshut42第二步：R2接口参数和OSPF协议配置R2(config)#routerospf100R2(config-router)#network55area0R2(config-router)#network55area043第三步：查看R1和R2路由表R2#showiprouteC/8isdirectlyconnected,Serial0/0O/24[110/65]via,00:05:07,S0/0O/24[110/65]via,00:05:07,S0/0C/24isdirectlyconnected,F0/1R1#showiprouteC/8isdirectlyconnected,Serial0/0C/24isdirectlyconnected,F0/0C/24isdirectlyconnected,F0/1O/24[110/65]via,00:03:47,S0/044第四步：测试网络连通性PC1>ping2//PC1pingPC2Replyfrom2:bytes=32time=0msTTL=127PC1>ping3//PC1pingPC3Replyfrom3:bytes=32time=2msTTL=126PC2>ping3//PC2pingPC3Replyfrom3:bytes=32time=4msTTL=126结论：配置ACL前，全网连通。45第五步：在R2上配置ACL思考：为什么要在R2上配置ACL？ACL的配置原则：（1）最小特权原则：只给受控对象完成任务所必需的最小的权限；（2）最靠近受控对象原则：所有的网络层访问权限控制尽可能离受控对象最近。46第五步：在R2上配置ACL47第五步：在R2上配置ACLR2(config)#access-list1

deny

55R2(config)#access-list1

permit

anyR2(config)#intf0/1R2(config-if)#ipaccess-group

1out48第六步：再次测试连通性此时在R2上已经配置好了access-list1，拒绝PC2所在网段主机访问PC3，运行其他网段主机访问PC3。PC1>ping3//PC1能ping通PC3Replyfrom3:bytes=32time=1msTTL=126PC2>ping3//PC2ping不通PC3Replyfrom:Destinationhostunreachable.49第七步：命名ACL的配置R2#

showipaccess-list//查看已配置的ACLStandardIPaccesslist1deny55permitany首先在R2上删除原来配置的access-list1：R2(config)#noaccess-list1R2#

showipaccess-list//此时没有显示内容50第七步：命名ACL的配置重新配置命名ACL：R2(config)#ipaccess-liststandard1jR2(config-std-nacl)#permit55R2(config-std-nacl)#deny

55R2(config-std-nacl)#peimitanyR2(config-std-nacl)#exitR2(config)#intf0/1R2(config-if)#ipaccess-group1jout51第八步：查看命名ACLR2#showipaccess-listsStandardIPaccesslist1j

10permit5520deny55Permitany52第九步：测试网络连通性PC1>ping3

Replyfrom3:bytes=32time=4msTTL=126PC2>ping3Replyfrom:Destinationhostunreachable.539.2.2扩展ACL配置举例1.实验目的（1）掌握扩展ACL的配置。（2）掌握扩展ACL的测试。（3）掌握命名扩展ACL的配置。542.实验拓扑要求：PC1所在网络仅能访问PC2的WWW服务器，PC3所在网络仅能访问PC2的FTP服务器，其他计算机都不能访问PC2服务器。553.实验配置步骤（1）分别配置各路由器的hostname和各接口参数。（2）路由器上配置RIP协议使得全网互通。（3）配置扩展ACL，并检测控制效果。56第一步：R1接口配置Router>enRouter#conftRouter(config)#hostnameR1R1(config-if)#intf0/0R1(config-if)#ipadd

R1(config-if)#noshutR1(config-if)#ints0/0R1(config-if)#ipadd

R1(config-if)#clockrate64000R1(config-if)#noshut57第一步：R2接口配置Router>enRouter#conftRouter(config)#hostnameR2R2(config)#intf0/0R2(config-if)#ipadd

R2(config-if)#noshutR2(config-if)#ints0/0R2(config-if)#ipadd

R2(config-if)#noshutR2(config-if)#ints0/1R2(config-if)#ipadd

R2(config-if)#clockrate64000R2(config-if)#noshut58第一步：R3接口配置Router>enRouter#conftRouter(config)#hostnameR3R3(config)#intf0/0R3(config-if)#ipadd

R3(config-if)#noshutR3(config-if)#ints0/1R3(config-if)#ipadd

R3(config-if)#noshut59第二步：R1的RIP协议配置R1(config)#routerripR1(config-router)#version2R1(config-router)#networkR1(config-router)#network60第二步：R2的RIP协议配置R2(config)#routerripR2(config-router)#version2R2(config-router)#networkR2(config-router)#networkR2(config-router)#network61第二步：R3的RIP协议配置R3(config)#routerripR3(config-router)#version2R3(config-router)#networkR3(config-router)#network62第三步：测试网络连通性PC1>ping//PC1pingPC2服务器Replyfrom:bytes=32time=3msTTL=126PC3>ping//PC3pingPC2服务器Replyfrom:bytes=32time=1msTTL=12563PC1能访问WWW服务器PC3能访问WWW服务器64PC1能访问FTP服务器：PC1>

ftpTryingtoconnect...Connectedto220-WelcometoPTFtpserverPC3能访问FTP服务器：PC3>

ftp

Tryingtoconnect...

Connectedto

220-WelcometoPTFtpserver65第四步：配置扩展ACLR2(config)#access-list100

permit

tcp

55

hosteqwwwR2(config)#access-list100permit

tcp

55

host

eq21R2(config)#access-list100permittcp55hosteq20R2(config)#access-list100deny

tcp

anyhostR2(config)#access-list100permit

ip

anyanyR2(config)#intf0/0//应用于f0/0的out方向R2(config-if)#ipaccess-group100out66测试PC1到PC2的连通性PC1能访问WWW服务器PC1>ftpTryingtoconnect...%Erroropening/(Timedout)67测试PC3到PC2的连通性PC3不能访问WWW服务器PC3>

ftpTryingtoconnect...Connectedto220-WelcometoPTFtpserver68第五步：配置命名扩展ACLR2#showipaccess-list//查看R2的ACLExtendedIPaccesslist100permittcp55hosteqwww(5match(es))permittcp55hosteqftp(3match(es))permittcp55hosteq20denytcpanyhost(42match(es))permitipanyany(8match(es))69第六步：配置命名扩展ACL首先删除原来的扩展ACL：R2(config)#noaccess-list100R2#showipaccess-lists

//此时没有ACL信息70定义命名的扩展ACLR2(config)#ipaccess-list

extendedext-1R2(config-ext-nacl)#permit

tcp55hosteqwwwR2(config-ext-nacl)#permit

tcp55hosteq21R2(config-ext-nacl)#permit

tcp55hosteq20R2(config-ext-nacl)#denytcpanyhostR2(config-ext-nacl)#permitipany