网络管理课件-第7章 访问列表

第7章访问列表

访问列表概述

访问列表由一系列语句组成，这些语句主要包括匹配条件和采取的动作（允许或禁止）两个部分访问列表应用在路由器的接口上，通过匹配数据包信息与访问列表参数来决定允许还是拒绝数据包通过某个接口。数据包是通过还是拒绝，主要通过数据包中的源地址、目的地址、源端口、目的端口、协议等信息来决定。访问列表的功能

控制网络流量，提高网络性能控制用户网络行为控制网络病毒的传播访问列表类型

访问列表可分为标准IP访问列表和扩展IP访问列表。标准访问列表：其只检查数据包的源地址，从而允许或拒绝基于网络、子网或主机的IP地址的所有通信流量通过路由器的出口。扩展IP访问列表：它不仅检查数据包的源地址，还要检查数据包的目的地址、特定协议类型、源端口号、目的端口号等ACL的相关特性

每一个接口可以在进入（inbound）和离开（outbound）两个方向上分别应用一个ACL，且每个方向上只能应用一个ACL。ACL语句包括两个动作：拒绝（deny）和允许(permit)数据包进入路由器时，进入方向（In方向）的ACL起作用。数据包离开路由器时，出方向（Out方向）的ACL起作用每个ACL列表结尾有一个隐含的“拒绝的所有数据包(denyany)”的语句ACL转发的过程IP地址与通配符掩码的作用规32位的IP地址与32位的通配符掩码逐位进行比较，通配符掩码为0的位要求IP地址的对应位必须匹配，通配符掩码为1的位所对应的IP地址位不必匹配例：IP地址为192.168.1.0，通配符掩码为0.0.0.255对应的二进制为：1100000010101000000000010000000000000000000000000000000011111111检查的地址范围为：192.168.1.0～192.168.1.255通配符掩码示例通配符掩码掩码的两种特殊形式host表示一台主机，是通配符掩码0.0.0.0的简写形式192.168.1.100.0.0.0等价于host192.168.1.10any表示所有主机，是通配符掩码掩码255.255.255.255的简写形式192.168.1.10255.255.255.255等价于any访问列表配置步骤第一步是配置访问列表语句第二步是把配置好的访问列表应用到某个端口上标准IP访问列表的配置命令

配置标准访问列表access-listaccess-list-numberdeny|permitsource-addresssource-wildcard[log]access-list-number：只能是1～99之间的一个数字deny|permit：deny表示匹配的数据包将被过滤掉；permit表示允许匹配的数据包通过source-address：表示单台或一个网段内的主机的IP地址source-wildcard：通配符掩码Log：访问列表日志，如果该关键字用于访问列表中，则对匹配访问列表中条件的报文作日志标准IP访问列表的配置命令续应用访问列表到接口ipaccess-groupaccess-list-numberin|outIn：检查进入路由器的报文Out：检查离开路由器的报文显示所有协议的访问列表配置细节showaccess-list[access-list-number]显示IP访问列表showipaccess-list[access-list-number]标准IP访问列表的配置举例主机192.168.1.1不能访问主机192.168.2.1，但可访问其他主机，对其他主机间的访问不做任何限制标准IP访问列表的配置举例配置router#configureterminalrouter(config)#access-list1denyhost192.168.1.1router(config)#access-list1permitanyrouter(config)#interfaceEthernet1router(config)#ipaccess-group1out扩展IP访问列表的配置命令

配置扩展访问列表access-listaccess-list-numberpermit|denyprotocolsource-addresssource-wildcardsource-portdestinaitonaddressdestination-wildcarddestination-portlogoptionsaccess-list-numberL：编号范围为100～199。Permit：通过；deny：禁止通过Protocol：需要被过滤的协议的类型，如IP、TCP、UDP、ICMP、EIGRP,GRE等。source-address：源IP地址source-wildcard：源通配符掩码扩展IP访问列表的配置命令续source-port：可以是单一的某个端口，也可以是一个端口范围扩展IP访问列表的配置命令续destination-address：目的IP地址destination-wildcard：目的地址通配符掩码destination-port：目的端口号，指定方法与源端口号的指定方法相同扩展IP访问列表配置举例扩展IP访问列表配置举例配置扩展IP访问列表配置举例配置续访问列表配置注意事项注意访问列表中语句的次序，尽量把作用范围小的语句放在前面新的表项只能被添加到访问表的末尾，即不允许将新的语句插入到原有的访问列表中标准的IP访问列表只匹配源地址，如果要检查更多的条件，则使用扩展的IP访问列表标准的访问列表尽量靠近目的在应用访问列表时，要特别注意应用的方向命名IP访问列表命名IP访问列表通过一个名称而不是一个编号来引用的。命名的访问列表可用于标准的和扩展的访问表中。名称的使用是区分大小写的，并且必须以字母开头。在名称的中间可以包含任何字母数字混合使用的字符，也可以在其中包含[，]、{，}、_、-、+、/、\、.、&、$、#、@、!以及?等特殊字符名称的最大长度为100个字符编号IP访问列表和命名IP访问列表的区别

名字能更直观地反映出访问列表完成的功能命名访问列表突破了99个标准访问列表和100个扩展访问列表的数量限制，能够定义更多的访问列表。命名IP访问列表允许删除个别语句，而编号访问列表只能删除整个访问列表单个路由器上命名访问列表的名称必须是唯一的，而不同路由器上的命名访问列表名称可以相同编号与命名访问列表命令比较

命名访问列表配置举例一通过配置命名访问列表来实现以下要求：主机192.168.1.1不能访问主机192.168.2.1，但可访问其他主机，对其他主机间的访问不做任何限制命名访问列表配置举例一配置router#configureterminalrouter(config)#ipaccess-liststandarddenyhost1router(config-std-nacl)#denyhost192.168.1.1router(config-std-nacl)#permitanyrouter(config-std-nacl)#exit!应用访问列表denyhost1router(config)#interfaceEthernet0router(config)#ipaccess-groupdenyhost1out命名访问列表配置举例二命名访问列表配置举例二配置命名访问列表配置举例二配置续命名访问列表删除语句显示example的内容cqdd#showipaccess-listsexampleExtendedIPaccesslistexamplepermittcphost192.168.1.1anydenytcphost192.168.1.2any删除语句permittcphost192.168.1.1anycqdd#configureterminalcqdd(config)#ipaccess-listextendedexamplecqdd(config-ext-nacl)#nopermittcphost192.168.1.1anycqdd(config-ext-nacl)#^Z显示删除语句后example的内容cqdd#showipaccess-listsexampleExtendedIPaccesslisthzhdenytcphost192.168.1.2any命名访问列表加入语句显示example的内容cqdd#showipaccess-listsexampleExtendedIPaccesslistexampledenytcphost192.168.1.2any增加语句permitudphost192.168.1.3cqdd#configureterminalcqdd(config)#ipaccess-listextendedexamplecqdd(config-ext-nacl)#permitudphost192.168.1.3cqdd(config-ext-nacl)#^Z显示增加语句后example的内容cqdd#showipaccess-listsexampleExtendedIPaccesslistexampledenytcphost192.168.1.2anypermitudphost192.168.1.3any基于时间访问列表概述基于时间的访问列表可以为一天中的不同时间段，或者一个星期中的不同日期，或者二者的结合制定不同的访问控制策略，从而满足用户对网络的灵活需求基于时间的访问列表能够应用于编号访问列表和命名访问列表。实现基于时间的访问表只需要两个步骤：第一步是定义一个时间范围；第二步是在访问列表中用time-range引用时间范围。基于时间访问列表的配置命令时间范围命名time-rangetime-range-nametime-range-name：时间范围的名称定义绝对时间范围absolute[startstart-timestart-date][endend-timeend-date]start-time和end-time分别用于指定开始和结束时间，使用24小时间表示，其格式为“小时:分钟”start-date和end-date分别用于指定开始的日期和结束的日期，使用日/月/年的日间格式，而不是通常采用的月/日/年格式绝对时间定义举例基于时间访问列表的配置命令续定义周期、重复使用的时间范围periodicdays-of-the-weekhh:mmtodays-of-the-weekhh:mmperiodic是以星期为参数来定义时间范围的一个命令。它可以使用大量的参数，其范围可以是一个星期中的某一天、几天的结合，或者使用关键字daily、weekdays、weekend等periodic中的参数常用的周期时间范围定义形式周期时间举例指定的时间范围为从星期六的早上8:00到星期日的下午5:00，日期为2000年6月1日到2000年的12月31日：router(config)#time-rangeexamplerouter(config-time-range)#absolutestart8:001June2000end17:0031December2000router(config-time-range)#periodicweekend8:00to17:00基于时间访问列表的配置举例一基于时间访问列表的配置举例一配置基于时间访问列表的配置举例二Web服务器的IP地址为61.186.170.100，对Web服务器的访问作如下限制：从Internet网访问Web只能在星期六早上7:00到星期一早上7:00时间范围内进行；而192.168.1.0网段上的用户只能在星期一到星期五早上8:00到下午5:00访问Web服务器；日期范围为2004年5月1到2004年12月31日基于时间访问列表的配置举例二配置基于时间访问列表的配置举例二配置续通过IP访问列表控制vty访问举例Web服务器的IP地址为61.186.170.100，网络管理员只能从Web服务器上登录路由器，而且登录只能是星期一到星期五的工作时间（上午8:00到下午5:00）登录，访问列表从2004年5月1日起一直有效

通过IP访问列表控制vty访问举例配置router#configureterminalrouter(config)#time-rangetelnet-routercqdd(config-time-range)#asbolutestart7:001May2004cqdd(config-time-range)#periodicweekday8:00to17:00cqdd(config-time-range)#exitrouter(config)#access-list101permittcphost61.186.170.100anyeqtelnettime-rangetelnet-routerrouter(config)#linevty04cqdd(config-line)#access-class101in华为访问控制列表配置命令(1)定义编号访问控制列表aclnumberacl-number[match-order{config|auto}]acl-number：访问列表序号，取值范围2000～2999表示标准访问控制列表；3000～3999表示扩展访问控制列表。match-order为可选参数，其作用是设置语句的执行顺序，当选用config参数时，表示路由器按照用户的配置顺序来执行访问列表中的规则；当选用auto参数时，表示路由器按照深度优先的顺序来执行访问列表中的规则。华为访问控制列表配置命令(2)定义命名访问控制列表命令：aclnameacl-name[advanced|basic][match-order{config|auto}]acl-name：访问控制列表的名称advanced：表示扩展访问控制列表。basic：表示标准访问控制列表。华为访问控制列表配置命令(3)定义标准访问控制列表的子规则rule[rule-id]{permit|deny}[sourcesource-addrwildcard|any][time-rangename]rule-id：指定访问控制列表的子项，取值范围为0～127；permit：表明允许满足条件的报文通过；deny：表明禁止满足条件的报文通过；source-addrwildcard|any：source-addrwildcard表示源IP地址和源地址通配符掩码；any表示所有主机；name：时间段的名称，可选参数，表示该规则在此时间段规则有效。华为访问控制列表配置命令(4)定义扩展访问控制列表的子规则rule[rule-id]{permit|deny}protocol[sourcesource-addrwildcard|any][destinationdest-addrwildcard|any][source-portoperatorport1

[port2]][destination-portoperatorport1[port2]][established][time-rangename]rule-id：指定访问控制列表的子项，取值范围为0～127；permit：表明允许满足条件的报文通过；deny：表明禁止满足条件的报文通过；protocol：本参数用来指定协议类型，可设置为icmp、igmp、tcp、udp、ip等。source-addrwildcard|any：source-addrwildcard表示源IP地址和源地址通配符掩码；any表示所有主机；destinationdest-addrwildcard|any：dest-addrwildcard表示目的IP地址和目的地址通配符掩码；any表示所有目的地址；source-portoperatorport1[port2]：表示报文使用的源TCP或者UDP端口号。destination-portoperatorport1[port2]：表示报文使用的目的TCP或者UDP端口号。established：表示此条规则仅对TCP建立连接的第一个SYN报文有效；name：时间段的名称，可选参数，表示该规则在此时间段规则有效。华为访问控制列表配置命令(5)删除访问控制列表的子规则undorulerule-idrule-id：指定访问控制列表的子项，取值范围为0～127；显示访问控制列表的配置displayaclconfig{all|acl-number|acl-name}all：表示要显示所有的访问列表acl-number：要显示的访问列表序号；acl-name：要显示的访问列表名字。华为访问控制列表配置命令(6)时间的定义time-rangetime-name[start-timetoend-time][days-of-the-week][fromstart-date][toend-date]time-name：定义时间范围的名字。start-time：开始时间，表示形式为hh:mm。end-time：结束时间，表示形式为hh:mm。days-of-the-week：参数表示在每周的哪几天有效fromstart-date：开始日期，表示形式为hh:mmMM-DD-YYYY即小时:分月-日-年；toend-date：结束日期，表示形式为hh:mmMM-DD-YYYY。华为访问控制列表配置命令(7)应用访问控制列表packet-filterinboundip-group{acl-number|acl-name}inbound：表示对端口接收的报文进行过滤acl-number：访问控制列表编号；acl-name：访问控制列表名字；rule_id：可选参数，指定应用访问列表中的哪个子项，如果不指定则表示要应用访问列表中的所有子项。华为访问控制列表举例公司企业网通过三层交换机Switch的百兆端口实现各部门之间的互连。财务部门的工资查询服务器（IP地址：129.110.1.2）由Ethernet2/1端口接入。要求正确配置ACL，限制其它部门在上班时间8:00至12:00访问工资服务器，而总裁的计算机（IP地址：129.111.1.2）不受限制，可以随时访问华为访问控制列表举例配置[Quidway]time-rangehuawei8:00to18:00working-day[Quidway]aclnametraffic-of-payserveradvanced[Quidway-acl-adv-traffic-of-payserver]rule1denyipsourceanydestination129.110.1.20.0.0.0time-rangehuawei[Quidway-acl-adv-traffic-of-payserver]rule2permitipsource129.111.1.20.0.0.0destination129.110.1.20.0.0.0[Quidway]packet-filterip-grouptraffic-of-payserver综合楼汇聚层ACL配置综合楼ACL的主要功能是过滤常见的病毒传播端口，控制病毒在网络上的传播配置步骤分为三步收集常见病毒的传播端口；配置访问控制列表；将访问控制列表应用到端口如果办公用户间很少直接相互访问，可以对二层交换机进行端口隔离，从而进一步控制病毒利用网络进行传播教学楼汇聚层ACL配置为了控制用户使用网络的流量和病毒的传播，使用较高的安全措施即只允许用户进行常用网络操作，其余操作全部禁止常见网络端口使用三层交换机作防火墙优点：包过滤速度快缺点：三层交换机的ACL只有包过滤功能，缺少防火墙的其他策略，如防上DDOS攻击，碎片攻击等InternetLANDMZ区服务器3750E1/1E1/2E1/3防火墙数据包流动示意图DMZ区服务器3750E1/1E1/2E1/361.186.192.68192.168.1.10InternetLAN61.186.170.10三层交换机配置防火墙的步骤配置主机请求数据的访问控制列表，对目的端口进行检；配置服务器回应数据的访问控制列表，对源端口进行检查；将第1步配置的访问列表应用在主机连接端口的in方向；将第2步配置的访问列表应用在服务器连接端口的in方向；由于防火墙采用“除了允许的数据包，其余全部禁止”的策略，因此每个访问列表的最后应该有一条语句禁止所有数据包通过(denyipanyany)。DMZ区防火墙访问列表遵守策略遵守“除了允许的数据包，其余全部禁止”的策略遵守“最小服务”策略三层交换机防火墙的维护增加ACL列表将原有ACL列表复制保存，再删除原有的ACL列表按增加新ACL规则后的顺序重新配置ACL列表。修改ACL列表。由于cisco和华为都没有提供修改ACL语句的命令，因此，ACL语句的修改操作的步骤与增加ACL语句的操作步骤是一样的删除ACL规则。直接用no或undo命令删除相应的规则即可TCP三次握手（Three-wayHandshake）客户端发送一个包含SYN标志的TCP报文给服务器端；服务器在收到客户端的SYN报文后，将返回一个SYN+ACK的报文，表示客户端的请求被接受；客户端返回一个ACK确认报文给服务器，这样一个TCP连接完成。TCP拦截原理TCP拦截有拦截和监视两种工作模式拦截模式：路由器拦截到达的TCPSYN请求，并代表服务器建立与客户机的连接，如果连接成功，则代表客户机建立与服务器的连接，并将两个连接进行透明合并。在整个连接期间，路由器会一直拦截和发送数据包。对于非法的连接请求，路由器提供更为严格的半连接（half-open）超时限制，以防止自身的资源被SYN攻击耗尽在监视模式下，路由器被动地观察流经路由器的连接请求，如果连接超过了所配置的建立时间，路由器就会关闭此连接TCP拦截的配置开启TCP拦截iptcpinterceptlistaccess-list-numberaccess-list-number是已经设置好的IP访问列表的编号或名称。设置TCP拦截模式iptcpinterceptmodeintercept|watchintercept：拦截模式；watch：监视模式配置路由器等待时间iptcpinterceptwatch-timeoutsecondsSeconds：设置等待时间，单位为秒TCP拦截的配置续配置删除TCP半连接的阀值(1)iptcpinterceptmax-incompletehighnumberNumber：路由器开始删除连接之前，能够存在的最大半连接数(2)iptcpinerceptmax-incompletelownumberNumber：路由器停止删除连接之前，能够存在的最大半连接数(3)iptcpinterceptone-