数据通信网络组建与维护(项目式教学课件) 项目6 网络的访问控制实施

ACL网络访问控制项目六教学目标知识内容与要求了解访问控制的基本原理；掌握访问控制列表的基本概念和作用;掌握访问控制列表的分类和工作原理；掌握访问控制列表使用的基本规则；掌握标准访问控制列表与扩展访问控制列表的配置。技能目标与要求能够熟练进行ACL配置；能够运用ACL解决实际问题；能够使用基于时间段的访问控制列表进行访问控制。项目描述与分析项目背景

某重点中学的校园网络拓扑结构图如图所示。校园网建成后，满足了校区师生对信息化的需求，实现了校园网络资源的共享。但由于在建设初期仅仅实现了互联互通，没有对网络进行安全加固，给网络的使用和维护带来了很多问题。例如，行政办公子网被学生经常访问，有部分学生登录到教务管理系统，也有学生在上课期间登录媒体服务器影响正常学习。为了保证校园网的安全，必须对校园网重新进行一系列的规划，希望能够达到以下功能：1）禁止学生子网访问行政子网和教学子网；2）禁止学生子网访问财务系统和教务管理系统；3）禁止学生子网在上课时间访问媒体服务器；4）教务管理系统仅允许教学管理人员和教师子网访问；5）财务系统仅允许行政子网访问。

网络拓扑设计与分析三层交换机三层交换机目录基础知识：ACL原理及应用要增强网络安全性，网络设备需要具备控制某些访问或某些数据的能力。包过滤技术是一种被广泛使用的网络安全技术。它使用ACL来（访问控制列表）实现数据识别，并决定是转发还是丢弃这些数据包。由ACL定义的报文匹配规则，还可以被其它需要对数据进行区分的场合引用。引入IP包过滤技术介绍

对路由器需要转发的数据包，先获取包头信息，然后和设定的规则进行比较，根据比较的结果对数据包进行转发或者丢弃。而实现包过滤的核心技术是访问控制列表。Internet公司总部内部网络未授权用户办事处Internet访问控制列表简称为ACL（AccessControlList），它是对数据包进行管理和限制的方法。什么是访问控制列表?哪些场合需要使用ACL？允许或禁止对路由器或来自路由器的某些访问QOS与队列技术策略路由数据速率限制端口流镜像NAT……ACL的使用场合目的IP地址源IP地址协议号目的端口段(如TCP报头)数据数据包(IP报头)帧报头(如HDLC)使用ACL检测数据包拒绝允许ACL的判别依据－五元组源端口

标准ACL

仅以源IP地址作为过滤标准只能粗略的限制某一大类协议扩展ACL以源IP地址、目的IP地址、源端口号、目的端口号、协议号作为过滤标准，可以精确的限制到某一种具体的协议

Inbound或Outbound基于时间的ACL

在标准和扩展ACL基础上加上时间限制。ACL的分类数据包出接口数据包入接口

ACL处理过程允许?源地址、目的地址协议标准ACL标准访问控制列表只根据报文的源IP地址信息制定规则接口接口从/24来的数据包不能通过从/28来的数据包可以通过DA=SA=DA=SA=分组分组扩展ACL扩展访问控制列表根据报文的源IP地址、目的IP地址、IP承载的协议类型、协议特性等三、四层信息制定规则接口接口从/24来，到的TCP端口80去的数据包不能通过从/24来，到的TCP端口23去的数据包可以通过DA=,SA=TCP,DP=80,SP=2032DA=,SA=TCP,DP=23,SP=3176分组分组ACL具有方向性在路由器中使用访问控制列表时，访问控制列表是部署在路由器的某个接口的某个方向上。因此，对于路由器来说存在入口方向（Inbound）和出口方向（Outbound）两个方向。否是丢弃处理选择出接口

否ACL?路由表?数据包出接口ACL如何工作数据包入接口通信工程系《交换与路由技术》精品课程数据包出接口否是丢弃处理选择接口

路由表?否ACL匹配控制允许?是ACL如何工作ACL?是数据包入接口数据包出接口否是丢弃处理选择接口

路由表?否ACL匹配控制允许?是ACL如何工作ACL?是数据包入接口否ACL的匹配顺序ACL内部处理具体过程：丢弃处理是目的接口拒绝拒绝是匹配第一条规则?允许ACL的匹配顺序ACL内部处理具体过程：丢弃处理是目的接口是匹配第一条规则?否下一条?是是拒绝拒绝拒绝允许允许ACL的匹配顺序ACL内部处理具体过程：丢弃处理是目的接口是匹配第一条规则?否匹配下一条?匹配最后一条?是是否是是拒绝拒绝拒绝拒绝允许允许允许ACL的匹配顺序ACL内部处理具体过程：丢弃处理是目的接口是匹配第一条规则?否匹配下一条?匹配最后一条?是是否是是**说明：当ACL的最后一条不匹配时，系统使用隐含的“丢弃全部”进行处理！拒绝拒绝拒绝拒绝允许允许允许否ACL的使用位置对于标准ACL，由于它只能过滤源IP。为了不影响源主机的通信，一般我们将标准ACL放在离目的端比较近的地方。扩展ACL可以精确的定位某一类的数据流。为了不让无用的流量占据网络带宽，一般我们将扩展ACL放在离源端比较近的地方。ACL的规则总结按照由上到下的顺序执行，找到第一个匹配后既执行相应的操作（然后跳出ACL）每条ACL的末尾隐含一条denyany

的规则ACL可应用于某个具体的IP接口的出方向或入方向在引用ACL之前，要首先创建好ACL目录ALC配置步骤1：创建ACL列表2：设置ACL规则ACL配置步骤3：将ACL应用到接口上目录标准访问控制列表配置标准访问控制列表标准访问控制列表：根据数据包的源IP地址来允许或拒绝数据包；访问控制列表号从1到99。标准访问控制列表标准访问控制列表只使用源地址进行过滤，表明是允许还是拒绝从/24来的数据包可以通过！从/24来的数据包不能通过！路由器如果在访问控制列表中有的话应用条件拒绝允许更多条目？列表中的下一个条目否

有访问控制列表吗？源地址不匹配是匹配是否Icmp消息转发数据包标准访问控制列表标准访问控制列表的配置第一步，使用access-list命令创建访问控制列表第二步，使用ipaccess-group命令把访问控制列表应用到某接口Router(config)#access-listaccess-list-number{permit|deny}source[source-wildcard][log]Router(config-if)#ipaccess-groupaccess-list-number{in|out}第三步，测试1．显示所有或指定表号的ACL的内容Showaccess-lists[acl-number]/name<acl-name>]2．查看某物理端口是否应用了ACLshowipinterface任务一：标准ACL应用1（允许特定源的流量）Fa0/0Fa1/0S0loopback3PC1PC2接口ip地址Router(config)#inteloopback0Router(config-if)#ipaddrRouter(config-if)#noshutRouter(config)#intefa0/0Router(config-if)#ipaddrRouter(config-if)#noshutRouter(config)#intefa1/0Router(config-if)#ipaddrRouter(config-if)#noshut标准ACL应用（允许特定源的流量）第一步，创建允许来自的流量的ACL第二步，应用到接口fa0/0和fa1/0的出方向上Router(config)#access-list1permit55Router(config)#interfacefastethernet0/0Router(config-if)#ipaccess-group1outRouter(config)#interfacefastethernet1/0Router(config-if)#ipaccess-group1out测试在路由器上ping两台PC机。PingPing均能ping通注意取消访问控制列表的应用，两个步骤首先取消其应用在某个端口，如：noipaccess-group1out其次，还可以删除访问控制列表，如access-list1可用命令Showaccess-lists\showipinterface进行验证配置的正确性任务二：标准ACL应用（拒绝特定主机的通信流量）Fa0/0Fa1/0S0loopback3PC1PC2标准ACL应用：拒绝特定主机的通信流量第一步，创建拒绝来自3的流量的ACL第二步，应用到接口fa1/0的入方向Router(config)#access-list1denyhost3Router(config)#access-list1permit55Router(config)#interfacefastethernet1/0Router(config-if)#ipaccess-group1inany测试在PC2上测试PC1与FA0/0端口不通任务三：标准ACL应用（拒绝特定子网的流量）Fa0/0Fa1/0S0loopback3PC1PC2标准ACL应用：拒绝特定子网的流量第一步，创建拒绝来自子网的流量的ACL第二步，应用到接口fa0/0的出方向Router(config)#access-list1deny55Router(config)#access—list1permitanyRouter(config)#interfacefastethernet0/0Router（config-if）#ipaccess-group1out55测试在pc2上pingfa0/0,pc1能ping通fa0/0,不能ping通pc1，为什么？在pc1上pingfa1/0,pc2能ping通fa1/0,不能ping通pc2，为什么？目录扩展访问控制列表的配置扩展访问控制列表的配置第一步，使用access-list命令创建扩展访问控制列表Router(config)#access-listaccess-list-number{permit|deny}protocol[sourcesource-wildcarddestinationdestination-wildcard][operatorport][established][log]扩展访问控制列表操作符的含义操作符及语法意义eqportnumber等于端口号portnumbergtportnumber大于端口号portnumberltportnumber小于端口号portnumberneqportnumber不等于端口号portnumber扩展访问控制列表的配置扩展访问控制列表的配置第二步，使用ipaccess-group命令将扩展访问控制列表应用到某接口Router（config-if）#ipaccess-groupaccess-list-number{in|out}任务一：扩展标准ACL应用（拒绝特定源、目的子网的ftp流量）Fa0/0Fa1/0S0loopback3PC1PC2扩展ACL应用1：拒绝ftp流量通过E0第一步，创建拒绝来自、去往、ftp流量的ACL第二步，应用到接口fa0/0的出方向Router(config)#access-list101denytcp5555eq21Router(config)#access-list101permitipanyanyRouter(config)#interfacefastthernet0/0Router（config-if）#ipaccess-group101out扩展ACL应用2：拒绝telnet流量通过E0第一步，创建拒绝来自、去往、telnet流量的ACL第二步，应用到接口fa0/0的出方向上Router(config)#access-list101denytcp5555eq23Router(config)#access-list101permitipanyanyRouter(config)#interfacefastethernet0/0Router（config-if）#ipaccess-group101out思考：如何测试？？？思考：架设ftp服务器，在PC机上，执行命令：FTP服务器IP地址即可。命名的访问控制列表标准ACL和扩展ACL中可以使用一个字母数字组合的字符串（名字）代替来表示ACL的表号命名IP访问列表允许从指定的访问列表删除单个条目如果添加一个条目到列表中，那么该条目被添加到列表末尾不能以同一个名字命名多个ACL在命名的访问控制列表下，permit和deny命令的语法格式与前述有所不同命名的访问控制列表第一步，创建名为cisco的命名访问控制列表第二步，指定一个或多个permit及deny条件第三步，应用到接口E0的出方向Router（config）#interfacefastethernet0/0Router（config-if）#ipaccess-groupciscooutRouter(config)#ipaccess-listextendedciscoRouter（config-ext-nacl）#denytcp5555eq23Router（config-ext-nacl）#permitipanyany查看访问控制列表Router#showipinterfacefastethernet0/0FastEthernet0/0isup,lineprotocolisupInternetaddressis/24Broadcastaddressis55AddressdeterminedbysetupcommandMTUis1500bytesHelperaddressisnotsetDirectedbroadcastforwardingisdisabledOutgoingaccesslistisciscoInboundaccesslistisnotsetProxyARPisenabledLocalProxyARPisdisabledSecuritylevelisdefaultSplithorizonisenabledICMPredirectsarealwayssentICMPunreachablesarealwayssentICMPmaskrepliesareneversentIPfastswitchingisenabledIPfastswitchingonthesameinterfaceisdisabled……查看访问控制列表Router#showaccess-listExtendedIPaccesslistcisco10denytcp5555eqtelnet20permitipanyanyZXR10(config)#aclstandard{number<acl-number>|name<acl-name>}ZXR10(config-std-acl)#rule<1-100>{permit|deny}{<source>[<source-wildcard>]|any}[time-range<timerange-name>]ZXR10(config)#IP标准ACL使用列表号1至99缺省通配符为“noaclstandardnumber<acl-number>”删除整个ACL在接口上应用ACL设置进入或外出方向“noipaccess-groupacl-number”

去掉接口上的ACL设置ZXR10(config-if)#ipaccess-groupacl-number

{in|out}配置标准ACL（中兴）3S0Fei_1/1非网段只允许两边的网络互相访问aclstandardnumber1rule1

permit

55(rule1deny55)－－隐含拒绝全部aclstandardnumber2rule1

permit

55interfaceFei_1/2ipaccess-group1outinterfaceFei_1/1ipaccess-group2outFei_1/2标准ACL配置示例1（中兴）aclstandardnumber1rule1deny3rule2

permitany(access-list1deny55)－－隐含拒绝全部interfacefei_1/2ipaccess-group1outS0拒绝特定主机3对网段的访问非网段Fei_1/1Fei_1/2标准ACL配置示例2（中兴）3拒绝特定子网对网段的访问3S0非网段aclstandardnumber1rule

1deny55rule2permitany(access-list1deny55)别忘了系统还有隐含的这条规则！interfacefei_1/2ipaccess-group1outFei_1/1Fei_1/2标准ACL配置示例3（中兴）扩展ACL的配置（中兴）ZXR10(config)#设置扩展ACLZXR10(config)#aclextend{number<acl-number>|name<acl-name>}ZXR10(config-ext-acl)#rule<rule-no>{permit|deny}<protocol>{<source><source-wildcard>|any}[<rule><port>]{<dest><dest-wildcard>|any}[<rule><port>][<icmp-type>[icmp-code<icmp-code>]]ZXR10(config)#ipaccess-groupacl-number{in|out}应用到接口说明：1）<protocol>可以是关键字icmp，ip，tcp，udp之一，或者代表IP协议号的从0到254的一个整数；2）<rule>表示端口操作符，可以是le（小于等于）、ge（大于等于）、eq（等于）之一，端口操作符只对TCP和UDP协议有效；aclextendnumber101rule1denytcp5555eq21rule2denytcp5555eq20rule3

permitipanyany

interfacefei_2/1ipaccess-group101out拒绝从子网

到子网

通过fei_2/1口出去的FTP访问允许其他所有流量扩展ACL的配置实例1（中兴）3S0非网段Fei_1/1Fei_2/1aclextendnumber101rule1denytcp55anyeq23rule2permitipanyanyinterfacefei_2/1ipaccess-group101out扩展ACL的配置实例2（中兴）3S0仅拒绝从子网

通过fei_2/1口外出的Telnet允许其他所有流量非网段Fei_1/1Fei_2/1基于时间的ACL配置（中兴）（1）创建time-range列表（2）设置时间段1）配置绝对时间段，2）配置相对时间段ZXR10(config)#time-rangeenableZXR10(config)#time-range<time-range-name>ZXR10(config-tr)#absolute[start<time-date>][end<time-date>]ZXR10(config-tr)#periodic<days-of-weekhh:mm:ss>to[days-of-week]<hh:mm:ss>

说明：days-of-week表示一周中的特定的某天或某些天。可以为Monday、Tuesday、Wedensday、Thursday、Friday、Saturday、Sunday，还可以是daily,weekend（周六、周日）,weekdays（周一至周五）；基于时间的ACL配置（中兴）（3）在标准和扩展ACL中应用时间段ZXR10(config-std-acl)#rule<rule-no>{permit|deny}{<source>[<source-wildcard>]|any}[time-range<timerange-name>]ZXR10(config-ext-acl)