第八讲 访问控制列表

？问题1公网互联网用户对外信息服务器员工上网信息服务器问题1作为公司网络管理员，当公司领导提出下列要求时你该怎么办？为了提高工作效率，不允许员工上班时间进行QQ聊天、MSN聊天等，但需要保证正常的访问Internet，以便查找资料了解客户及市场信息等。公司有一台服务器对外提供有关本公司的信息服务，允许公网用户访问，但为了内部网络的安全，不允许公网用户访问除信息服务器之外的任何内网节点。问题2问题2在企业内部网络中，会存在一些重要的或者保密的资源或者数据，为了防止公司员工有意或无意的破坏或者访问，对这些服务器应该只允许相关人员访问。如何做到这一点？访问控制列表(ACL)ACL概述基本ACL配置扩展ACL配置什么是ACL?ACL是路由器处理数据包转发的一组规则，路由器利用这组规则来决定数据包允许转发还是拒绝转发如果不设置ACL，路由器将转发网络链路上所有数据包，当网络管理设置了ACL以后可以决定哪些数据包可以转发，哪些不可以转发。可以利用下列参数允许或拒绝发送数据包：源地址目的地址上层协议(例如：TCP&UDP端口号)ACL可以应用于该路由器上所有的可路由协议，对于一个接口上的不同网络协议需要配置不同的ACL使用ACL检测数据包为了决定是转发还是拒绝数据包，路由器按照ACL中各条语句的顺序来依次匹配该数据包当数据包与一条语句的条件匹配了，则忽略ACL中的剩余语句的匹配处理，该数据包将按照当前语句的设定来进行转发或拒绝转发的处理在ACL的最后都有一条缺省的“denyany”语句如果ACL中的所有显式语句没有匹配上，那么将匹配这条缺省的语句ACL可以实时的创建，即实时有效的；因此不能单独修改其中的任何一条或几条，只能全部重写因此，不要在路由器上直接编写一个大型的ACL，最好使用文字编辑器编写好整个ACL后传送到路由器上。路由器如何使用ACL（出站）检查数据包是否可以被路由，可路由地将在路由表中查询路由检查出站接口的ACL如果没有ACL，将数据包交换到出站的接口如果有ACL，按照ACL语句的次序检测数据包直至有了匹配条件，按照匹配条件的语句对数据包进行数据包的允许转发或拒绝转发如果没有任何语句匹配，将怎样？——使用缺省的“denyany”(拒绝所有)语句出站标准ACL处理流程出站数据包进行路由表的查询接口有ACL?匹配？列表中的下一项更多的项目？执行条件允许Permit拒绝Deny否否无是是有向源站发送ICMP信息转发数据包ACL不检查路由器本身产生的数据包ACL只检查其他来源的数据包ACL语句按自顶向下的顺序进行处理，因此需要将最严格的语句放在列表顶部，最不严格的语句放在列表底部如果ACL中没有找到匹配项，则执行隐性拒绝语句每个接口的每个方向只能应用一个IPACL。ACL的特点ACL分类标准访问控制列表：只对数据包中源地址进行检查。扩展访问控制列表：即检查源地址，也检查目标地址，以及数据包的上层协议。在全局配置模式下按序输入ACL语句Router(config)#access-listaccess-list-number{permit/deny/remark}{test-conditions|remark}Lab-D(config)#access-list1remarkpermitmanageronlytoInternetLab-D(config)#access-list1permit0在接口配置模式中配置接口使用的ACLRouter(config-if)#{protocol}access-groupaccess-list-number{in/out}Lab-D(config-if)#ipaccess-group1out标准IPACL的配置{in/out}：指明对哪个方向的数据进行检查access-list-number参数ACL有多种类型，access-list-number与ACL的类型有关下表显示了主要的一些ACL类型与access-list-number的关系ACL类型access-list-number标准IP1~99or1300~1999扩展IP100~199or2000~2699AppleTalk600~699标准IPX800~899扩展IPX900~999IPXSAP1000~1099permit/deny/remark参数在输入了access-list命令并选择了正确的

access-list-number后，需要使用permit或

deny参数来选择希望路由器采取的动作remark：在标准或扩展访问控制列表中加入注释或备注，便于理解访问控制列表的含义。PermitDeny丢弃数据包，向源站发送ICMP消息转发数据包{test-conditions}参数在ACL的{testconditions}部分，需要根据存取列表的不同输入不同的参数使用最多的是希望控制的IP地址和通配符掩码IP地址可以是子网、一组地址或单一节点地址路由器使用通配符掩码来决定检查地址的哪些位Lab-A(config)#access-list1deny0IP地址通配符掩码通配符掩码通配符掩码指定了路由器在匹配地址时检查哪些位忽略哪些位通配符掩码中为“0”的位表示需要检查的位，为“1”的位表示忽略检查的位，这与子网掩码中的意义是完全不同的0二进制方式的表示如下：11000000.00000101.00000101.00001010(源地址)00000000.00000000.00000000.00000000(通配符掩码)通配符掩码之后若干张幻灯片中将练习处理通配符掩码，类似于子网掩码，这需要一段时间掌握计算表示下列网络中的所有节点的通配符掩码：

答案：55这个通配符掩码与C类地址的子网掩码正好相反注意：针对整个网络或子网中所有节点的通配符掩码一般都是这样的通配符掩码练习计算表示下列子网中所有节点的通配符掩码：224答案是：211与24正好相反二进制的形式11111111.11111111.11111111.11100000(24)00000000.00000000.00000000.00011111(1)为了证明通配符掩码的工作，请看.32子网中的节点地址——511000000.00000101.00000101.00110111(5)节点地址11000000.00000101.00000101.00100000(2)控制ip地址00000000.00000000.00000000.00011111(1)通配符掩码通配符掩码练习在下面的例子中，蓝色的位是必须匹配检查的位11000000.00000101.00000101.00110111(5)节点地址11000000.00000101.00000101.00100000(2)控制的ip地址00000000.00000000.00000000.00011111(1)通配符掩码必须牢记：通配符掩码中为“0”的位表示需要检查的位，为“1”的位表示忽略检查的位在本例中，根据通配符掩码中为0的位，比较数据包的源地址和控制的IP地址中相关的各个位，当每位都相同时，说明两者匹配掩码为92的4子网的控制IP地址和通配符掩码?答案：43通配符掩码练习掩码为的子网的控制IP地址和通配符掩码?答案：55掩码为的子网的控制IP地址和通配符掩码?答案：55掩码为的子网的控制IP地址和通配符掩码?答案：55通配符掩码练习计算控制IP地址和通配符掩码是比较复杂的，尤其是控制网络中的一部分节点时为了控制网络中一部分节点往往需要在二进制方式下进行计算例如：学生使用到27地址范围，教师使用28到54地址范围。这些地址处在相同的网络中/24怎样来计算？控制一段地址范围内的节点对于学生使用的地址范围首先，以二进制方式写出第一个和最后一个节点地址。由于前三个8位组是相同的，所以可以忽略它们，在通配符掩码中相应的位必须为“0”第一个地址：00000001最后一个地址：01111111其次，查找前面的两者相同的位(下图的蓝色部分)0000000101111111这些相同的位将与前面的网络地址部分(192.5.5)一样进行匹配检验例子：地址区域到.127和.128到.254控制一段地址范围内的节点第三，计算剩余节点地址部分的十进制值(127)最后，决定控制的IP地址和通配符掩码控制IP地址可以使用所控制范围内的任何一个节点地址，但约定俗成的使用所控制范围的第一个节点地址上述相同的位在通配符掩码中为“0”27对于教师部分地址：28(10000000)到54(11111110)答案：2827请思考两者的不同例子：地址区域到.127和.128到.254控制一段地址范围内的节点控制网络/24中的所有偶数地址的控制IP地址和通配符掩码？答案：54控制网络/24中的所有奇数地址的控制IP地址和通配符掩码？答案：54控制一段地址范围内的节点由于ACL末尾都有一个隐含的“denyany”语句，需要在ACL前面部分写入其他“允许”的语句使用上面的例子，如果不允许学生访问而其他的访问都允许，需要如下两条语句：Lab-A(config)#access-list1deny27Lab-A(config)#access-list1permit55由于最后的一条语句通常用来防止由于隐含语句使得所有网络功能失效，为了方便输入，可以使用any

命令：Lab-A(config)#access-list1permitanyany命令众多情况下，网络管理员需要在ACL处理单独节点的情况，可以使用两种命令：Lab-A(config)#access-list1permit0或...Lab-A(config)#access-list1permithost0host命令Show命令showaccess-lists显示在路由器上的所有配置好的ACLshowaccess-lists{name|number}显示指定的ACLshowipinterface显示接口上使用的ACL——入站和出站showrunning-config显示当前的路由器的整个配置验证ACL请参考下图，为了限制网断访问网断，考虑语句“deny55”放置在Lab-A路由器的E0接口上时，网络中的数据通讯情况这样所有网络向外的通讯数据全部被拒绝标准ACL不处理目的地相关参数，因此，标准ACL应该放置在最接近目的地的地点标准ACL的正确放置位置标准访问控制列表例标准访问控制列表例假定人力资源网中，财务部门人员使用的IP地址为~94，相关领导使用的IP地址为40。给出标准访问控制列表的配置，只允许财务部们人员和相关领导访问财务网。假定人力资源网中，财务部门人员使用的IP地址为~33，相关领导使用的IP地址为4~67。给出标准访问控制列表的配置，只允许财务部们人员和相关领导访问财务网。标准访问控制列表例例1答案Access-list1permit3Access-list1deny5Access-list1permit41例2答案Access-list1permitAccess-list1permit65Access-list1permit2限制对路由器的Telnet访问建立一个标准的访问控制列表在vty的配置模式下建立与ACL的关联

Router(config)#line

vty04

Router(config)#access-classaccess-list-numin扩展ACL的编号为100–199，扩展ACL增强了标准ACL的功能增强ACL可以基于下列参数进行网络传输的过滤目的地址IP协议可以使用协议的名字来设定检测的网络协议或路由协议，例如：ICMP、TCP和UDP等等TCP/IP协议族中的上层协议可以使用名称来表示上层协议，例如：“ftp”或“www”也可以使用操作符eq、gt、lt和neq(equalto,greaterthan,lessthan和notequalto)来处理部分协议例如：希望允许除了http之外的所有通讯，其语句是permittcpanyanyneq80扩展ACL概貌在全局配置模式下逐条输入ACL语句Router(config)#access-listaccess-list-number{permit|deny}{protocol|protocol-keyword}{sourcesource-wildcard}[protocol-specificoptions]{destinationdestination-wildcard}[protocol-specificoptions]Lab-A(config)#access-list101denytcp5555eqtelnet在接口配置中将接口划分到各个ACL中(与标准ACL的语法一样)Router(config-if)#{protocol}access-groupaccess-list-number{in/out}Lab-A(config-if)#ipaccess-group101out扩展ACL的配置access-list-number

从100到199中选择一个{protocol|protocol-number}

对于CCNA，仅仅需要了解ip和tcp——实际上有更多的参数选项{sourcesource-wildcard}与标准ACL相同{destinationdestination-wildcard}与标准ACL相同，但是是指定传输的目的[protocol-specificoptions]本参数用来指定需要过滤的上层协议扩展的参数请复习TCP和UDP的端口号也可以使用名称来代替端口号，例如：使用telnet来代替端口号23端口号协议名称20，21FTP23Telnet25SMTP53DNS6980TFTPWWW端口号放置扩展ACL的正确位置在下图中，需要设定网络中的所有节点不能访问地址为4服务器在哪个路由器的哪个接口上放置ACL?在RouterC的E0接口上放置这将防止中的所有机器访问4，但是他们可以继续访问Internet由于扩展ACL可以控制目的地地址，所以应该放置在尽量接近数据发送源的路由器上。减少网络资源的浪费。放置扩展ACL的正确位置Router-C(config)#access-list100denyip554Router-C(config)#access-list100permitipanyanyRouter-C(config)#inte0Router-C(config-if)#ipaccess-group100in使用ACL扩展访问控制列表例如上图，网络中部门经理使用的IP地址为,部门经理可以访问内网server及与内网结点通信，并访问Internet，员工不能访问server，但可以和内网其他节点通信，只允许员工访问Internet的WWW的服务和收发邮件。答案Access-list100permitiphostanyAccess-listdenyip0.0.255host4

Access-listpermitip