ACL访问控制技术

访问控制技术访问控制列表根据数据特征实施访问控制在设备中定义在具体接口实施访问列表是一个参照物例如：房间纱窗密度定义了进入物体的大小，小于纱窗格大小的可以进入设备接口定义了进入数据的源地址，匹配的执行特定操作，不匹配的执行默认操作。访问控制列表的分类标准列表定义了特征包的源地址范围扩展列表定义了特征包的源、目的地址以及源和目的传输端口号，只有都一样才认为匹配，按照特定动作处理。拒绝ip1

源ip1

目的ipn实施标准访问控制列表定义列表先后顺序特殊终端放在普遍终端的前面最后的默认“拒绝”不能全部语句都添加为deny***在接口中应用位置选择设备中可以区别不同源地址的接口〔接近目的地的接口〕方向从源起始去往目的数据经过接口的方向扩展访问控制根据源+目的地址以及传输端口特征区别数据包只有数据特征与列表定义完全吻合才按照规定处理数据部门1Internetftp效劳器Ipw：web效劳器出口拒绝tcp

ip1ipw80TcpIp1ipb80TcpIp1ipw80实践操作一、标准列表应用网络设备中标准访问控制列表的用法PC1与PC1连接在路由器的两个不同端口中，配置默认网关使可互通。在路由器中配置编号列表〔1-99〕，定义一个列表，但不添加任何列表项。将这个列表应用在PC1所连接的端口中，在In和out时分别测试PC1与PC2的连通性，结果如何，怎样解释？向列表中添加允许PC1访问PC2的语句，再测试，结果如何，怎样解释？PC1PC2问题和练习在PC1连接的端口处连接一台交换机，再接一台设备和PC1设置相同的网段地址和默认网关，怎样配置不允许PC1访问PC2而这个网段的其他设备都可以访问？以上的列表如果放在PC2连接的网段接口是否可以？应该怎样做？尝试实现。除本实验定义的列表之外，还有没有其他列表定义方法可以实现上述目标。二、扩展访问列表应用PC1与PC1连接在路由器的两个不同端口中，配置默认网关使可互通。在路由器中配置编号列表〔100-199〕，定义一个列表，不允许PC1ping通PC2，其他访问方式均允许通过。将列表应用在PC1端的路由器接口中，确认方向如何？验证配置。PC1PC2问题与练习在定义列表时需要最少添加几个表项如果将列表应用在PC2端的路由器端口中，方向该如何？除本实验定义的列表之外，还有没有其他列表定义方法可以实现上述目标。三、单向访问控制实现路由器中单向访问控制在PC1与PC2可互通的前提下，在路由器中定义一个访问控制列表，内容是不允许PC1到PC2的ICMPecho报文通过，其他所有报文都可以通过，将它应用到PC1端路由器端口的入方向，可以实现怎样的单向访问控制？PC1PC2思考与练习上述列表还可以放在哪个端口的什么方向上实现相同的目标？删除原来的列表，在路由器中再定义一个扩展访问控制列表，内容是不允许PC1到PC2的ICMPecho-reply报文通过，其他所有报文都可以通过，将它应用到PC1端路由器端口的入方向，可以实现怎样的单向访问控制？这个列表还可以放在哪个端口的什么方向上实现相同的目标？还可以怎样定义列表和应用列表实现上面的两种单向访问控制？四、交换机MAC-ACL应用创立列表DCS-4900-LAB(config)#mac-access-listextmac-aclDCS-4900-LAB(config-mac-ext-nacl-mac-acl)#permithost-source-mac00-26-22-9A-9C-90any-destination-macDCS-4900-LAB(config-mac-ext-nacl-mac-acl)#exit开启防火墙DCS-4900-LAB(config)#firewallenableDCS-4900-LAB(config)#firewalldefaultdeny接口中应用DCS-4900-LAB(config)#inte0/0/12DCS-4900-LAB(config-if-ethernet0/0/12)#macaccess-groupmac-aclin五、ACL在NAT技术中的应用insideoutsideInside本地Inside全局/240~0配置动态地址池Router_config_f0/3#ipnatinsideRouter_config_f0/0#ipnatoutsideRouter_config#ipaccess-liststandard访问列表名

Router_config_std_nacl#permit内网地址子网掩码Router_config#ipnatpool地址池名起始ip地址结束ip地址子网掩码定义一个关于全局地址的地址池Router_config#ipnatinsidesourcelist访问列表名pool地址池名overload

建立动态的地址转换，应用之前定义的访问控制列表，并加上关键字overload。

动态地址池-地址转换条目Router#shipnattranslationsverbosePro.DirInsidelocalInsideglobalOutsidelocalOutsideglobalICMPOUT:5120:6512:6512:6512createtime00:00:35,lefttime00:00:30动态地址池-地址转换过程Router#debugipnatdetail2002-1-102:15:32NATFastEthernet0/0:TX.ICMPs=:512->0:6512,d=:6512translated2002-1-102:15:32NATFastEthernet0/0:RX.ICMPs=:6512,d=0:6512->:512translated2002-1-102:15:33NATFastEthernet0/0:TX.ICMPs=:512->0:6512,d=:6512translated2002-1-102:15:33NATFastEthernet0/0:RX.ICMPs=:6512,d=0:6512->:512translated六、ACL在策略路由中的应用策略路由概述策略路由PBR的作用PolicyBasedRouteIP路由一般是基于目的地址进行路由策略路由提供了与路由表不同的转发方式基于源基于源与目的的组合基于协议类型基于端口号优点：QoS负载均衡策略路由流程图收到的数据包匹配的策略？允许/拒绝？按照SET转发正常转发有允许无拒绝通过SET操作，可以在数据包上加上一些标签，影响后续路由器对该数据的决策，比方队列、优先级。使用ROUTE-MAP实现如果希望丢弃该数据包，可以在SET中设置转发到null0接口Routemap的应用1、路由再发布时对路由进行过滤，比路由过滤器filter更灵活；2、策略路由PBR3、NAT4、BGP路由策略的实现RouteMap是个功能十分强大的辅助工具策略路由配置解析策略路由配置步骤1、建立访问控制列表；2、创立route-map，通过SET操作，设定匹配ACL的动作；3、绑定在进入的接口上基于策略的路由例如创立ACL创立route-map

route-mappbr10permit

matchipaddressnet1

setipnext-hop9

绑定在进入的接口

interfaceFastEthernet0/0

ippolicyroute-mappbr

实验策略路由简单实现beijingshanghaiF0/0S1/1S1/0或：F0/0ServerIpaccess-liststandardnet1Route-mappbr110permitMatchipaddressnet1Intf0/0Ippolicyroute-mappbr1双出口策略路由实验s2s1ISPAISPBF0/0来自的数据包都选择发往ISPA来自的数据包都选择发往ISPBIpaccess-liststandardtoAIpaccess-liststandardtoBRoute-mapPBR210permitMatchipaddresstoARoute-mapPBR220permitMatchipaddresstoBIntf0/0Ippolicyroute-mapPBR2七、ACL在VPN技术中的应用IPSecVPN概述IPSec保护模式介绍新IP头隧道模式传输模式数据IP头IPSec头原始IP包原始IP包受传输模式保护的IP包受隧道模式保护的IP包数据IP头数据IP头数据IP头IPSec头AH协议介绍AH〔AuthenticationHeader〕—验证头为IP数据包提供数据完整性为IP数据包提供源地址验证为IP数据包提供抗重播效劳不提供对通信数据的加密效劳AH协议使用IP的50、51协议交互ESP协议介绍ESP〔EncapsulatingSecurityPayload〕—封装平安性有效负载。为IP数据包提供数据完整性为IP数据包提供源地址验证为IP数据包提供抗重播效劳提供对数据的加密效劳ESP协议使用IP的50、51协议交互DES、3DES算法介绍DES〔DataEncryptionStandard〕—数据加密标准。3DES〔TripleDataEncryptionStandard〕—3倍数据加密标准。相同：DES、3DES都是对数据包提供加/解密的算法差异：DES的密钥长度为8字节〔56个有效位〕3DES的密钥长度为24字节〔168个有效位〕3DES加密强度比DES高假设干倍MD5、SHA散列算法介绍MD5〔MessageDigest-5〕—消息摘要-5算法。SHA〔SecurityHashAlgorithm〕—平安散列算法。相同：MD5、SHA都是散列算法，可对任意长度报文进行HASH计算差异：MD5运算后得到128位的HASH〔摘要〕值SHA运算后得到160位的HASH〔摘要〕值SHA可以提供比MD5强度更高的验证平安联盟SA〔SecurityAssociation〕-SA是封装形式、加/解密算法、密钥、验证算法、密钥周期等信息的集合SA是IPSec的一套专用方案，将平安效劳/密钥、要保护的数据、通信实体联系起来。假设干个SA的集合形成了“平安联盟数据库”〔SADB〕平安策略数据库SPD〔SecurityPolicyDatabase〕SPD的数据库通过访问列表进行构建SPD定义保护的是什么通信SA和SPD的关联：SA定义了对IP包采取的保护措施SPD定义了对哪些IP包提供保护ISAKMP－InternetSA及密钥管理协议ISAKMP提供了对对方的身份进行验证、密钥交换时如何交互信息、对平安效劳进行协商的系列方法ISAKMP没有定义建立平安联盟所需的属性ISAKMP没有对具体完成一次特定的验证密钥交换进行定义具体的身份验证、密钥交换可以通过IKE、手工设置方式实现IKE－Internet交换密钥IKE利用ISAKMP语言来定义密钥交换、并进行平安效劳的协商IKE的交互结果是生成一个通过验证的密钥以及建立在双方认同根底上的平安效劳—即“IPSec平安联盟〔IPSecSA〕”IKE使用UDP的500端口协商IKE的2个阶段IKE的第一阶段建立IKE—SAIKE的第二阶段那么利用生成的SA协商具体的平安联盟如上图所示IKE的第一阶段主要是在网关A、B之间建立信任关系，即在设备间建立一个平安联盟。IKE的第二阶段那么在第一阶段的根底上再生成新的SA和密钥、为实际数据包的IPSec交互提供系列的平安效劳。IP网络网关A网关BIPSecVPN配置过程分析第一步：设立SPD访问列表config#ipaccess-listextendednameconfig_std_nacl#permit

protocol

source

source-mask

destinationdestination-mask定义加密访问列表——定义哪些通信要被加密保护第二步：定义变换集合config#cryptoipsectransform-settransform-set-name定义一个变换集合config_crypto_trans#transform-type

transform1[transform2]设置变换集合的变换类型config_crypto_trans#mode[tunnel|transport]改变变换集合的模式〔可选〕定义变换集合的变换类型变换类型的可选组合第三步：定义加密映射表config#cryptomapmap-name

seq-numipsec-manual通过手工方式创立加密映射表config#cryptomapmap-nameseq-numipsec-isakmp通过IKE方式创立加密映射表第四步：定义加密映射表〔手工方式〕config_crypto_map#setpeerip-address//设置IPSec对端的地址config_crypto_map#matchaddressaccess-list-name//启用IPSec访问列表config_crypto_map#settransform-settransform-set-name//启用变换集合config_crypto_map#setsecurity-association{inbound|outbound}ahspihex-key-string//为出、入的报文设置AH平安参数索引〔SPIs〕和密钥。config_crypto_map#setsecurity-association{inbound|outbound}espspi[cipherhex-key-string][authenticatorhex-key-string]//为出、入的报文设置ESP平安参数索引和密钥。config#cryptomapmap-nameseq-numipsec-isakmp第四步：定义加密映射表〔IKE方式〕config_crypto_map#setpeerip-addressconfig_crypto_map#matchaddressaccess-list-nameconfig_crypto_map#settransform-settran