《路由交换技术与应用》课件第29章

第29章访问控制ACL配置29.1定义选择标准29.2ACL的使用场合29.3ACL的使用注意事项29.4ACL配置实例29.5ACL的维护与诊断小结

主要内容：

标准ACL的配置

扩展ACL的配置

ACL的使用注意事项

ACL规则中的选择标准描述了分组的特性。我们可以定义一个基于源地址过滤的ACL，也可以定义一个基于源和目的的特定流的ACL。

通常使用下列标准来定义一个ACL语句：

(1)源IP地址；

(2)目的IP地址；

(3)源端口号；

(4)目的端口号；

(5)协议类型。29.1定义选择标准这些选择标准被指定为ACL规则的域。在定义ACL时，编号在1～99之间的ACL称为标准ACL，在标准ACL中仅对源地址进行定义。编号在100～199之间的ACL称为扩展ACL，在扩展ACL中我们可以对源地址、目的地址、源端口号、目的端口号、协议号进行定义。定义ACL规则的方法有两种：

(1)在全局配置模式下直接定义一个标准访问列表或扩展访问列表：

access-list

(2)进入访问列表配置模式：

ipaccess-list

①为访问列表设置一个名字：

name

②为标准访问列表或扩展访问列表设置permit条件：

permit

③为标准访问列表或扩展访问列表设置deny条件：

deny

ACL规则的每个域都对位置敏感。例如TCP的规则，源地址之后必须跟随目的地址，源端口和目的端口必须分别放在源地址和目的地址后面。

并不是ACL规则的所有域都需要指定。如果没有指定特定的域，则该域会被当作通配符来处理或不作考虑。如果指定了特定的域，则该域将与分组相匹配。每个协议都有很多不同域相匹配。由于每个域都对位置敏感，有时需要“跳过”某些域，以便为另一个域指定值，可以使用关键字any跳过源地址域或目的地址域。

当我们定义了ACL的一组选择标准后，ACL并没有生效。ACL只有被接口或某些策略使用才可以生效。下面列举常见的ACL使用：

(1)把ACL应用于接口，该接口准许或拒绝路由器接收或发出的数据报。以这种方法使用的ACL被称为“接口ACL”。

29.2ACL的使用场合

(2)把ACL应用于服务，该服务准许或拒绝路由器接收或发出的数据报。以这种方法使用的ACL被称为“服务ACL”。

(3)把ACL与ippolicy，nat等命令相关联，它指定了分组、地址、流基与这些路由器特性相关而必须符合的标准。以这种方法使用的ACL被称为“策略ACL”。

(1)对于有多条规则的ACL，这些规则的顺序是很重要的，ACL严格按生效的顺序进行匹配。可以使用showrunning-config或showaccess-list命令查看生效的ACL规则顺序。

如果分组与某条规则相匹配，则根据规则中的关键字permit或deny进行操作，所有的后续规则均被忽略。也就是说，采用的是首先匹配的算法。路由器从开始往下检查列表，一次一条规则，直至发现匹配项。29.3ACL的使用注意事项因此，更为具体的规则应始终排列在较不具体的规则的前面。例如，以下ACL准许除发自子网/16之外的所有TCP数据报：

ZXR10(config)#access-list101denytcp55anyanyany

ZXR10(config)#access-list101permittcpanyanyanyany

当TCP分组从子网/16中发出时，它发现与第一项规则相匹配，从而使得该分组被丢弃。发自其他子网的TCP分组不与第一项规则相匹配，而是与第二项规则匹配，由此这些分组得以通过。

(2)在每个ACL的最后，系统自动附加一条隐式deny的规则，这条规则拒绝所有数据报。

对于不与用户指定的任何规则相匹配的分组，隐式拒绝规则起到了截流的作用，所有分组均与该规则相匹配。

这样做是出于安全考虑。如果ACL被误配置，使得应该允许通过的分组因为隐式拒绝规则而被阻塞，最坏的结果就是无法发送或接收数据。而另一方面，如果应该拒绝通过的分组被发送出去，就会出现安全漏洞。因此，隐式拒绝规则为ACL的意外误配置设置了一道防线。如以下的ACL配置：

ZXR10(config)#access-list101permitip55

ZXR10(config)#access-list101permitip55anyhttp

由于隐式拒绝规则，该ACL实际上有3条规则：

ZXR10(config)#access-list101permitip55

ZXR10(config)#access-list101permitip55anyhttp

ZXR10(config)#access-list101denyanyanyanyany

如果进来的分组并不与前两条规则相匹配，则该分组被丢弃。这是因为第三条规则(隐式拒绝规则)匹配所有分组。

29.4.1接口ACL配置

可把ACL应用于接口，以检查入站或出站的数据报。入站数据报就是进入路由器的数据报，出站数据报就是从路由器中发出的数据报。29.4ACL配置实例对于每个接口，在同一方向的同一协议只能应用一个ACL。例如：不能把两个或更多的ACL应用于同一接口的入站方向。如果一个ACL用于入站数据报，一个ACL用于出站数据报，则可把这两个ACL应用于同一接口。不过，这一限制并不妨碍在ACL中指定很多规则，只须把这些规则放入另一个ACL，并把它应用于接口。

当一个分组从应用了入站ACL的接口处进入路由器时，路由器把该分组与ACL所指定的规则作比较。如果该分组被准许，则可进入路由器，否则，该分组将被丢弃。如果该分组需要从另一个接口上转发出去(即该分组将被路由)，则可能要进行第二次ACL检查。在输出接口处，如果应用了出站ACL，该分组将与该出站ACL指定的规则作比较。因此，分组有可能要通过两次单独的检查，一次是在入站接口处，另一次是在出站接口处。

当把配置的ACL作用于接口时，使用ipaccess-group命令。

接口ACL的配置实例如图29-1所示。

图29-1应用于接口的ACL配置实例

R2的配置：

ZXR10_R2(config)#interfacefei_1/1

ZXR10_R2(config-if)#ipaddress

ZXR10_R2(config-if)#access-group100out

ZXR10_R2(config)#interfacefei_1/2

ZXR10_R2(config-if)#ipaddress

ZXR10_R2(config-if)#access-group100in

ZXR10_R2(config)#access-list100denyip55any

ZXR10_R2(config)#access-list100denyipany55

ZXR10_R2(config)#access-list100permitipanyany

ZXR10_R2(config)#routerospf1

ZXR10_R2(config-router)#networkarea0

ZXR10_R2(config-router)#networkarea029.4.2ACL应用于服务

在ZXR10GER上，还可创建ACL，以准许或拒绝对路由器提供的某种服务进行访问，如HTTP、Telnet，这种类型的ACL被称为“服务ACL”。

依照定义，服务ACL用于控制发往路由器特定接口上的服务的入站分组。例如：在某个特定接口上，可以允许一些特定主机访问Telnet服务器，或者拒绝特定子网访问web服务器。创建服务ACL更多地是为了控制对路由器指定接口上的某些服务进行访问。结果，只有发往路由器的入站数据报才会被检查。把ACL应用于服务中也是通过将定义的ACL应用到接口中实现的。

在此还是采用图29-1的组网来说明服务ACL的具体配置。

R2的配置：

ZXR10_R2(config)#interfacefei_1/1

ZXR10_R2(config-if)#ipaddress

ZXR10_R2(config-if)#access-group110out

ZXR10_R2(config-if)#exit

ZXR10_R2(config)#interfacefei_1/2

ZXR10_R2(config-if)#ipaddress

ZXR10_R2(config-if)#access-group110in

ZXR10_R2(config-if)#exit

ZXR10_R2(config)#access-list110permittcpany8eqtelnet

ZXR10_R2(config)#routerospf1

ZXR10_R2(config-router)#networkarea0

ZXR10_R2(config-router)#networkarea0