演示：标准ACL的使用

第10章实施网络安全任务10.2配置思科设备上的访问控制功能本节主要通过描述访问控制列表的应用与部署来过滤企业网络中的流量，在这里将访问控制列表分为两个部分来描述：第一部分是基础的访问控制列表，包括标准ACL和扩展ACL的应用与部署原则、命名控制列表的应用与部署原则；第二部分是一些高级访问控制列表的应用与部署原则，包括带时间ACL、动态访问控制列表、自反访问控制列表、基于上下文的访问控制（IOS防火墙的配置）。任务10.2.1理解基础的访问控制列表（ACL）访问控制列表（AccessControlList，ACL）用于控制网络流量的访问，同时也可以用作某些感兴趣流量的定义，比如：定义要被VPN加密的流量、要被NAT转换的流量等。基础的访问控制列表包括标准ACL和扩展ACL。基于IP的标准ACL的特性如下：使用ACL的列表序号1～99。只能控制基于源地址的流量访问。必须将其应用于距离目标最近的位置。使用反码进行识别。采取逐条ACL语句的匹配原则。在所有ACL语句的结束处有一条隐藏的拒绝一切流量的语句。基于IP的扩展ACL的特性如下：使用ACL的列表序号100～199。能够同时基于源地址和目标地址来控制流量访问。能够使用不同协议的端口号来控制网络流量，达到比标准ACL更粒度化的控制。可以将其应用于距离源最近的位置。使用反码进行识别。采取逐条ACL语句的匹配原则。在所有ACL语句的结束处有一条隐藏的拒绝一切流量的语句。任务10.2.1数据转发与ACL的执行过程如图10.4所示，数据包进入路由器，为后续判断做准备。判断进入路由器的数据包是否可路由，如果是不可路由的数据包，该数据包将被丢弃，如果是可路由的数据包，接下来将判断路由器的进入接口E1/0上是否有ACL存在；如果没有ACL存在，就执行路由表查询，如果在该接口上有ACL存在，则将根据ACL的具体条目来决定是否转发该数据包；如果ACL的条目拒绝转发，数据包将被丢弃，如果ACL条目允许转发，那么数据包将被执行路由表查询。无论哪种情况，当数据包完成路由查询后，数据包将被送达路由器的出接口E1/1，查看在出接口上是否有ACL存在，如果没有，数据包将被转发，如果有ACL存在，那么将判断ACL的具体条目是否允许数据包通过；如果拒绝，那么数据包将被丢弃，如果允许，那么数据包将被转发。图10.4数据转发与ACL的执行过程任务10.2.1关于ACL逐条匹配的过程通常一个ACL由很多条语句组成，该ACL将按照如图10.5所示的步骤进行匹配。首先检测第一条ACL语句，如果能匹配第一条语句的判断条件，就进行ACL判断，如果允许通过就转发数据，如果拒绝通过就丢弃数据；如果不能匹配第一条语句的判断条件，那么将跳到第二条ACL语句进行继续匹配，如果能匹配第二条语句的判断条件，就进行ACL判断，如果允许通过就转发数据，如果拒绝通过就丢弃数据；如果不能匹配第二条语句的判断条件，就依照上述原理继续进行后续匹配，直到所有的ACL语句都无法满足匹配的条件，那么数据包将被最后一条隐式的拒绝一切的ACL语句所拒绝，除非你使用显式方式声明了最后一条ACL语句是允许一切的。这里所谓的隐式拒绝，是指在没有明确输入拒绝一切语句的前提下，有一条默认的ACL语句是拒绝一切数据包。图10.5关于ACL逐条匹配的过程任务10.2.2演示：标准ACL的配置演示目标：使用标准ACL来过滤网络的访问流量。理解标准ACL在应用中的限制。使用标准ACL过滤“奇数”位子网。演示环境：如图10.6所示。演示背景：该在演示环境中，请设计使用标准ACL拒绝通信源子网192.168.1.0对服务器A所在子网的任何访问，但是允许访问服务器B和C所在的子网；然后思考将标准ACL应用于该演示环境中哪台路由器的具体接口上。图10.6ACL的演示环境任务10.2.2完成路由器R1与R2的所有基础配置，包括为各个接口配置IP地址及启动路由协议，要求网络中的各个子网都能相互ping通。使用标准ACL的配置，具体配置如下，在完成配置后，尝试将配置的ACL应用到路由器R1的E1/0接口的入方向上。路由器R1上的ACL配置：R1(config)#access-list1deny192.168.1.00.0.0.255*access-list1指示ACL的列表号为1，它的取值范围是1～99（表示基于IP的标准访问控制列表）；deny192.168.1.00.0.0.255指示拒绝源子网192.168.1.0，0.0.0.255是该子网对应的反码。关于反码的作用，在第6章“理解并实施路由技术”中的OSPF部分有详细描述，这里不再重复描述R1(config)#access-list1permitany*该条配置指令是允许所有的其他源地址的通信，如果没有该指令，在ACL列表1中就存在一条默认的拒绝一切的语句（access-list1denyany）R1(config)#interfaceethernet1/0R1(config-if)#ipaccess-group1in*该访问控制列表1被应用到路由器R1的E1/0接口的入方向上任务10.2.2当完成上述配置后，在主机A（192.168.1.2）上测试与服务器A、B、C的通信，如图10.7所示，ping不通任何一台服务器，这明显不满足背景需求，因为演示背景需求是设计使用标准ACL拒绝通信源子网192.168.1.0对服务器A所在子网的任何访问，但是允许访问服务器B和C所在的子网；那么是什么原因导致这种情况的发生？图10.7检测与各个子网的通信因为使用的是标准访问控制列表，标准访问控制列表只能匹配源地址，所以应该将标准访问控制列表应用于距离目标最近的位置，如果将ACL1应用于距离控制源最近的位置，那么将导致192.168.1.0子网无法访问其他的任何网络。再次强调：标准ACL只能匹配源地址。任务10.2.2现在将ACL1从路由器R1上删除，并将ACL1配置在距离目标最近的接口上（路由器R2的E1/0接口）。关于删除ACL1的配置指令如下。在路由器R1上删除ACL1的配置：R1(config)#noaccess-list1R1(config)#interfacee1/0R1(config-if)#noipaccess-group1inR1(config-if)#exit在距离控制目标最近的位置（路由器R2的E1/0接口）配置并应用ACL：R2(config)#access-list1deny192.168.1.00.0.0.255R2(config)#access-list1permitanyR2(config)#interfacee1/0R2(config-if)#ipaccess-group1out*在路由器R2的E1/0接口的出方向上应用ACL1R2(config-if)#exit任务10.2.2当完成上述配置后，再次在主机A（192.168.1.2）上进行对服务器A、B、C的连通性测试，这次的测试结果如图10.8所示，满足了演示背景需求，此时，主机A无法与服务器A通信，这是要求的目标，但是它可以与服务器B和C正常通信。图10.8再次检测与各个子网的通信任务10.2.2现在再次删除路由器R2上的ACL配置与接口应用，并在路由器R2上配置6个环回接口IP地址，分别是172.16.1.1/24～172.16.6.1/24，用于模拟6个不同的子网，并将这6个子网公告到RIP路由进程中，确保路由器R1能学习并ping通这6个子网。具体的配置如下。删除路由器R2上的ACL配置与接口应用：R2(config)#noaccess-list1R2(config)#interfacee1/0R2(config-if)#noipaccess-group1out在路由器R2上配置6个环回子网：R2(config)#interfaceloopback1R2(config-if)#ipaddress172.16.1.1255.255.255.0R2(config)#interfaceloopback2R2(config-if)#ipaddress172.16.2.1255.255.255.0R2(config)#interfaceloopback3R2(config-if)#ipaddress172.16.3.1255.255.255.0R2(config)#interfaceloopback4R2(config-if)#ipaddress172.16.4.1255.255.255.0R2(config)#interfaceloopback5R2(config-if)#ipaddress172.16.5.1255.255.255.0R2(config)#interfaceloopback6R2(config-if)#ipaddress172.16.6.1255.255.255.0将上述6个子网公告到RIP路由进程中：R2(config)#routerripR2(config-router)#network172.16.0.0R2(config-router)#exit任务10.2.2关于路由器R1成功ping通路由器R2上6个环回接口的状态如图10.9所示，在没有任何ACL控制策略的情况下，路由器R1应该能成功地ping通路由器R2上的6个环回接口。图10.9检测与路由器R2上6个环回子网的连通性任务10.2.2现在要求在路由器R2上使用标准ACL来拒绝172.16.X.0/24（X表示奇数位子网）的通信，但是允许172.16.Y.0/24（Y表示偶数位子网）的通信。要求匹配奇数位子网只使用一条ACL语句，匹配偶数位子网只使用一条ACL语句，这样做的目的是为了提高ACL的效率。现在的问题是，如何使用一条ACL语句来匹配奇数位或者偶数位子网？如图10.10所示，可以看出奇数位子网的十进制转换成二进制时，二进制的最后一位是1；偶数位子网二进制的最后一位是0。注意：此时使用反码11111110（254）去匹配1就能匹配上奇数位子网，匹配2就能匹配上偶数位子网。为什么反码是11111110？因为反码的1表示不关心的位，0表示关心的位；而识别奇偶位子网，只需要关心8个二进制位的最后一位即可，所以，只需要反码的最后一位为0，就能成功地完成匹配。图10.10关于奇数位子网的特性任务10.2.2在路由器R2上拒绝奇数位子网、允许偶数位子网的ACL配置：R2(config)#access-list1deny172.16.1.00.0.254.255*使用一条ACL语句拒绝奇数位子网的ACL配置R2(config)#access-list1permit172.16.2.00.0.254.255*使用一条ACL语句允许偶数位子网的ACL配置R2(config)#interfacee1/2R2(config-if)#ipaccess-group1in*在路由器R2的E1/2接口的入方向上应用ACL。R2(config-if)#exit任务10.2.2注意一个非常重要的问题：当在路由器R2上完成上述配置后（将ACL应用到R2的E1/2接口的入方向上），在R1上发起对路由器R2上6个环回接口的ping，你会发现ACL没有生效，无论是奇数位还是偶数位子网都能被R1所ping通，难道是ACL书写形式错了吗？不是的，发生这个问题的根本原因是：要注意理解标准ACL的特性，它只能基于通信源地址进行过滤，而在路由器R1上发起对R2上各个奇偶位子网的ping时，通信的源地址为192.168.2.1/24，所以access-list1permit172.16.2.00.0.254.255根本对源地址不生效。正确的做法应当如下所示。首先删除路由器R2上的ACL配置：R2(config)#noaccess-list1R2(config)#interfacee1/2R2(config-if)#noipaccess-group1inR2(config-if)