《计算机网络技术》-项目十二 IP访问控制列表

访问控制是网络安全防范和保护的主要策略，它的主要任务是保证网络资源不被非法使用和访问。是保证网络安全最重要的核心策略之一。通过该项目使学生理解访问控制列表（ACL）的特点与应用、掌握标准ACL及扩展ACL的定义与配置，能按要求设计并正确放置ACL。【项目目标】

某集团公司总公司的内部网系统是一个集计算机技术、网络通信技术、数据库管理技术为一体的大型网络系统。它以管理信息为主体，连接生产、经营、维护、运营系统。而计划在外地建立的分公司网络是一个面向企业日常业务、立足生产、面向社会服务，辅助领导决策的计算机信息网络系统。最初的网络只是连接有限的LAN和PC，随着路由器连接内部和外部的网络，以及Internet网的普及，控制访问成为新的挑战，网络管理员面临两难的局面：如何拒绝不期望的访问而允许需要的访问？访问控制列表增加了在路由器接口上过滤数据包出入的灵活性，可以帮助管理员限制网络流量，也可以控制用户和设备对网络的使用。它根据网络中每个数据包所包含的信息内容决定是否允许该数据包通过接口。考虑使用访问控制列表。【项目背景】（1）访问控制列表的基本概念访问控制是网络安全防范和保护的主要策略，它的主要任务是保证网络资源不被非法使用和访问。它是保证网络安全最重要的核心策略之一。访问控制涉及的技术也比较广，包括入网访问控制、网络权限控制、目录级控制以及属性控制等多种手段。访问控制列表(ACL)是应用在路由器接口的指令列表。这些指令列表用来告诉路由器哪能些数据包可以收、哪能数据包需要拒绝。至于数据包是被接收还是拒绝，可以由类似于源地址、目的地址、端口号等的特定指示条件来决定。访问控制列表不但可以起到控制网络流量、流向的作用，而且在很大程度上起到保护网络设备、服务器的关键作用。作为外网进入企业内网的第一道关卡，路由器上的访问控制列表成为保护内网安全的有效手段。此外，在路由器的许多其他配置任务中都需要使用访问控制列表，如网络地址转换（NetworkAddressTranslation，NAT）、按需拨号路由（DialonDemandRouting，DDR）、路由重分布（RoutingRedistribution）、策略路由（Policy-BasedRouting，PBR）等很多场合都需要访问控制列表。访问控制列表从概念上来讲并不复杂，复杂的是对它的配置和使用，许多初学者往往在使用访问控制列表时出现错误。

知识准备（2）访问控制列表的类型知识准备1）标准IP访问控制列表一个标准IP访问控制列表匹配IP包中的源地址或源地址中的一部分，可对匹配的包采取拒绝或允许两个操作。编号范围是从1到99的访问控制列表是标准IP访问控制列表。2）扩展IP访问控制列表扩展IP访问控制列表比标准IP访问控制列表具有更多的匹配项，包括协议类型、源地址、目的地址、源端口、目的端口、建立连接的和IP优先级等。编号范围是从100到199的访问控制列表是扩展IP访问控制列表。知识准备3）命名的IP访问控制列表所谓命名的IP访问控制列表是以列表名代替列表编号来定义IP访问控制列表，同样包括标准和扩展两种列表，定义过滤的语句与编号方式中相似。4）标准IPX访问控制列表标准IPX访问控制列表的编号范围是800-899，它检查IPX源网络号和目的网络号，同样可以检查源地址和目的地址的节点号部分。（2）访问控制列表的类型（2）访问控制列表的类型5）扩展IPX访问控制列表扩展IPX访问控制列表在标准IPX访问控制列表的基础上，增加了对IPX报头中以下几个宇段的检查，它们是协议类型、源Socket、目标Socket。扩展IPX访问控制列表的编号范围是900-999。6）命名的IPX访问控制列表与命名的IP访问控制列表一样，命名的IPX访问控制列表是使用列表名取代列表编号。从而方便定义和引用列表，同样有标准和扩展之分。知识准备（3）访问控制列表INOUT方向进方向的工作流程：进入接口的数据包→进方向的访问控制列表→判断（是否匹配——不匹配，丢弃，匹配，进入路由表——判断是否有相应的路由条目——无，丢弃，有从相应接口转发出去）。出口方向的工作流程：进入接口数据包→进入路由表→判断（是否是相应的路由条目——无，丢弃，有，数据包往相应接口——判断出口是否有访问控制列表——无，数据被转发，有，判断条件是否匹配——不匹配，丢弃，匹配，转发）。知识准备（4）访问列表的建立过程1）标准访问控制列表所依据的条件的判断条件是数据包的源IP地址，只能过滤某个网络或主机的数据包，功能有限，但方便使用。先在全局模式下创建访问控制列表。命令格式：Router（config）＃access－list

access－list－number

｛permitordeny｝soure｛soure－wildcard｝log说明：access－list－number是访问控制列表号，标准的访问控制列表号为0～99;permit是语句匹配时允许通过，deny是语句不匹配时，拒绝通过。soure是源IP地址，soure－wildcard是通配符，log是可选项，生成有关分组匹配情况的日志消息，发到控制台。补充说明：当表示某一特定主机时，soure｛soure－wildcard｝这项例如：55可表示为host创建了访问控制列表后，在接口上应用Router（config－if）＃ipaccess－groupaccess－list－number｛inorout｝

知识准备

2）扩展访问控制列表扩展访问控制列表所依据的判断条件是目标、源ip地址、协议及数据所要访问的端口。由此可得出，在判断条件上，扩展访问控制列表具有比标准的访问控制列表更加灵活的优势，能够完成很多标准访问不能完成的工作。同样在全局模式下创建列表。命令格式：Router（config）＃access－listaccess－list－number｛dynamicdynamic－name｝｛timeoutmintes｝｛permitordeny｝protocolsouresoure－wildcarddestinationdestination－wildcard｛precdenceprecedence｝｛tostos}{time-rangetime-range-name}

（4）访问列表的建立过程知识准备3）命名访问控制列表ciscoios软件11.2版本中引入了IP命名ACL，其允许在标准和扩展访问控制列表中使用名字代替数字来表示ACL编号。创建命名ACL语法格式：router（config）＃ipaccess－list｛extendorstandard}namerouter（config-ext-nacl）#{permit

ordeny}protocolssouresoure－wildcard{operator｝destinationdestination－wildcard｛operator｝｛established｝4）放置ACL一般原则：尽可能把扩展acl放置在距离要被拒绝的通信流量近的地方。标准ACL由于不能指定目的地址，所以它们应该尽可能放置在距离目的地最近的地主。（4）访问列表的建立过程知识准备任务1：标准IP访问控制列表配置本项目主要任务任务2：扩展IP访问控制列表配置任务1：标准IP访问控制列表配置标准IP访问列表可以根据数据包的源IP地址定义规则，进行数据包的过滤，通过该任务掌握根据数据包的源地址来定义访问列表的方法与步骤。标准访问控制列表拓扑结构图如图所示，要求在路由器上配置访问控制列表，允许PC1访问PC3；拒绝PC2访问PC3。路由器之间通过V.35电缆通过串口连接，DCE端连接在R1上，配置时钟频率64000；主机与路由器通过交叉线连接；任务1：标准IP访问控制列表配置步骤1：设置路由器R1的S1/0接口属性（DCE）。任务1：标准IP访问控制列表配置Router>enableRouter#configterminalRouter(config)#hostnameR1R1(config)#interfaces1/0R1(config-if)#ipaddressR1(c0nfig-if)#clockrate64000R1(config-if)#noshutdownR1(config-if)#exitR1(config)#

DCE：代表数据线路端接设备。网络中有两大类设备，即DCE和DTE。DTE是数据终端设备。这两类设备的区别是DTE是网络端点设备，而DCE是网络中传输和接收DTE数据的设备。步骤2：配置路由器R1、R2接口IP地址。任务1：标准IP访问控制列表配置R1(config)#interfacef0/0R1(config-if)#ipaddressR1(config-if)#noshutdownR1(config)#interfacef0/1R1(config-if)#ipaddressR1(config-if)#noshutdownR2(config)#interfacef0/0R2(config-if)#ipaddressR2(config-if)#noshutdownR2(config)#interfaces1/0R2(config-if)#ipaddressR2(config-if)#noshutdownR2(config-if)#exitR2(config)#步骤3：在路由器上R1、R2配置静态路由协议任务1：标准IP访问控制列表配置R1(config)#iprouteR1(config)#R2(config)#iprouteR2(config)#iprouteR2(configf)#步骤4：验证三台PC之间的互通性，因为只有在互通的前提下才能涉及到访问控制列表。配置好各PC的网络参数之后，使用ping命令验证网络的连通性。在PC1上运行ping命令ping（PC3的IP）。任务1：标准IP访问控制列表配置步骤5：在R1上配置IP标准访问控制列表，拒绝PC1访问PC3；允许PC2访问PC3。任务1：标准IP访问控制列表配置R1(config)#ipaccess-liststandard1R1(config-std-nacl)#permit55R1(config-std-nacl)#deny55R1(config-std-nacl)#exit步骤6：将标准IP访问控制列表应用到端口上R1(config)#interfaces1/0R1(config-if)#ipaccess-group1outR1(config)#exit步骤7：验证主机之间的互通性，允许PC1访问PC3（如图12-8所示）；拒绝PC2访问PC3（如图12-9）所示。任务1：标准IP访问控制列表配置PC1pingPC3的结果PC1pingPC2的结果任务2：扩展IP访问控制列表配置扩展访问控制列表（编号为100~199、2000~2699）可以根据数据包的源IP、目的IP、源端口、目的端口、协议来定义规则，进行数据包的过滤。通过该任务掌握扩展访问控制列表定义及使用的方法与步骤。扩展访问控制列表拓扑图要求在路由器上配置扩展访问控制列表，允许PC1访问WEB服务器，但是拒绝PC1pingWEB服务器。路由器之间通过V.35电缆通过串口连接，DCE端连接在R2上，配置时钟频率64000；主机与路由器通过交叉线连接；分公司出口路由器与外部路由器之间通过V.35电缆通过串口连接，DCE端连接在R2上，配置时钟频率64000；主机与路由器通过交叉线连接；任务2：扩展IP访问控制列表配置步骤1.配置PC1和WEB服务器的网络参数任务2：扩展IP访问控制列表配置计算机IP地址子网掩码默认网关PC1WEB服务器步骤2：配置路由器R1的相关参数。任务2：扩展IP访问控制列表配置Router>enableRouter#configterminalRouter(config)hostnameR1R1(config)#interfacef0/0R1(config-if)#ipaddressR1(config-if)#noshutdownR1(config)#interfacef0/1R1(config-if)#ipaddressR1(config-if)#noshutdown步骤3：配置路由器R2的相关参数。任务2：扩展IP访问控制列表配置Router(config)#interfacef0/1R2(config-if)#ipaddressR2(config-if)#noshutdownR2(config)#interfaces1/1R2(config-if)#ipaddressR2(config-if)#noshutdown步骤4：配置路由器R3的相关参数。任务2：扩展IP访问控制列表配置Router>enableRouter#configterminalRouter(config)#hostnameR3R3(config-if)#interfacef0/0R3(config-if)#ipaddressR3(config-if)#noshutdownR3(config)#interfaces1/1R3(config-if)#ipaddressR3(config-if)#clockrate64000R3(config-if)#noshutdown步骤5：在路由器上R1、R2、R3配置静态路由协议。任务2：扩展IP访问控制列表配置R1(conf