思科之acl访问控制协议.ppt

1、访问控制列表（ACL）,主要内容,一、ACL的基本原理 二、ACL的应用,一、ACL的基本原理,1、什么是ACL 2、ACL是如何工作的 3、创建ACL 4、通配符掩码的作用 5、验证ACL,1、什么是ACL,ACL是应用在路由器端口上的一个列表，用于告诉路由器允许或禁止哪些流量通过。,ACL是一个连续的允许和拒绝语句的集合，关系到地址和上层协议。 ACL是应用在路由器接口的指令列表，这些指令告诉路由器哪些分组需要拒绝，哪些分组可以接收。拒绝和接收基于一定的条件。 任何经过应用了ACL的接口的流量都要接受ACL中条件的检测。 ACL适用于所有的路由协议。 路由器基于ACL中指定的条件来决定转发

2、还是丢弃分组。 ACL不能对本路由器产生的数据包进行控制 。,2、ACL是如何工作的,ACL是一组语句，定义了分组的下列行为： 1、进入入站路由器接口 2、通过路由器转发 3、流出出站路由器接口 ACL语句按照逻辑次序顺序执行。如果与某个条件语句相匹配，则不再检查剩下的语句；如果都不匹配，则强加一条拒绝全部流量的暗含语句。（缺省情况下拒绝所有的流量）,ACL的匹配性检查,ACL语句能够实现：,1、筛选出某些主机，允许或者拒绝它们访问你的网络的某一部分； 2、允许或拒绝用户访问某种类型的应用，例如FTP或HTTP等。,3、创建ACL,第一步：在全局配置模式下创建ACL 标准ACL（ACL号码在1

3、99之间） 扩展ACL （ACL号码在100199之间） 第二步：把ACL应用到某一个接口（出站接口或者入站接口）,4、通配符掩码的作用,通配符掩码是一个32比特的数字字符串，用点号分成4个8位组，每个8位组包含8个比特。 在通配符掩码位中，0表示检查相应的位，1表示忽略相应的位。 通配符掩码跟IP地址是成对出现的。在通配符掩码的地址位使用1或0表明如何处理相应的IP地址位。 ACl通配符掩码跟IP子网掩码的工作原理不同。,通配符掩码位的匹配,通配符any,加入在ACL中允许访问任何目的地址时，使用通配符掩码表示为： 55 简便地，可以使用通配符any

4、替代，例如： access-list 1 permit 55 access-list 1 permit any,通配符host,在ACL中想要与整个IP主机地址的所有位相匹配时，使用通配符掩码表示为： 简便地，可以使用通配符host替代，例如： access-list 1 permit access-list 1 permit host ,5、验证ACL,使用如下命令验证： show ip interface 查看端口是否应用了acl sh

5、ow access-lists 查看路由器的所有acl show running-config 查看所有的运行配置信息，包括acl的配置。,二、ACL的应用,1、ACL表号 2、标准ACL 3、扩展ACL 4、命名ACL 5、ACL的放置 6、防火墙 7、用ACL限制telnet访问,1、ACL表号,Cisco 的IOS为不同的协议分配了ACL表号，见下表：,2、标准ACL,标准ACL检查可以被路由的IP分组的源地址并且把它与ACL中的条件判断语句相比较。如果匹配，则执行允许（permit）或拒绝（deny）的操作。 标准ACL可以基于网络、子网或主机IP地址允许或拒绝整个协议组（如IP）。

6、标准ACL在全局配置模式下使用命令access-list来定义，并分配1-99之间的一个数字编号。,将定义好的ACL应用到接口,定义ACL,in和out参数可以控制接口中不同方向的数据包，如果不配置该参数，缺省为out。,标准ACL举例,定义ACL： access-list 1 deny access-list 1 permit 55 access-list 1 deny 55 access-list 1 permit . 55 应用到接口： ip acc

7、ess-group 1 in ip access-group 1 out,我们采用如图所示的网络结构。路由器连接了二个网段，分别为/24,/24。在/24网段中有一台服务器提供WWW服务，IP地址为3。 配置任务：禁止/24网段中除3这台计算机访问/24的计算机。3可以正常访问/24。,路由器配置命令 access-list 1 permit host 3 设置ACL，容许3的

8、数据包通过。 access-list 1 deny any 设置ACL，阻止其他一切IP地址进行通讯传输。 int e 1 进入E1端口。 ip access-group 1 in 将ACL 1宣告。 经过设置后E1端口就只容许来自3这个IP地址的数据包传输出去了。来自其他IP地址的数据包都无法通过E1传输。 另外在路由器连接网络不多的情况下也可以在E0端口使用ip access-group 1 out命令来宣告，宣告结果和上面最后两句命令效果一样。,3、扩展ACL,扩展ACL提供更大的灵活性和控制范围，它既可以检查分组的源地址和目的地址，也可以检查协议类型和TCP或UDP

9、的端口号。 标准ACL只能允许或者拒绝整个协议集，但扩展ACL可以允许或拒绝协议集中的某些协议，例如允许http而拒绝ftp。 扩展ACL编号使用100-199。,access-list 101 deny tcp any host eq www 这句命令是将所有主机访问这个地址网页服务（WWW）TCP连接的数据包丢弃。,扩展ACL举例,我们采用如图所示的网络结构。路由器连接了二个网段，分别为/24,/24。在/24网段中有一台服务器提供WWW服务，IP地址为3。 配置任

10、务：禁止的计算机访问的计算机，包括那台服务器，不过惟独可以访问3上的WWW服务，而其他服务不能访问。,access-list 101 permit tcp any 3 eq www 设置ACL101，容许源地址为任意IP，目的地址为3主机的80端口即WWW服务。由于CISCO默认添加DENY ANY的命令，所以ACL只写此一句即可。 int e1 进入E1端口 ip access-group 101 out 将ACL101宣告出去 设置完毕后的计算机就无法访问

11、的计算机了，就算是服务器3开启了FTP服务也无法访问，惟独可以访问的就是3的WWW服务了。而的计算机访问的计算机没有任何问题。,扩展ACL有一个最大的好处就是可以保护服务器，例如很多服务器为了更好的提供服务都是暴露在公网上的，这时为了保证服务正常提供所有端口都对外界开放，很容易招来黑客和病毒的攻击，通过扩展ACL可以将除了服务端口以外的其他端口都封锁掉，降低了被攻击的机率。如本例就是仅仅将80端口对外界开放。 不过它存在一个缺点，那就是在没有硬件ACL加速的情况下，扩展ACL会消耗大量的路由器C

12、PU资源。所以当使用中低档路由器时应尽量减少扩展ACL的条目数，将其简化为标准ACL或将多条扩展ACL合一是最有效的方法。,4、命名ACL,不管是标准访问控制列表还是扩展访问控制列表都有一个弊端，那就是当设置好ACL的规则后发现其中的某条有问题，希望进行修改或删除的话只能将全部ACL信息都删除。也就是说修改一条或删除一条都会影响到整个ACL列表。这一个缺点影响了我们的工作，为我们带来了繁重的负担。不过我们可以用基于名称的访问控制列表来解决这个问题。,ip access-list standard|extended ACL名称 例如：ip access-list standard softer建

13、立了一个名为softer的标准访问控制列表。 当我们建立了一个基于名称的访问列表后就可以进入到这个ACL中进行配置了。 例如我们添加三条ACL规则 permit permit permit ,什么时候使用基于名称的访问控制列表？,如果设置ACL的规则比较多的话，应该使用基于名称的访问控制列表进行管理，这样可以减轻很多后期维护的工作，方便我们随时进行调整ACL规则。,5、ACL的放置,ACL通过过滤数据包并且丢弃不希望抵达目的地的数据包来控制通信流量。然而，网络能否有效地减少不必要的通信流量，这还要取决

14、于网络管理员把ACL放置在哪个地方。 根据减少不必要通信流量的通行准则，网管员应该尽可能地把ACL放置在靠近被拒绝的通信流量的来源处。,1,2,3,4,假设在图所示的一个运行TCP/IP协议的网络环境中，网络只想拒绝从RouterA的fa0/1接口连接的网络到RouterD的fa0/0接口连接的网络的访问，即禁止从网络1到网络4的访问。,如果网管员使用标准ACL来进行网络流量限制，因为标准ACL只能检查源IP地址，所以实际执行情况为： 凡是检查到源IP地址和网络1匹配的数据包将会被丢掉，即网络1到网络2、网络3和网络4的访问都将被禁止。 由此可见，这个ACL控制方法不能达到网管员的目的。同理，将ACL放在RouterB和RouterC上也存在同样的问题。只有将ACL放在连接目标网络的RouterD上，网络才能准确实现网管员的目标。 由此可以得出一个结论: 标准ACL要尽量靠