电子教案09访问控制列表的配置

第9章访问控制列表的配置学习目的与要求：互联网的开放性决定了网络上的数据可以任意流动，但有时候需要对数据进行控制。通过设置访问控制列表来控制和过滤通过路由器的信息流是的一种方法。本章主要讲述使用标准访问控制列表和扩展访问控制列表控制网络流量的方法，同时提供了标准访问控制列表和扩展访问控制列表以及在路由接口应用ACL的例子。完成本章的学习，你将能够：描述访问控制列表的分类及其工作过程会根据应用需求配置各种访问控制列表章访问控制列表的配置9.1访问控制列表9.2配置标准访问控制列表9.3配置扩展访问控制列表9.4命名的访问列表本章小结本章习题本章实训(AccessControlLists)，配置路由器的访问控制列表是网络管理员一件经常性的工作。本节介绍ACL的概念、功能及其工作原理。概述访问控制列表(ACL)使用包过滤技术，在路由器上读取第3层或第4层包头中的信息，如源地址、目的地址、源端口、目的端口以及上层协议等，根据预先定义的规则决定哪些数据包可以接收、哪些数据包需要拒绝，从而达到访问控制的目的。访问控制列表InternetACL的功能检查和过滤数据包。ACL通过将访问控制列表应用到路由器接口来管理流量和检查特定的数据包。任何经过该接口的流量都要接受ACL中规则的检测，以此决定被路由的分组是被转发还是被丢掉，从而过滤网络流量。例如，可以允许E-mail流量被路由，但同时阻塞所有Telnet流量。限制网络流量，提高网络性能。ACL能够按照优先级或用户队列处理数据包。通过排队确保路由器不去处理那些不需要的分组。排队限制了网络流量，减少了网络拥塞。限制或减少路由更新的内容。ACL能够限定或简化路由器选择更新的内容，这些限定常用于限定关于特定网络的信息通过网络传播。提供网络访问的基本安全级别。通过在路由器上配置ACL，可以允许一个主机访问网络的一部分，而阻止其他主机访问相同的区域。配置ACL的原则顺序处理原则。对ACL表项的检查是按照自上而下的顺序进行的，从第一行起，直到找到第一个符合条件的行为止，其余的行不再继续比较。因此必须考虑在访问控制列表中放入语句的次序，比如测试性的语句最好放在ACL的最顶部。最小特权原则。对ACL表项的设置应只给受控对象完成任务所必须的最小的权限。如果没有ACL，则等于permitany。一旦添加了ACL，默认在每个ACL中最后一行为隐含的拒绝(denyany)。如果之前没找到一条许可(permit)语句，意味着包将被丢弃。所以每个ACL必须至少有一行permit语句，除非用户想将所有数据包丢弃。最靠近受控对象原则。尽量考虑将扩展的ACL放在靠近源地址的位置上。这样创建的过滤器就不会反过来影响其他接口上的数据流。另外，尽量使标准的ACL靠近目的地址，由于标准ACL只使用源地址，如果将其靠近源会阻止报文流向其他端口。的工作原理……到达访问控制组接口的数据包是非匹配第一步匹配第二步匹配最后一步数据包垃圾桶目的接口是允许？是是非非非非图9-2ACL匹配性检查访问控制列表，IP访问控制列表工作于TCP/IP协议组。按照访问控制列表检查IP数据包参数的不同，可以将其分成标准ACL和扩展ACL两种类型。此外CiscoIOS11.2版本中还引入了IP命名ACL类型。从本节开始分别介绍各种ACL的配置方法。吗？移到下一条语句是IP包吗？源地址是否匹配表项？允许或拒绝？是否最后一条语句？是非非非将数据包路由至目的接口允许拒绝发送目标未找到信息是是数据包垃圾桶图9-3标准ACL的工作过程(config)#access-listaccess-list-number{deny|permit}source[source-wildcard][log]其中的参数见表9.12．将标准ACL应用到某一接口上Router(config-if)#ipaccess-groupaccess-list-number{in|out}其中，参数in和out表示ACL作用在接口上的方向，两者都是以路由器作为参照物的，如果in和out都没有指定，那么默认为out。注意：在每个接口、每个协议、每个方向上只能有一个访问控制列表。3.删除已建立的标准ACLRouter(config)#noaccess-listaccess-list-number访问控制列表表号，用来指定入口属于哪一个访问控制列表。对于标准ACL来说，是一个从1到99或1300到1999之间的数字deny如果满足测试条件，则拒绝从该入口来的通信流量permit如果满足测试条件，则允许从该入口来的通信流量source数据包的源地址，可以是网络地址或是主机IP地址source-wildcard(可选项)通配符掩码，又称反掩码，用来跟源地址一起决定哪些位需要匹配log(可选项)生成相应的日志消息，用来记录经过ACL入口的数据包的情况关于通配符掩码的使用说明表示成4位点分十进制形式。默认的通配符掩码为0.0.0.0。在通配符掩码位中，0表示“检查相应的位”，而1表示“不检查(忽略)相应的位”。比如，源地址和通配符掩码为172.16.30.00.0.0.255，表示路由器前3个8位组必须精确匹配，最后1个8位组的值可以任意。再如，如要指定IP地址为从172.16.16.0到172.16.31.0之间的所有子网，则通配符掩码为0.0.15.255(31-16=15)。any可以表示任何IP地址，例如：Router(config)#access-list10permitanyhost表示一台主机，例如：Router(config)#access-list10permithost172.16.30.22配置示例一某企业销售部、市场部的网络和财务部的网络通过路由器RTA和RTB相连，整个网络配置RIPv2路由协议，保证网络正常通信。要求在RTB上配置标准ACL，允许销售部的主机PC1访问路由器RTB，但拒绝销售部的其他主机访问RTB，允许销售部、市场部网络上所有其他流量访问RTB。.2.1.1.2S0/0/010.1.1.0/24RTARTB销售部市场部财务部F0/1PC2:10.1.1.10/24F0/0F0/0S0/0/0PC1:172.16.10.10/24PC3:192.168.1.10/24172.16.10.0/24192.168.1.0/2412.12.12.0/24.1.1.1.2.2图9-4标准ACL配置配置步骤如下：(1)配置标准ACL在路由器上RTB上配置如下：RTB(config)#access-list1permithost172.16.10.10RTB(config)#access-list1deny172.16.10.00.0.0.255RTB(config)#access-list1permitanyRTB(config)#interfaces0/0/0RTB(config-if)#ipaccess-group1in(2)验证标准ACL①showaccess-lists命令RTB#showaccess-lists②showipinterface命令RTB#showipinterface限制虚拟终端访问的问题。配置一个VTY访问控制列表，只允许网络192.168.1.0/24中的主机192.168.1.100telnet路由器RTA。图9-5用标准ACL限制Telnet访问192.168.1.0/24.1RTAPC2:192.168.1.10/24PC1:192.168.1.100/24F0/0.1配置方法如下：RTA(config)#access-list10permithost192.168.1.100RTA(config)#linevty04RTA(config-line)#passwordciscoRTA(config-line)#loginRTA(config-line)#access-class10in注意：•在配置接口的访问时可以使用数字表号的或者命名的ACL•只有数字的访问列表才可以应用到虚拟连接中•用户可以连接所有的VTY，因此所有的VTY连接都应用相同的ACL扩展ACL比标准ACL功能更强大，使用得更广泛，因为它可以基于分组的源地址、目的地址、协议类型、端口号和应用来决定访问是被允许或者拒绝，因而扩展ACL比标准ACL提供了更广阔的控制范围和更多的处理方法。？源地址匹配ACL？目的地址匹配ACL？匹配协议和端口？允许或拒绝将数据包路由至目的接口是否最后一条语句移到下一条语句发送目标未找到信息非非非非非非是是是是是允许拒绝数据包垃圾桶图9-6扩展ACL的工作过程．定义扩展ACLRouter(config)#access-listaccess-list-number{deny|permit}protocolsource[source-wildcarddestinationdestination-wildcard][operatoroperand][established]其中的参数说明见表9.2。2.将扩展ACL应用到某一接口上Router(config-if)#ipaccess-groupaccess-list-number{in|out}3.删除扩展ACLRouter(config)#noaccess-listaccess-list-number访问控制列表表号，使用一个100到199或2000到2699之间的数字来标识一个扩展访问控制列表deny如果条件符合就拒绝后面指定的特定地址的通信流量permit如果条件符合就允许后面指定的特定地址的通信流量protocol用来指定协议类型，如IP、ICMP、TCP或UDP等source和destination数据包的源地址和目的地址，可以是网络地址或是主机IP地址source-wildcard应用于源地址的通配符掩码destination-wildcard应用与目的地的通配符掩码位operator(可选项)比较源和目的端口，可用的操作符包括lt(小于)、gt(大于)、eq(等于)、neq(不等于)和range(包括的范围)operand如果操作符位于源地址和源地址通配符之后，那么它必须匹配源端口。如果操作符位于目的地址和目的地址通配符之后，那么它必须匹配目的端口。range操作符需要两个端口号，其他