第5章 访问控制列表ACL配置

思科网络技术学院理事会.–Chapter52思科网络技术学院理事会.目标了解如何使用ACL来保护中型企业的分支机构网络.在中型企业的分支机构网络中配置标准ACL.在中型企业的分支机构网络中配置扩展ACL.描述中型企业的分支机构网络中复杂ACL.ACLs在中型企业的分支机构网络中的应用检测及故障排除.3思科网络技术学院理事会.目录5.1使用ACLs保护网络5.2配置标准ACLs5.3配置扩展ACLs5.4配置复杂ACLs5.5章节实验思科网络技术学院理事会.会话ACL使您能够控制进出网络的流量.ACLs可以将ACL配置为根据使用的TCP和UDP端口来控制网络流量.6思科网络技术学院理事会.会话PortNumbers7思科网络技术学院理事会.数据包过滤当数据包到达过滤数据包的路由器时，路由器会从数据包报头中提取某些信息，根据过滤规则决定该数据包是应该通过还是应该丢弃.ACL可以从数据包报头中提取以下信息，根据规则进行测试，然后决定是“允许”还是“拒绝”：源IP地址目的IP地址ICMP消息类型ACL也可以提取上层信息并根据规则对其进行测试。上层信息包括：TCP/UDP源端口TCP/UDP目的端口8思科网络技术学院理事会.数据包过滤在本场景中，数据包过滤器按如下方式检查每个数据包：如果来自网络A的TCPSYN数据包使用端口80，则允许其通过。但会拒绝用户的所有其它访问。如果来自网络B的TCPSYN数据包使用端口80，则阻止该数据包。但会允许用户的所有其它访问。9思科网络技术学院理事会.ACL是一种路由器配置脚本，它根据从数据包报头中发现的条件来控制路由器应该允许还是拒绝数据包通过.ACL执行以下任务:–限制网络流量以提高网络性能.–提供流量控制。ACL可以限制路由更新的传输.–提供基本的网络访问安全性。ACL可以允许一台主机访问部分网络，同时阻止其它主机访问同一区域。–决定在路由器接口上转发或阻止哪些类型的流量。–控制客户端可以访问网络中的哪些区域。–屏蔽主机以允许或拒绝对网络服务的访问。ACL可以允许或拒绝用户访问特定文件类型，例如FTP或HTTP.10思科网络技术学院理事会.3P原则每种协议一个ACL要控制接口上的流量，必须为接口上启用的每种协议定义相应的ACL。每个方向一个ACL一个ACL只能控制接口上一个方向的流量。要控制入站流量和出站流量，必须分别定义两个ACL。每个接口一个ACL一个ACL只能控制一个接口（例如快速以太网0/0）上的流量。11思科网络技术学院理事会.工作原理ACL工作原理ACL要么配置用于入站流量，要么用于出站流量.•入站ACL传入数据包经过处理之后才会被路由到出站接口。入站ACL非常高效，如果数据包被丢弃，则节省了执行路由查找的开销。当测试表明应允许该数据包后，路由器才会处理路由工作.•出站ACL传入数据包路由到出站接口后，由出站ACL进行处理.12思科网络技术学院理事会.工作原理隐含的“拒绝所有流量”条件语句ACL及路由器上的路由和ACL过程13思科网络技术学院理事会.的类型有两类CiscoACLs,标准的和扩展的.–标准ACLs:标准ACL根据源IP地址允许或拒绝流量.–扩展ACLs:扩展ACL根据多种属性.14思科网络技术学院理事会.的工作原理使用ACL时主要涉及以下两项任务:Step1.通过指定访问列表编号或名称以及访问条件来创建访问列表.Step2.将ACL应用到接口或终端线路.15思科网络技术学院理事会.从CiscoIOS11.2版开始，您可以使用名称来标识CiscoACL.编号200到1299已由其它协议使用.例如，AppleTalk使用编号600到699，而IPX使用编号800到899.16思科网络技术学院理事会.的放置位置每个ACL都应该放置在最能发挥作用的位置。基本的规则是：–将扩展ACL尽可能靠近要拒绝流量的源。这样，才能在不需要的流量流经网络之前将其过滤掉.–因为标准ACL不会指定目的地址，所以其位置应该尽可能靠近目的地.17思科网络技术学院理事会.的一般指导原则ACL的最佳做法思科网络技术学院理事会.输入条件语句值得注意:您应该将最频繁使用的ACL条目放在列表顶部.您必须在ACL中至少包含一条permit语句，否则所有流量都会被阻止.Forexample,图中的两个ACL（101和102）具有相同的效果.20思科网络技术学院理事会.在图中，路由器会检查进入Fa0/0的数据包的源地址:access-list2deny192.168.10.1access-list2permit192.168.10.00.0.0.255access-list2deny192.168.0.00.0.255.255access-list2permit192.0.0.00.255.255.25521思科网络技术学院理事会.命令的完整语法如下:Router(config)#access-listaccess-list-numberdeny/permitremarksource[source-wildcard][log]22思科网络技术学院理事会.通配符掩码位0—匹配地址中对应位的值通配符掩码位1—忽略地址中对应位的值23思科网络技术学院理事会.的关系：反掩码24思科网络技术学院理事会.通配符掩码any和host关键字25思科网络技术学院理事会.应用到接口配置标准ACL之后，可以使用ipaccess-group命令将其关联到接口:Router(config-if)#ipaccess-group{access-list-number|access-list-name}{in|out}26思科网络技术学院理事会.应用到接口Example1:允许单个网络的ACL示例.Example2:查看拒绝特定主机的ACL示例.Example3:查看拒绝特定子网的ACL示例.27思科网络技术学院理事会.访问：access-class命令的语法是:access-classaccess-list-number{in[vrf-also]|out}28思科网络技术学院理事会.您无法选择性地插入或删除语句行.强烈推荐您在文本编辑器（例如，Microsoft记事本）中创建ACL.29思科网络技术学院理事会.对ACL添加注释：30思科网络技术学院理事会.的步骤.Step1.进入全局配置模式，使用ipaccess-list命令创建命名ACL。ACL名称是字母数字，必须唯一而且不能以数字开头.Step2.在命名ACL配置模式下，使用permit或deny语句指定一个或多个条件，以确定数据包应该转发还是丢弃.Step3.使用end命令返回特权执行模式.31思科网络技术学院理事会.showaccess-lists32思科网络技术学院理事会.从CiscoIOS软件第12.3版开始，命名IPACL允许您删除指定ACL中的具体条目.您可以使用序列号将语句插入命名ACL中的任何位置。思科网络技术学院理事会.扩展ACLs为了更加精确地控制流量过滤，您可以使用编号在100到199之间以及2000到2699之间的扩展ACL（最多可使用800个扩展ACL）。您也可以对扩展ACL命名.35思科网络技术学院理事会.测试端口和服务36思科网络技术学院理事会.配置扩展ACL的操作步骤与配置标准ACL的步骤相同—首先创建扩展ACL，然后在接口上激活它.37思科网络技术学院理事会.扩展ACL举例：38思科网络技术学院理事会.应用于接口将扩展ACL应用于接口39思科网络技术学院理事会.怎样建立命名扩展ACLs:Step1.进入全局配置模式，使用ipaccess-listextendedname命令创建命名ACL.Step2.在命名ACL配置模式中，指定您希望允许或拒绝的条件.Step3.返回特权执行模式，并使用showaccess-lists[number|name]命令检验ACL.Step4.（可选）建议您使用copyrunning-configstartup-config命令将条目保存在配置文件中.思科网络技术学院理事会.什么是复杂ACLs?复杂ACL的类型在标准ACL和扩展ACL的基础上构建复杂ACL，从而实现更多功能。图中的表格总结了复杂ACL的三种类型.42思科网络技术学院理事会.什