08_1访问控制列表

第8讲访问控制列表主讲：张文科重庆城市管理职业学院信息工程学院重庆城市管理职业学院信息工程学院张文科主要内容访问控制列表的工作原理访问控制列表的作用编号访问控制列表命名访问控制列表重庆城市管理职业学院信息工程学院张文科一、什么是访问控制列表访问控制列表的本质是：定义一些准则，对经过路由器、交换机接口的数据包进行控制：转发或丢弃。准则的定义依据：源目标地址、端口、上层控制比特位访问控制列表的分类：基本访问控制列表•标准•扩展命名访问控制列表这种访问列表基本上是在交换机上面定义重庆城市管理职业学院信息工程学院张文科海关2访问列表的工作原理A国D国E国C国B国海关1海关3海关4假设：A国的邻国的人要出国，都要经过A国A国对过境者要做如下的检测：携带危险物品者-拒绝过境B国持旅游护照到D国人员-允许过境C国持留学护照到E国留学人员-允许过境其它所有人员-拒绝过境重庆城市管理职业学院信息工程学院张文科IPACL的作用内部网与外部网络互联只允许外部网络访问特定的主机；只能在限定的时间端内，允许远程用户访问内部网的特定资源，或者限时段访问互联网资源内部网不同部门之间的互访保证内部关键服务器的安全；限制某些病毒的传播重庆城市管理职业学院信息工程学院张文科IPACL的方向访问控制列表，是对数据流进行控制的方向是从设备的角度来看，设备从该接口接收到数据称为“in”，设备从该接口发送数据称为“out”；每个设备接口的一个方向只能应用一个访问控制列表；方向十分重要，错误的方向定义导致不可思议的结果重庆城市管理职业学院信息工程学院张文科1、对单个访问列表可以使用多条独立的访问列表语句来定义多种准则。其中所有的语句应该使用同一个编号将这些语句绑定到同一个访问列表。配置访问列表需要注意的规则是：A、隐含的“拒绝所有的数据流”准则语句。B、输入准则的顺序。加入的每条准则都被追加到访问列表的最后，语句被创建以后，就无法单独删除它，而只能删除整个访问列表。设备在决定转发还是阻断分组时，按语句创建的次序将分组与语句进行比较，找到匹配的语句后，便不再检查其他准则语句。访问控制列表配置原则重庆城市管理职业学院信息工程学院张文科2、将访问列表应用于接口对于一些协议（如IP,扩展IP），可以最多将两个访问列表应用于同一个接口:一个进站访问列表，一个时出站访问列表；而对于另一些协议，则只能应用一个访问列表，它同时检查进站和出站分组。如果访问列表是针对进站分组的，则当路由器收到分组时，路由器在该访问列表中寻找匹配的准则的语句，如果分组被允许通过，路由器继续处理它，否则丢弃它。如果访问列表示针对出站分组的，则接到并路由分组到出站的接口后，路由器将在该访问列表中寻找匹配的准则语句，如果分组被允许通过，路由器继续处理它，否则丢弃它。访问控制列表配置原则重庆城市管理职业学院信息工程学院张文科协议编号范围IP1-99扩展IP100-199以太类型码，透明桥接（协议类型）200－299编号访问控制列表标准IP访问列表（1－99）主要是根据源地址来进行转发或阻断分组的。扩展IP访问列表（100－199）使用以上三种组合来进行转发或阻断分组的。重庆城市管理职业学院信息工程学院张文科标准访问列表access-list访问列表号{permit|deny}源IP地址段[反码]访问列表号为:1~99只对源IP地址进行控制匹配符（wildcard)缺省为0.0.0.0，0表示精确匹配，1表示忽略例：access-list1permit192.168.1.00.0.0.255重庆城市管理职业学院信息工程学院张文科扩展访问列表access-list访问列表号{permit|deny}协议源IP地址段源反码目的IP地址段目的反码列表号:100~199协议：tcp/udp功能：根据源、目标IP地址，TCP/UDP端口及其它条件对数据进行控制。例：access100denyudp192.168.1.00.0.0.2558000anyanyeq8000重庆城市管理职业学院信息工程学院张文科命名访问列表1、标准访问控制列表：ipaccess-liststand名字premit/deny…..2、扩展访问控制列表：ipaccess-listextend名字permit/deny…..重庆城市管理职业学院信息工程学院张文科1、标准访问控制列表：路由器：access-list1-99deny(permit)地址反码交换机：ipaccess-liststand名字premit/deny…..如：路由器：access-list1deny192.168.1.00.0.0.255交换机：ipaccess-liststandacl_namedeny192.168.1.00.0.0.255交换机与路由器配置acl指令的差异：重庆城市管理职业学院信息工程学院张文科2、扩展访问控制列表：路由器：access-list100-199deny(permit)地址反码交换机：ipaccess-listextend名字permit/deny…..如：路由器：access-list100denyip192.168.1.00.0.0.255192.168.2.00.0.0.255交换机：ipaccess-listextendacl_namedenyip192.168.1.00.0.0.255192.168.2.00.0.0.255交换机与路由器配置acl指令的差异：重庆城市管理职业学院信息工程学院张文科把访问控制列表应用到接口要把访问列表应用到接口，就要先进入相应的接口子层。如下指令说明把一个编号为101的访问列表应用到路由器的f1/0口。Interfacef1/0ipacc101in注：如果是交换机，应用方式方法与路由器相同，不同之处在于交换机的接口命名与路由器有所差异。重庆城市管理职业学院信息工程学院张文科在一个局域网内，不允许不同vlan之间互相访问。实际应用：在我们的网络实验室里面，不同的rack包只能登录他们自己的acs而不能登录到别的acs上。实例1重庆城市管理职业学院信息工程学院张文科内网中不同网段不允许访问ipaccex101permitip172.16.11.00.0.0.255host172.16.1.1permitip172.16.11.00.0.0.255host172.16.11.1permitip172.16.12.00.0.0.255host172.16.12.1permitip172.16.12.00.0.0.255host172.16.2.1permitip172.16.13.00.0.0.255host172.16.3.1permitip172.16.13.00.0.0.255host172.16.13.1denyipanyany重庆城市管理职业学院信息工程学院张文科防止一些已知端口的蠕虫病毒，如果端口号未知可以用sniffer抓包分析。例2：重庆城市管理职业学院信息工程学院张文科access-list101denytcpanyanyeq135access-list101denytcpanyanyeq136access-list101denytcpanyanyeq137access-list101denytcpanyanyeq138access-list101denytcpanyanyeq139access-list101denytcpanyanyeq445access-list101denyudpanyanyeq135access-list101denyudpanyanyeq136access-list101denyudpanyanyeqnetbios-nsaccess-list101denyudpanyanyeqnetbios-dgmaccess-list101denyudpanyanyeq139access-list101denyudpanyanyeqtftpaccess-list101permitipanyany路由器配置重庆城市管理职业学院信息工程学院张文科ipaccess-listextended101denytcpanyanyeq135denytcpanyanyeq136denytcpanyanyeq137denytcpanyanyeq138denytcpanyanyeq139denytcpanyanyeq445denyudpanyanyeq135denyudpanyanyeq136denyudpanyanyeqnetbios-nsdenyudpanyanyeqnetbios-dgmdenyudpanyanyeqnetbios-ssdenyudpanyanyeqtftppermitipanyany交换机配置重庆城市管理职业学院信息工程学院张文科IPACL的其它应用除了做IP访问控制外；QOS的业务流分类；路由协议重分布的路由选择；等等