ACL访问控制技术

第9章ACL访问控制技术2本章学习内容9.1ACL概述9.1.1什么是ACL9.1.2ACL的访问顺序（难点）9.1.3ACL的分类9.2ACL的基本配置举例9.2.1标准ACL配置举例(重点)9.2.3扩展ACL配置举例（重难点）9.3本章命令汇总要求：PC1所在网络能访问PC3，PC2所在网络不能访问PC3。要求：PC1所在网络仅能访问PC2的服务器，PC3所在网络仅能访问PC2的FTP服务器，其他计算机都不能访问PC2服务器。59.1ACL概述访问控制列表（AccessControlList，简称ACL）——网络操作系统所提供的一种访问控制技术。ACL原理——ACL使用包过滤技术，在路由器上读取第三层及第四层包头中的信息如源地址、目的地址、源端口、目的端口等，根据预先定义好的规则对包进行过滤，从而达到访问控制的目的。功能——保护资源、阻止非法用户对资源的访问；限制特定用户对资源的访问权限。使用范围——路由器、三层交换机、部分最新的二层交换机都提供ACL支持。ACL语句举例：RA(config)#access-list1permit192.168.0.00.0.0.255RA(config)#access-list1permit10.0.0.00.0.0.255ipaccess-listextendserver-protectPeimittcphost10.1.6.33host10.1.2.21eq1521Denytcp10.1.6.00.0.0.255host10.1.2.21eq1521Peimittcp10.1.0.00.0.255.255host10.1.2.21eq1521Permittcp10.1.0.00.0.255.255host10.1.2.20eq80Peimittcp10.1.0.00.0.255.255host10.1.2.22eq217配置ACL的基本原则：（1）最小特权原则：只给受控对象完成任务所必需的最小的权限；（2）最靠近受控对象原则：所有的网络层访问权限控制尽可能离受控对象最近。8ACL语句的增加与删除ACL由一系列访问控制语句组成。当创建一个ACL列表后，新增加的语句总是放到列表最后。无法删除某一条ACL语句，只能删除整个ACL列表。9ACL的访问顺序按照语句顺序，根据判定条件对数据包进行检查。一旦找到了匹配条件就结束比较过程，不再检查后面的判断条件。如果所有条件语句都不匹配，则在最后强加一条拒绝全部流量的隐含语句，即总是拒绝所有流量。10ACL访问顺序示例协议源地址源端口目的地址目的端口访问权限TCP10.1/16所有10.1.2.20/3280允许TCP10.1/16所有10.1.2.22/3221允许TCP10.1/16所有10.1.2.21/321521允许TCP10.1.6/24所有10.1.2.21/321521禁止TCP10.1.6.33/32所有10.1.2.21/321521允许IP10.1/16N/A所有N/A禁止ipaccess-listextendserver-protectPermittcp10.1.0.00.0.255.255host10.1.2.20eq80Peimittcp10.1.0.00.0.255.255host10.1.2.22ep21Peimittcp10.1.0.00.0.255.255host10.1.2.21eq1521Denytcp10.1.6.00.0.0.255host10.1.2.21eq1521Peimittcphost10.1.6.33host10.1.2.21eq1521Denyip10.1.0.00.0.255.255any能否拒绝10.1.6.0网络中主机访问主机10.1.2.21:1521？ipaccess-listextendserver-protectPeimittcphost10.1.6.33host10.1.2.21eq1521Denytcp10.1.6.00.0.0.255host10.1.2.21eq1521Peimittcp10.1.0.00.0.255.255host10.1.2.21eq1521Permittcp10.1.0.00.0.255.255host10.1.2.20eq80Peimittcp10.1.0.00.0.255.255host10.1.2.22eq21ACL语句定义顺序：先小范围精确匹配，再大范围匹配。13ACL的分类1．标准ACL（standardACL）2．扩展ACL（extendedACL）3．命名ACL4．基于时间的访问控制列表141.标准ACL标准ACL：使用IP包中的源IP地址进行过滤。在思科的路由器上使用的ACL编号为1~99以及1300~1999。151.标准ACL的配置第一步，定义访问控制列表，命令如下：Router(config)#access-listaccess-list-number{permit|deny}source[source-wildcard][log]第二步，把标准ACL应用到一个具体接口。161.标准ACL的配置第一步，定义访问控制列表，命令如下：Router(config)#access-listaccess-list-number{permit|deny}source[source-wildcard][log]标准ACL编号1~99，1300~1999源地址通配符掩码。0—检查相应位；1—不检查相应位。Any表示0.0.0.0255.255.255.255Host172.30.16.29表示172.30.16.290.0.0.0源地址通配符掩码。0—检查相应位；1—不检查相应位。Any表示0.0.0.0255.255.255.255Host172.30.16.29表示172.30.16.290.0.0.0源地址通配符掩码。0—检查相应位；1—不检查相应位。Any表示0.0.0.0255.255.255.255Host172.30.16.29表示172.30.16.290.0.0.0171.标准ACL的配置第一步，定义访问控制列表，命令如下：Router(config)#access-listaccess-list-number{permit|deny}source[source-wildcard][log]生成日志文件181.标准ACL的配置第二步，把标准ACL应用到一个具体接口：Router(config)#intinterfaceRouter(config-if)#{protocol}access-groupaccess-list-number{in|out}例如：Router(config)#access-list1permit10.0.0.00.255.255.255//允许源地址为10.0.0.0网段的数据通过Router(config)#ints1/1Router(config-if)#ipaccess-group1out192.扩展ACL扩展ACL：可以控制源IP，目的IP，源端口，目的端口等。在思科路由器上，扩展ACL的编号为100~199以及2000~2699。缺点——在没有硬件ACL加速的情况下，消耗大量的路由器CPU资源。中低档路由器上尽量减少扩展ACL的条目数。202.扩展ACL的配置第一步，定义访问控制列表，命令：Router(config)#access-listaccess-list-number{permit|deny}protocolsourcesource-wildcard[operatoroperand]destinationdestination-wildcard[operatoroperand][established][log]第二步，把扩展ACL应用到一个具体接口：212.扩展ACL的配置第一步，定义访问控制列表，命令：Router(config)#access-listaccess-list-number{permit|deny}protocolsourcesource-wildcard[operatoroperand]destinationdestination-wildcard[operatoroperand][established][log]扩展ACL编号100~199，2000~2699222.扩展ACL的配置第一步，定义访问控制列表，命令：Router(config)#access-listaccess-list-number{permit|deny}protocolsourcesource-wildcard[operatoroperand]destinationdestination-wildcard[operatoroperand][established][log]指定协议类型—IP,TCP,UDP,ICMP等232.扩展ACL的配置第一步，定义访问控制列表，命令：Router(config)#access-listaccess-list-number{permit|deny}protocolsourcesource-wildcard[operatoroperand]destinationdestination-wildcard[operatoroperand][established][log]源地址及通配符掩码。0—检查相应位；1—不检查相应位。Any表示0.0.0.0255.255.255.255Host172.30.16.29表示172.30.16.290.0.0.0242.扩展ACL的配置——第一步第一步，定义访问控制列表，命令：Router(config)#access-listaccess-list-number{permit|deny}protocolsourcesource-wildcard[operatoroperand]destinationdestination-wildcard[operatoroperand][established][log]第二步，把扩展ACL应用到一个具体接口：目的地址，通配符掩码,0—检查,1—不检查252.扩展ACL的配置——第一步第一步，定义访问控制列表，命令：Router(config)#access-listaccess-list-number{permit|deny}protocolsourcesource-wildcard[operatoroperand]destinationdestination-wildcard[operatoroperand][established][log]第二步，把扩展ACL应用到一个具体接口：lt,gt,eq,neq(小于,大于,等于,不等于)一个端口号或应用名称262.扩展ACL的配置——第一步第一步，定义访问控制列表，命令：Router(config)#access-listaccess-list-number{permit|deny}protocolsourcesource-wildcard[operatoroperand]destinationdestination-wildcard[operatoroperand][established][log]第二步，把扩展ACL应用到一个具体接口：如果数据包使用一个已建立连接，则允许TCP信息通过。扩展ACL命令示例如下：例1：Router(config)#access-list101denytcp172.16.4.00.0.0.255172.16.3.00.0.0.255eq20例2：Router(config)#access-list101permittcp10.1.0.00.0.255.255host10.1.2.20eq80例3：Router(config)#access-list101denyip10.1.0.00.0.255.2