电子教案09访问控制列表的配置.ppt

第9章 访问控制列表的配置,第9章访问控制列表的配置,学习目的与要求：互联网的开放性决定了网络上的数据可以任意流动，但有时候需要对数据进行控制。通过设置访问控制列表来控制和过滤通过路由器的信息流是的一种方法。本章主要讲述使用标准访问控制列表和扩展访问控制列表控制网络流量的方法，同时提供了标准访问控制列表和扩展访问控制列表以及在路由接口应用ACL的例子。完成本章的学习，你将能够：描述访问控制列表的分类及其工作过程 会根据应用需求配置各种访问控制列表,第9章 访问控制列表的配置,9.1 访问控制列表9.2 配置标准访问控制列表9.3 配置扩展访问控制列表9.4 命名的访问列表本章小结本章习题本章实训,9.1 访问控制列表,访问控制列表简称ACL(Access Control Lists)，配置路由器的访问控制列表是网络管理员一件经常性的工作。本节介绍ACL的概念、功能及其工作原理。,9.1.1 ACL概述,访问控制列表(ACL)使用包过滤技术，在路由器上读取第3层或第4层包头中的信息，如源地址、目的地址、源端口、目的端口以及上层协议等，根据预先定义的规则决定哪些数据包可以接收、哪些数据包需要拒绝，从而达到访问控制的目的。,ACL的功能 检查和过滤数据包。ACL通过将访问控制列表应用到路由器接口来管理流量和检查特定的数据包。任何经过该接口的流量都要接受ACL中规则的检测，以此决定被路由的分组是被转发还是被丢掉，从而过滤网络流量。例如，可以允许E-mail流量被路由，但同时阻塞所有Telnet流量。限制网络流量，提高网络性能。ACL能够按照优先级或用户队列处理数据包。通过排队确保路由器不去处理那些不需要的分组。排队限制了网络流量，减少了网络拥塞。限制或减少路由更新的内容。ACL能够限定或简化路由器选择更新的内容，这些限定常用于限定关于特定网络的信息通过网络传播。提供网络访问的基本安全级别。通过在路由器上配置ACL，可以允许一个主机访问网络的一部分，而阻止其他主机访问相同的区域。,配置ACL的原则 顺序处理原则。对ACL表项的检查是按照自上而下的顺序进行的，从第一行起，直到找到第一个符合条件的行为止，其余的行不再继续比较。因此必须考虑在访问控制列表中放入语句的次序，比如测试性的语句最好放在ACL的最顶部。最小特权原则。对ACL表项的设置应只给受控对象完成任务所必须的最小的权限。如果没有ACL，则等于permit any。一旦添加了ACL，默认在每个ACL中最后一行为隐含的拒绝(deny any)。如果之前没找到一条许可(permit)语句，意味着包将被丢弃。所以每个ACL必须至少有一行permit语句，除非用户想将所有数据包丢弃。最靠近受控对象原则。尽量考虑将扩展的ACL放在靠近源地址的位置上。这样创建的过滤器就不会反过来影响其他接口上的数据流。另外，尽量使标准的ACL靠近目的地址，由于标准ACL只使用源地址，如果将其靠近源会阻止报文流向其他端口。,9.1.2 ACL的工作原理,图9-2 ACL匹配性检查,9.2 配置标准访问控制列表,最广泛使用的访问控制列表是IP访问控制列表，IP访问控制列表工作于TCP/IP协议组。按照访问控制列表检查IP数据包参数的不同，可以将其分成标准ACL和扩展ACL两种类型。此外Cisco IOS 11.2版本中还引入了IP命名ACL类型。从本节开始分别介绍各种ACL的配置方法。,9.2.1 标准ACL的工作过程,图9-3 标准ACL的工作过程,9.2.2 配置标准ACL,1.定义标准ACLRouter(config)#access-list access-list-number deny|permit source source-wildcard log其中的参数见表9.12将标准ACL应用到某一接口上Router(config-if)#ip access-group access-list-number in|out 其中，参数in和out表示ACL作用在接口上的方向，两者都是以路由器作为参照物的，如果in和out都没有指定，那么默认为out。注意：在每个接口、每个协议、每个方向上只能有一个访问控制列表。3.删除已建立的标准ACLRouter(config)#no access-list access-list-number,表9.1 标准ACL参数及描述,关于通配符掩码的使用说明,表示成4位点分十进制形式。默认的通配符掩码为0.0.0.0。在通配符掩码位中，0表示“检查相应的位”，而1表示“不检查(忽略)相应的位”。比如，源地址和通配符掩码为172.16.30.0 0.0.0.255，表示路由器前3个8位组必须精确匹配，最后1个8位组的值可以任意。再如，如要指定IP地址为从172.16.16.0到172.16.31.0之间的所有子网，则通配符掩码为0.0.15.255(31-16=15)。any可以表示任何IP地址，例如：Router(config)#access-list 10 permit any host表示一台主机，例如：Router(config)#access-list 10 permit host 172.16.30.22,标准ACL配置示例一,某企业销售部、市场部的网络和财务部的网络通过路由器RTA和RTB相连，整个网络配置RIPv2路由协议，保证网络正常通信。要求在RTB上配置标准ACL，允许销售部的主机PC1访问路由器RTB，但拒绝销售部的其他主机访问RTB，允许销售部、市场部网络上所有其他流量访问RTB。,图9-4 标准ACL配置,配置步骤如下：,(1)配置标准ACL在路由器上RTB上配置如下：RTB(config)#access-list 1 permit host 172.16.10.10RTB(config)#access-list 1 deny 172.16.10.0 0.0.0.255RTB(config)#access-list 1 permit anyRTB(config)#interface s0/0/0RTB(config-if)#ip access-group 1 in(2)验证标准ACL show access-lists命令RTB#show access-listsshow ip interface命令RTB#show ip interface,标准ACL配置示例二,利用标准ACL限制虚拟终端访问的问题。配置一个VTY访问控制列表，只允许网络192.168.1.0/24中的主机192.168.1.100 telnet路由器RTA。,图9-5 用标准ACL限制Telnet访问,配置方法如下：,RTA(config)#access-list 10 permit host 192.168.1.100 RTA(config)#line vty 0 4RTA(config-line)#password ciscoRTA(config-line)#loginRTA(config-line)#access-class 10 in,注意：在配置接口的访问时可以使用数字表号的或者命名的ACL只有数字的访问列表才可以应用到虚拟连接中 用户可以连接所有的VTY，因此所有的VTY连接都应用相同的ACL,9.3 配置扩展的ACL,扩展ACL比标准ACL功能更强大，使用得更广泛，因为它可以基于分组的源地址、目的地址、协议类型、端口号和应用来决定访问是被允许或者拒绝，因而扩展ACL比标准ACL提供了更广阔的控制范围和更多的处理方法。,9.3.1 扩展ACL的工作过程,图9-6 扩展ACL的工作过程,9.3.2 配置扩展ACL,1定义扩展ACL Router(config)#access-list access-list-number deny|permit protocol source source-wildcard destination destination-wildcard operator operand established 其中的参数说明见表9.2。2.将扩展ACL应用到某一接口上 Router(config-if)#ip access-group access-list-number in|out 3.删除扩展ACLRouter(config)#no access-list access-list-number,表9.2 扩展ACL参数及描述,表9.3 一些保留的TCP/UDP端口号,扩展ACL配置示例,某企业销售部的网络和财务部的网络通过路由器RTA和RTB相连，整个网络配置RIPv2路由协议，保证网络正常通信。要求在RTA上配置扩展ACL，实现以下4个功能：(1)允许销售部网络172.16.10.0的主机访问WWW Server 192.168.1.10；(2)拒绝销售部网络172.16.10.0的主机访问FTP Server 192.168.1.10；(3)拒绝销售部网络172.16.10.0的主机Telnet路由器RTB；(4)拒绝销售部主机172.16.10.10Ping路由器RTB。,图9-7 扩展ACL的配置,配置方法如下：,RTA(config)#access-list 100 permit tcp 172.16.10.0 0.0.0.255 host 192.168.1.10 eq 80RTA(config)#access-list 100 deny tcp 172.16.10.0 0.0.0.255 host 192.168.1.10 eq 20RTA(config)#access-list 100 deny tcp 172.16.10.0 0.0.0.255 host 192.168.1.10 eq 21RTA(config)#access-list 100 deny tcp 172.16.10.0 0.0.0.255 host 12.12.12.2 eq 23RTA(config)#access-list 100 deny tcp 172.16.10.0 0.0.0.255 host 192.168.1.2 eq 23RTA(config)#access-list 100 deny icmp host 172.16.10.10 host 12.12.12.2 RTA(config)#access-list 100 deny icmp host 172.16.10.10 host 192.168.1.2 RTA(config)#access-list 100 permit ip any anyRTA(config)#interface f0/0RTA(config-if)#ip access-group 100 in,9.4 命名的访问控制列表,Cisco IOS软件11.2版本中引入了IP命名ACL，命名ACL允许在标准ACL和扩展ACL中使用一个字母数字组合的字符串(名字)代替前面所使用的数字来表示ACL表号。使用命名ACL有以下的好处：不受99条标准ACL和100条扩展ACL的限制 网络管理员可以方便地对ACL进行修改，而无须删除ACL之后再对其进行重新配置,配置命名访问控制列表步骤一：Router(config)#ip access-list extended|standard name步骤二：Router(config-std-|ext-nacl)#permit source source-wildcard|any或Router(config-std-|ext-nacl)#deny source source-wildcard|any,命名ACL配置示例,图9-8 命名ACL网络配置拓扑,1.配置标准命名ACL,要求：在路由器RTA上进行配置，以阻塞来自某部门子网192.168.1.0/24的通信流量，而允许转发所有其他部门的通信流量。RTA(config)#ip access-list standard acl_stdRTA(config-std-nacl)#deny 192.168.1.0 0.0.0.255RTA(config-std-nacl)#permit anyRTA(config-std-nacl)#exitRTA(config)#interface f0/0RTA(config-if)#ip access-group acl_std in,2.配置扩展命名ACL,要求：只需拒绝该部门子网中的FTP和Telnet通信流量通过f0/0 RTA(config)#ip acess-list extended acl_extRTA(config-ext-nacl)#deny tcp 192.168.1.0 0.0.0.255 any eq 21RTA(config-ext-nacl)#deny tcp 192.168.1.0 0.0.0.255 any eq 20RTA(config-ext-nacl)#deny tcp 192.168.1.0 0.0.0.255 any eq 23RTA(config-ext-nacl)#permit ip any any RTA(config-ext-nacl)#exitRTA(config)#interface f0/0RTA(config-if)#ip access-group acl_ext in,利用命名ACL删除指定的语句示例,命名ACL允许删除任意指定的语句，但新增的语句只能被放到ACL的结尾处。下面的例子说明了如何删除和新增ACL语句。Router(config)#ip access-list extended testRouter(config-ext-nacl)#permit ip host 1.1.1.1 host 2.2.2.2Router(config-ext-nacl)#permit tcp any host 5.5.5.5 eq wwwRouter(config-ext-nacl)#permit icmp any anyRouter(config-ext-nacl)#permit udp any host 10.10.10.1 eq tftpRouter(config-ext-nacl)#zRouter#show access-listsRouter#configure terminalRouter(config)#ip access-list extended testRouter(config-ext-nacl)#no permit icmp any anyRouter(config-ext-nacl)#permit tcp any host 10.10.10.5 eq telnetRouter(config-ext-nacl)#zRouter#show access-lists,本章小结,访问控制列表使用包过滤技术，在路由器上读取第3层或第4层包头中的信息，如源地址、目的地址、源端口、目的端口以及上层协议等，根据预先定义的规则决定哪些数据包可以接收、哪些数据包需要拒绝，从而达到访问控制的目的。在路由器上实现的访问控制列表是一个连续的条件判断语句的集合，这些语句对数据包的地址或上层协议进行网络通信流量的控制，从而提供基本的网络通信流量过滤的能力，对网络安全起到很好的保护作用。标准ACL只检查可以被路由的数据包的源地址，从而允许或拒绝基于网络、子网或主机IP地址的某一协议通过路由器出口。扩展ACL可以基于分组的源地址、目的地址、协议类型、端口号和应用来决定访问是被允许或者拒绝。它比标准ACL功能更强大，使用得更广泛。命名ACL允许在标准ACL和扩展ACL中使用一个字母数字组合的字符串(名字)代替前面所使用的数字来表示ACL表号。使用命名ACL的优点是不受99条标准ACL和100条扩展ACL的限制，同时，网络管理员可以方便地对ACL进行修改,本章习题,一、填空题1ACL分为 和 两种类型。2当应用ACL时，以 为参照物区分in 和out的方向。3ACL最后一条隐含。4标准ACL的编号范围是，扩展ACL的编号范围是。5any的含义是，它与 语句等同。6host的含义是，它与 语句等同。7如果用户想指定IP地址为从192.168.10.0到192.168.35.0之间的所有子网，则通配符掩码为。8利用标准ACL可以控制Telnet会话，把ACL应用到虚拟端口上使用的命令是。,本章习题,二、简答题1如何理解ACL的工作过程？2标准ACL和扩展ACL的有何区别和联系？3配置标准ACL和扩展ACL的一般过程是什么？4如何配置标准ACL以控制Telnet会话？,本章实训,一、实训目的1.掌握ACL设计原则和工作过程2.掌握配置标准ACL3.掌握配置扩展ACL4.掌握配置命名ACL5.掌握ACL的调试,本章实训,二、实训拓扑,图9-9 配置ACL的实验图,本章实训,三、实训内容1.配置标准ACL。要求拒绝PC2所在网段访问路由器RTB，同时只允许主机PC3访问路由器RTB的Telnet服务。整个网络配置EIGRP保证IP的连通性；2.删除内容1所定义的标准ACL，配置扩展ACL。要求只允许PC2所在网段的主机访问路由器RTB的WWW和Telnet服务，并拒绝PC3所在的网段ping路由器RTB；3.用命名ACL来实现(1)和(2)的要求。,