Cisco课件第6课.ppt

第第6 6课课 访问控制列表访问控制列表教学目标教学目标nAccess Control ListAccess Control Listn访问列表（访问列表（ACLACL）的作用）的作用n访问列表的分类访问列表的分类n标准访问列表的应用及配置标准访问列表的应用及配置n扩展访问列表的应用及配置扩展访问列表的应用及配置n应用应用ACLACL控制和管理通信流量控制和管理通信流量1.1访问列表的概念访问列表的概念n1.1.访问列表的定义访问列表的定义是一系列运用网络地址或者上层协议上的允许或拒绝是一系列运用网络地址或者上层协议上的允许或拒绝指令的集合指令的集合这些指令将运用到网络地址或者上层协议上这些指令将运用到网络地址或者上层协议上这些指令告诉路由器接受哪些数据报而拒绝哪些数据这些指令告诉路由器接受哪些数据报而拒绝哪些数据报。报。ACLACL使得用户能够管理数据流，检测特定的数据报。使得用户能够管理数据流，检测特定的数据报。接受或者拒绝根据一定的规则进行，如源地址，目标接受或者拒绝根据一定的规则进行，如源地址，目标地址，端口号等。地址，端口号等。路由器将根据路由器将根据ACLACL中指定的条件，对经过路由器端口的中指定的条件，对经过路由器端口的数据报进行检查。数据报进行检查。nACLACL可以基于所有的可以基于所有的Routed ProtocolsRouted Protocols，如，如IPIP，IPXIPX，对经，对经过路由器的数据报进行过滤。过路由器的数据报进行过滤。访问列表应用图例访问列表应用图例访问列表应用图例访问列表应用图例1.2访问控制列表的作用访问控制列表的作用nACLACL具有灵活的基本数据流过滤能力和特定的控制能力。具有灵活的基本数据流过滤能力和特定的控制能力。n访问列表可以控制非法的网络访问，允许正常的网络访问访问列表可以控制非法的网络访问，允许正常的网络访问n路由器提供了基本的数据流过滤能力路由器提供了基本的数据流过滤能力如使用访问控制列表（如使用访问控制列表（ACLACL），可以有条件地阻止），可以有条件地阻止InternetInternet数据流。数据流。n在路由器接口处，决定哪种类型的通信流量被转发、哪种在路由器接口处，决定哪种类型的通信流量被转发、哪种类型的通信流量被阻塞类型的通信流量被阻塞ACLACLACLACL需求需求需求需求n限制网络数据流，增加网络性能。限制网络数据流，增加网络性能。列队管理列队管理n根据不同的协议，根据不同的协议，ACLACL可以指定路由器优先处理哪可以指定路由器优先处理哪些数据报些数据报n路由器可以不处理不需要的数据报路由器可以不处理不需要的数据报n队列管理限制了网络数据流，减少了网络拥塞队列管理限制了网络数据流，减少了网络拥塞n提供数据流控制。提供数据流控制。ACLACL可以限定或者减少路由更新的内容。可以限定或者减少路由更新的内容。n为网络访问提供基本的安全层。为网络访问提供基本的安全层。ACLACL可以允许某个主机访问网络的某一部分，而阻止另可以允许某个主机访问网络的某一部分，而阻止另一台主机访问网络的这个部分。一台主机访问网络的这个部分。n决定转发或者阻止哪些类型的数据流。决定转发或者阻止哪些类型的数据流。可以允许路由可以允许路由e_maile_mail数据流，而阻止数据流，而阻止telnettelnet数据流数据流1.3 ACL1.3 ACL定义的原则定义的原则nACLACL在路由器的端口过滤网络数据流，决定是否转发或者在路由器的端口过滤网络数据流，决定是否转发或者阻止数据报。阻止数据报。nACLACL应该根据路由器的端口所允许的每个协议来制定。如应该根据路由器的端口所允许的每个协议来制定。如果需要控制流经某个端口的所有数据流，就需要为该端口果需要控制流经某个端口的所有数据流，就需要为该端口允许的每一个协议分别创建允许的每一个协议分别创建ACLACL。例如，如果端口配置成允许例如，如果端口配置成允许IP,AppletalkIP,Appletalk和和IPXIPX协议的协议的数据流，那么就需要创建至少三个数据流，那么就需要创建至少三个ACLACL。nACLACL可以用作控制和过滤流经路由器端口的数据报的工具可以用作控制和过滤流经路由器端口的数据报的工具1.4 ACL1.4 ACL指令的配置原则指令的配置原则nACLACL中的指令以按顺序执行的中的指令以按顺序执行的先满足条件则之后的指令不执行先满足条件则之后的指令不执行n配置配置ACLACL指令时，要先配置最严格的条件、之后较松的条指令时，要先配置最严格的条件、之后较松的条件件n对于某些协议，可以创建多个对于某些协议，可以创建多个ACLACL：一个用于过滤进入端口的数据流一个用于过滤进入端口的数据流inboundinbound，一个用于过滤流出端口的数据流一个用于过滤流出端口的数据流outboundoutbound2.1ACL2.1ACL指令指令n一个一个ACLACL就是一组指令，规定数据报如何：就是一组指令，规定数据报如何：进入路由器的某个端口进入路由器的某个端口在路由器内的转送在路由器内的转送离开路由器的某个端口离开路由器的某个端口nACLACL允许控制哪些客户端可以访问的网络。在允许控制哪些客户端可以访问的网络。在ACLACL中的条件中的条件可以是：可以是：筛选某些主机允许或者禁止访问的部分网络筛选某些主机允许或者禁止访问的部分网络允许或者禁止用户访问某一类协议，如允许或者禁止用户访问某一类协议，如FTPFTP，HTTPHTTP等。等。2.2ACL2.2ACL的工作流程的工作流程n无论是否使用无论是否使用ACLACL，开始的通信过程是相同的。，开始的通信过程是相同的。n当一个数据报进入一个端口，路由器检查这个数据报是否当一个数据报进入一个端口，路由器检查这个数据报是否可路由。可路由。如果是可以路由的，路由器检查这个端口是否有如果是可以路由的，路由器检查这个端口是否有ACLACL控控制进入数据报。制进入数据报。如果有，根据如果有，根据ACLACL中的条件指令，检查这个数据报。中的条件指令，检查这个数据报。如果数据报是被允许的，就查询路由表，决定数据报如果数据报是被允许的，就查询路由表，决定数据报的目标端口。的目标端口。n路由器检查目标端口是否存在路由器检查目标端口是否存在ACLACL控制流出的数据报控制流出的数据报不存在，这个数据报就直接发送到目标端口。不存在，这个数据报就直接发送到目标端口。如果存在，就再根据如果存在，就再根据ACLACL进行取舍。进行取舍。ACLACLACLACL的工作流程的工作流程的工作流程的工作流程ACLACLACLACL条件顺序条件顺序条件顺序条件顺序Cisco IOS按照各描述语按照各描述语句在句在ACL中的顺序，根据中的顺序，根据各描述语句的判断条件，各描述语句的判断条件，对数据包进行检查。一旦对数据包进行检查。一旦找到了某一匹配条件，就找到了某一匹配条件，就结束比较过程，不再检查结束比较过程，不再检查以后的其他条件判断语句。以后的其他条件判断语句。ACLACLACLACL分类分类分类分类n标准标准ACLACL检查源地址检查源地址允许或拒绝整个协议族允许或拒绝整个协议族标准标准ACLACL（数字（数字1 1到到9999），可以提供数据流过滤控制。），可以提供数据流过滤控制。它是基于源地址和通配掩码。标准它是基于源地址和通配掩码。标准ACLACL可以允许或禁止可以允许或禁止整套整套IPIP协议。协议。OutgoingPacketfa0/0S0/0IncomingPacketAccess List ProcessesPermit?Source3.1 ACL3.1 ACL分类分类n扩展扩展ACLACL检查源和目的地址检查源和目的地址通常允许或拒绝特定的协议通常允许或拒绝特定的协议为了更加精确的数据流过滤，需要扩展为了更加精确的数据流过滤，需要扩展ACLACL。扩。扩展展ACLACL检查源地址和目标地址，以及检查源地址和目标地址，以及TCPTCP或或UDPUDP端端口号。还可以指定扩展口号。还可以指定扩展ACLACL针对特定的协议的进针对特定的协议的进行操作。行操作。扩展扩展ACLACL使用的数字范围是：使用的数字范围是：100-199100-199。OutgoingPacketFa0/0s0/0IncomingPacketAccess List ProcessesPermit?Sourceand DestinationProtocol用扩展用扩展用扩展用扩展ACLACLACLACL检查数据包检查数据包检查数据包检查数据包常见端口号常见端口号常见端口号常见端口号端口号端口号(Port NumberPort Number)2020文件传输协议（文件传输协议（FTPFTP）数据数据2121文件传输协议（文件传输协议（FTPFTP）程序程序2323远程登录（远程登录（TelnetTelnet）2525简单邮件传输协议（简单邮件传输协议（SMTPSMTP）6969普通文件传送协议（普通文件传送协议（TFTPTFTP）80超文本传输协议超文本传输协议(HTTP)5353域名服务系统（域名服务系统（DNSDNS）ACLACLACLACL表号表号表号表号协议（协议（ProtocolProtocol）ACLACL表号的取值范围表号的取值范围（ACL RangeACL Range）IPIP（InternetInternet协议）协议）1-991-99Extended IP(Extended IP(扩展扩展InternetInternet协议协议)100-199100-199AppleTalkAppleTalk600-699600-699IPXIPX（互联网数据包交换）互联网数据包交换）800-899800-899Extended IPX(Extended IPX(扩展互联网数据包扩展互联网数据包交换交换)900-999900-999IPX service Advertising IPX service Advertising Protocol(IPXProtocol(IPX服务通告协议服务通告协议)1000-10991000-1099通配符掩码通配符掩码通配符掩码通配符掩码n1.1.是一个是一个3232比特位的数字字符串比特位的数字字符串n2.02.0表示表示“检查相应的位检查相应的位”,1,1表示表示“不检查（忽略）相应不检查（忽略）相应的位的位”特殊的通配符掩码特殊的通配符掩码特殊的通配符掩码特殊的通配符掩码n1.Any1.Any0.0.0.0 255.255.255.2550.0.0.0 255.255.255.255n2.Host 172.30.16.29 0.0.0.02.Host 172.30.16.29 0.0.0.0nHost 172.30.16.29Host 172.30.16.29ACLACLACLACL的配置的配置的配置的配置n创建一个创建一个ACLACL访问控制访问控制Router(Router(configconfig)#access-list)#access-list access_list_numberaccess_list_number permit|denypermit|deny test_conditionstest_conditions n将访问控制绑定到接口上将访问控制绑定到接口上Router(Router(configconfig-if-if)#protocol access-group)#protocol access-group access_list_numberaccess_list_number in|outin|out n关闭访问控制列表关闭访问控制列表Router(Router(configconfig)#no access-list)#no access-list access_list_numberaccess_list_number创建标准创建标准创建标准创建标准ACLACLACLACLnRouter(configRouter(config)#access-list)#access-list access-list-numberaccess-list-number deny|permit deny|permit source source source-wildcard logsource-wildcard log例如：例如：access-list 1 permit 172.16.0.0 access-list 1 permit 172.16.0.0 0.0.255.255 0.0.255.255 n删除访问列表删除访问列表Router(configRouter(config)#no access-list access-list-)#no access-list access-list-number number 例如：例如：no access-list 1no access-list 1实例分析实例分析实例分析实例分析n实例实例1 1：E0E0和和E1E1端口只允许来自于网络端口只允许来自于网络172.16.0.0172.16.0.0的数据的数据报被转发，其余的将被阻止。报被转发，其余的将被阻止。n实例实例2 2：E0E0端口不允许来自于特定地址端口不允许来自于特定地址172.16.4.13172.16.4.13的数据的数据流，其它的数据流将被转发。流，其它的数据流将被转发。n实例实例3 3：E0E0端口不允许来自于特定子网端口不允许来自于特定子网172.16.4.0172.16.4.0的数据，的数据，而转发其它的数据。而转发其它的数据。172.16.3.0172.16.4.0172.16.4.13E0S0E1Non-172.16.0.0实例实例实例实例1 1 1 1的禁止一个协议簇的禁止一个协议簇的禁止一个协议簇的禁止一个协议簇n第一个第一个ACLACL命令用命令用“permitpermit”允许来自于此指定网络的数允许来自于此指定网络的数据流，通配掩码据流，通配掩码0.0.255.2550.0.255.255表明要检查匹配表明要检查匹配IPIP地址中的地址中的网络位（前网络位（前1616位）。位）。n最后将最后将ACLACL关联到端口关联到端口E0E0和和E1E1。access-list 1 permit 172.16.0.0 0.0.255.255(implicit deny all-not visible in the list)(access-list 1 deny 0.0.0.0 255.255.255.255)interface ethernet 0ip access-group 1 outinterface ethernet 1ip access-group 1 out实例实例实例实例2 2 2 2：禁止来自特定地址的数据：禁止来自特定地址的数据：禁止来自特定地址的数据：禁止来自特定地址的数据n第一个第一个ACLACL命令用命令用“denydeny”禁止来自于此指定主机的数据禁止来自于此指定主机的数据流，通配掩码流，通配掩码0.0.0.00.0.0.0表明要检查匹配地址中的所有的位。表明要检查匹配地址中的所有的位。n第二个第二个ACLACL命令中，命令中，“0.0.0.0 255.255.255.2550.0.0.0 255.255.255.255”IPIP地址地址和通配掩码组合，表示允许来自于任何源的数据流。这个和通配掩码组合，表示允许来自于任何源的数据流。这个组合，也可以用关键字组合，也可以用关键字“anyany”替代。替代。n最后将最后将ACLACL关联到端口关联到端口E0E0。access-list 1 deny 172.16.4.13 0.0.0.0 access-list 1 permit 0.0.0.0 255.255.255.255(implicit deny all)(access-list 1 deny 0.0.0.0 255.255.255.255)interface ethernet 0ip access-group 1 out小结小结n访问控制列表的作用访问控制列表的作用n访问控制列表的定义访问控制列表的定义n访问列表的分类访问列表的分类n访问列表的工作流程访问列表的工作流程n标准访问列表的定义访法标准访问列表的定义访法