1第九章ACLR&S—9-2本章提要1.ACL的知识要点2.标准ACL3.扩展ACL4.命名ACL5.基于时间ACL6.动态ACL7.自反ACLR&S—9-3知识要点R&S—9-4ACL概述访问控制列表简称为ACL(AccessControlLists),它使用包过滤技术,在路由器上读取第三层及第四层包头中的信息如源地址、目的地址、源端口、目的端口等,根据预先定义好的规则对包进行过滤,从而达到访问控制的目的。FDDI172.16.0.0172.17.0.0TokenRingInternetACLR&S—9-5ACL功能1.拒绝或允许流入(或流出)的数据流通过特定的接口;2.为DDR应用定义感兴趣的数据流;3.过滤路由更新的内容;4.控制对虚拟终端的访问;5.提供流量控制R&S—9-6ACL如何工作R&S—9-7ACL条件顺序CiscoIOS按照各描述语句在ACL中的顺序,根据各描述语句的判断条件,对数据包进行检查。一旦找到了某一匹配条件,就结束比较过程,不再检查以后的其他条件判断语句。R&S—9-8标准ACL•标准ACL(StandardACL)–检查源地址(ChecksSourceaddress)–允许或拒绝整个协议族(Generallypermitsordeniesentireprotocolsuite)OutgoingPacketGi0/0S0/0/0IncomingPacketAccessListProcessesPermit?SourceR&S—9-9•扩展ACL(ExtendedACL)–检查源和目的地址(ChecksSourceandDestinationaddress)–通常允许或拒绝特定的协议(Generallypermitsordeniesspecificprotocols)OutgoingPacketGi0/0s0/0/0IncomingPacketAccessListProcessesPermit?SourceandDestinationProtocol扩展ACLR&S—9-10标准ACL与扩展ACL比较标准(Standard)扩展(Extended)过滤基于源过滤基于源和目的允许或拒绝整个协议族允许或拒绝特定的IP协议或端口范围(100-199,2000-2699)范围(1-99,1300=1999)R&S—9-11•扩展ACL尽量靠近源•Placeextendedaccesslistsclosetothesource•标准ACL尽量靠近目的•PlacestandardaccesslistsclosetothedestinationE0E0E1S0To0S1S0S1E0E0TokenRingBAC放置ACLDR&S—9-12用扩展ACL检查数据包R&S—9-13常见端口号端口号(PortNumber)协议(Protocol)20文件传输协议(FTP)数据21文件传输协议(FTP)程序23远程登录(Telnet)25简单邮件传输协议(SMTP)69普通文件传送协议(TFTP)80超文本传输协议(HTTP)53域名服务系统(DNS)R&S—9-14通配符掩码1.是一个32比特位的数字字符串2.0表示“检查相应的位”,1表示“不检查相应的位”R&S—9-15特殊的通配符掩码1.Any0.0.0.0255.255.255.2552.Host172.30.16.290.0.0.0Host172.30.16.29R&S—9-16实验1标准ACLR&S—9-17实验目的(1)ACL设计原则和工作过程(2)定义标准ACL(3)应用ACL(4)标准ACL调试R&S—9-18实验拓扑R&S—9-19实验设计1.本实验拒绝PC2所在网段访问路由器R2,同时只允许主机PC3访问路由器R2的TELNET服务。2.整个网络配置EIGRP保证IP的连通性。R&S—9-20实验步骤(1)配置路由器R1:R1(config)#routereigrp1R1(config-router)#network10.1.1.00.0.0.255R1(config-router)#network172.16.1.00.0.0.255R1(config-router)#network192.168.12.0R1(config-router)#noauto-summaryR&S—9-21实验步骤(2)配置路由器R2:R2(config)#routereigrp1R2(config-router)#network2.2.2.00.0.0.255R2(config-router)#network192.168.12.0R2(config-router)#network192.168.23.0R2(config-router)#noauto-summaryR2(config)#access-list1deny172.16.1.00.0.0.255//定义ACLR2(config)#access-list1permitanyR2(config)#interfaceSerial0/0/0R2(config-if)#ipaccess-group1in//在接口下应用ACLR2(config)#access-list2permit172.16.3.1R2(config-if)#linevty04R2(config-line)#access-class2in//在vty下应用ACLR2(config-line)#passwordciscoR2(config-line)#loginR&S—9-22实验步骤(3)配置路由器R3:R3(config)#routereigrp1R3(config-router)#network172.16.3.00.0.0.255R3(config-router)#network192.168.23.0R3(config-router)#noauto-summaryR&S—9-23技术要点(1)ACL定义好,可以在很多地方应用,接口上应用只是其中之一,其它的常用应用包括在routemap中的match应用和在vty下用“access-class”命令调用,来控制telnet的访问;(2)访问控制列表表项的检查按自上而下的顺序进行,并且从第一个表项开始,所以必须考虑在访问控制列表中定义语句的次序;(3)路由器不对自身产生的IP数据包进行过滤;(4)访问控制列表最后一条是隐含的拒绝所有;(5)每一个路由器接口的每一个方向,每一种协议只能创建一个ACL;(6)“access-class”命令只对标准ACL有效。R&S—9-24实验调试在PC1网络所在的主机上ping2.2.2.2,应该通,在PC2网络所在的主机上ping2.2.2.2,应该不通,在主机PC3上TELNET2.2.2.2,应该成功。R2#showipinterfaces0/0/0Serial0/0/0isup,lineprotocolisupInternetaddressis192.168.12.2/24Broadcastaddressis255.255.255.255......OutgoingaccesslistisnotsetInboundaccesslistis1......R2#showipaccess-listsStandardIPaccesslist110deny172.16.1.0,wildcardbits0.0.0.255(11matches)20permitany(405matches)StandardIPaccesslist2匹配条件的数据包的个数10permit172.16.3.1(2matches)R&S—9-25实验2扩展ACLR&S—9-26实验目的(1)定义扩展ACL(2)应用扩展ACL(3)扩展ACL调试R&S—9-27实验拓扑R&S—9-28实验设计1.本实验要求只允许PC2所在网段的主机访问路由器R2的服务,并拒绝PC3所在网段PING路由器R2。2.删除实验1中定义的ACL,保留EIGRP的配置,保证IP的连通性。R&S—9-29实验步骤(1)配置路由器R1:R1(config)#access-list100permittcp172.16.1.00.0.0.255host2.2.2.2eq(config)#access-list100permittcp172.16.1.00.0.0.255host192.168.12.2eq(config)#access-list100permittcp172.16.1.00.0.0.255host192.168.23.2eq(config)#access-list100permittcp172.16.1.00.0.0.255host2.2.2.2eqtelnetR1(config)#access-list100permittcp172.16.1.00.0.0.255host192.168.12.2eqtelnetR1(config)#access-list100permittcp172.16.1.00.0.0.255host192.168.23.2eqtelnetR1(config)#interfaceg0/0R1(config-if)#ipaccess-group100inR&S—9-30实验步骤(2)配置路由器R2:R2(config)#noaccess-list1//删除ACLR2(config)#noaccess-list2R2(config)#iphttpserver//将路由器配置成WEB服务器R2(config)#linevty04R2(config-line)#passwordciscoR2(config-line)#loginR&S—9-31实验步骤(3)配置路由器R3:R3(config)#access-list101denyicmp172.16.3.00.0.0.255host2.2.2.2logR3(config)#access-list101denyicmp172.16.3.00.0.0.255host192.168.12.2logR3(config)#access-list101denyicmp172.16.3.00.0.0.255host192.168.23.2logR3(config)#access-list101permitipanyanyR3(config)#interfaceg0/0R3(config-if)#ipaccess-group101inR&S—9-32技术要点(1)参数“log”会生成相应的日志信息,用来记录经过ACL入口的数据包的情况;(2)尽量考虑将扩展的访问控制列表放在靠近过滤源的位置上,这样创建的过滤器就不会反过来影响其它接口上的数据流。另外,尽量使标准的访问控制列表靠近目的,由于标准访问控制列表只使用源地址,如果将其靠近源会阻止数据包流向其他端口。R&S—9-33实验调试(1)分别在PC2上访问路由器R2的TELNET和服务,然后查看访问控制列表100:R2#showipaccess-listsExtendedIPaccesslist10010permittcp172.16.1.00.0.0.255host2.2.2.2eq(8matches)20permittcp172.16.1.00.0.0.255host192.168.12.2eq(20matches)50permittcp172.16.1.00.0.0.255host12.12.12.2eqtelnet(4matches)60permittcp172.16.1.00.0.0.255host23.23.23.2e