第二章 访问控制列表ACL

使用访问控制列表(ACL)管理IP流量模块6目标本模块完成后,你能:•对于一个给定的路由器,你能使用IOS命令配置标准访问列表和扩展访问列表,并能熟练的应用NAT/PAT(网络地址转换/端口地址转换)来访问外部网络.•使用show命令显示访问控制列表的内容;并通过观察记数器的数值来确定访问列表条目是否生效,从而明白你是否做的正确©2002,CiscoSystems,Inc.Allrightsreserved.3AccessLists(访问列表)和它们的应用目标完成本章后,你能:•解释访问列表的目的并知晓他们常用的应用.•描述CISCOIOS软件系统是如何在接口的”in”或”out”方向上处理标准和扩展访问列表的.•当网络快速增长时,ACL能够更好地为企业控制流量的入出.•为穿越路由器或交换机的流量实施过滤.为什么使用访问控制列表(ACL)?应用到路由器接口上控制数据流的通过:•Permit(允许)或deny(拒绝)分组穿越路由器.•允许或拒绝到路由器的vty(虚拟终端)访问.•如果没有访问控制列表,所有的数据流都能穿越路由器的接口随意访问.访问列表（ACL）的应用•依照企业策略对各种不同类型的分组在不同情况下实行专门的控制。访问列表的其他应用•标准访问列表（standardaccesslists)–只检查分组的源地址信息–允许或拒绝的是整个协议栈•扩展访问列表（extendedaccesslists)–可以同时检查源和目的地址信息–可针对于三层或四层协议信息进行控制，是目前使用非常广泛的安全控制方法。访问控制列表的类型如何识别标准和扩展访问列表•标准IP访问列表(1-99)：只使用源地址信息来做过滤决定.•扩展IP访问列表(100-199)：可以根据源和目的IP地址、协议类型、源和目的端口等信息综合作出过滤决定.•延伸的标准IP访问列表编号：1300-1999.•延伸的扩展IP访问列表编号：2000-2699.•其他的访问列表号码用来进行其他二层或三层网络协议的过滤。•命名的IP访问控制列表：以列表名代替列表编号来定义IP访问控制列表，同样包括标准和扩展两种列表，定义过滤的语句与编号方式相似。使用标准访问列表对分组实施过滤使用扩展访问控制列表对分组实施过滤出站ACL是如何工作的？•如果没有任何ACL条目相匹配，则缺省丢弃此分组。ACL的过滤流程:拒绝或允许•0表示检查相应的位.•1表示不检查（忽略）相应的位.通配符掩码位:如何检查相应的地址位•例如,172.30.16.290.0.0.0检查所有的地址位.•在访问控制列表中可以简写为host172.30.16.29.•检查所有的地址位(匹配所有).•检查一个IP主机地址,例如:通配符掩码匹配特定的主机地址•接受任何地址:0.0.0.0255.255.255.255•可以缩写为：any.•测试条件:忽略所有的地址位(匹配所有).•AnIPhostaddress,forexample:通配符掩码匹配任何IP地址•如果你想实施路由通告过滤,可以使用ACL结合路由通告命令对需要通过的子网路由进行过滤.比如你想让下列路由信息通过:172.30.16.0/24to172.30.31.0/24.•地址和通配符掩码:172.30.16.00.0.15.255使用通配符掩码匹配IP子网总结•访问列表是实施各种网络控制的强大的工具；不仅对数据包通过路由器接口实施安全控制，而且可以起到控制路由信息的发布和节省带宽的作用。•一个ACL是一组允许或拒绝的判断语句的集合；它可以根据数据报的三层或四层协议信息进行流量的过滤。ACL可以对通过路由器或到达路由器的流量进行过滤，但对路由器自身产生的流量不能起到过滤作用。•ACL作为一种安全控制的可选手段，网络管理员可以根据企业的实际需要做流量的允许或拒绝操作。总结(继续)•Inbound(入站)访问列表是先对数据报实施允许还是拒绝的操作,如果允许的话再路由到路由器的相应出口.而outbound(出站)访问列表是先路由数据包,再根据出口的访问规则实行数据包的允许还是拒绝的操作.•CiscoIOS对ACL是按照从上至下顺序执行的,因此,推荐你把最严格和最常用的条目放在上面,而不常用和不严格的条目放在下面,这样不仅严谨而且不浪费路由器的CPU资源.•流量的过滤与否是通过在ACL中地址和通配符掩码的比对实现的。“1”为不关注；“0”为关注位。