访问控制列表

AccessControlList—访问控制列表ACL——访问控制列表使用ACL的原因创建ACL——顺序至关重要使用ACLACL是基于端口的，而且是有“方向”的ACL配置任务为每一个ACL分配惟一的编号使用通配符掩码位标准访问控制列表扩展访问控制列表命名访问控制列表放置ACL限制虚拟终端访问验证ACLACL——访问控制列表ACL是一个连续的允许和拒绝语句的集合，关系到地址或上层协议ACL是应用在路由器的接口处的这些列表告诉router哪些packet应该接收，哪些packet应该拒绝ACL的定义是基于每一种协议的（ip.appletalk.ipx)，如果想控制某种协议的通信数据流，那么必须要对该接口处的这种协议定义单独的ACLACL可以当作一种网络控制的有力工具来过滤流入、流出路由器接口的数据包.使用ACL会消耗路由器的CPU资源ACL过滤依据ACL检查数据包以及上层协议报头使用ACL的原因A限制网络流量，提高网络性能•ACL可以限制符合某一条件的数据流入网络•比如有大量的外部的ftp流量流入内部网络占用带宽资源，你可以限制这一部分流量涌入，保护内部网络。B提供对通信流量的控制手段•通过配合使用ACL，甚至可以限制或简化路由更新的内容。C提供网络访问的基本安全手段。•你可以限制主机a访问你的网络，主机b不能访问你的网络，如果没有ACL,路由器是不会阻止任何信息通过的。D在路由器的接口处，决定哪种类型的通信流量被转发，哪种类型的通信流量被阻塞。•你可以允许的通信流量通过，但是阻止ftp的流量通过。拒绝不希望的访问连接，同时又要允许正常的访问。创建ACL——顺序至关重要•ACL中各描述语句的放置顺序是很重要的。当路由器决定某一数据包是被转发还是被阻塞时，router按照各描述语句在ACL中的顺序，根据描述语句的判断条件，对数据包进行检查。一旦找到了某一匹配条件，就结束比较过程，不再检查以后的其他条件判断语句（从上到下，逐一检查，一条匹配，不再检查）。•当一个ACL被创建后，新的语句行被加在ACL的最后，无法删除列表中的单独一行，只能删除整个ACL列表。•用文本编辑器创建和修改ACL，用文件传输协议（TFTP）或超级终端的发送文本文件将其传入router。按正确顺序创建ACL•例如我想阻拦一台主机ip为192.168.0.1访问任何网络，其它主机正常访问网络ACL如下access-list1permitany(允许所有地址通过）access-list1denyhost192.168.0.1(禁止192.168.0.1通过）当192.168.0.1的数据包到达router端口时，router按照ACL的内容顺序对数据包进行检查。首先检查第一条access-list1permitany•这一条的含义是允许所有地址通过，显然192.168.0.1也属于“所有地址”的范畴•router就允许来自192.168.0.1的数据包通过了，尽管下一个就是禁止192.168.0.1通过的条目，但是“一条匹配，不再检查”是ACL的特点，所以这一个ACL起不到任何作用。•正确的ACL为access-list1denyhost192.168.0.1access-list1permitany如果有一个数据包不符合ACL里的任何一个条目，ACL如何处理？例access-list1permithost192.168.1.1access-list1permithost192.168.2.1这个ACL的内容为允许192.168.1.1192.168.2.1发送的数据通过，现在有一个地址为172.16.0.1发送的信息要通过，不过172.16.0.1和列表中的任何一个地址都不匹配（ACL没有条目指明对172.16.0.1的信息如何处理），在这种情况下172.16.0.1所发送的信息将被禁止通过，因为每一个ACL的最后一行都隐含着一个条目还是上面的ACLaccess-list1permithost192.168.1.1access-list1permithost192.168.2.1(access-list1denyany)禁止所有的地址通过最后的一行条目其实并不是我们手工输入的，而是ACL默认加在每个ACL最后的隐含条件，这个列表的作用是只允许192.168.1.1192.168.2.1发送的数据通过，其它流量一概禁止。ACL中至少要有一条permitACL是基于端口的，而且是有“方向”的。ACL就好象门卫一样对进出“大门”（端口）的数据进行过滤，如果这个门卫没有设置在门口（端口），那么就不能起到应有的作用，所以ACL一定要放置在端口上才能生效。此外ACL还有方向性，有in和out两个方向。in就是数据从端口外面要进入到router里面。out就是数据从router内部经端口转发到router外部。每一个方向上都可以有独立内容的ACL，两个方向的ACL互不干扰。ACL配置任务创建ACL定义使用access-list命令把ACL应用到某一接口使用access-group命令。协议、ACL及相应的编号ProtocolRange1－99，1300-1999IPstandardACL100－199，2000-2699IPextendedACL200－299Protocoltype-codeACL300－399DECnetACL400－499XNSstandardACL500－599XNSextendedACL600－699AppleTalkACL700－79948bitMACaddressACL800－899IPXstandardACL900－999IPXextendedACL1000－1099IPXSAPACL1100－119948bitMACaddressextendedACL1200－1299IPXsummaryaddressACLWildcards—通配符掩码•通配符掩码是一个32比特的数字字符串，它被用点号分成4个8位组，每个组包含8个比特。•通配符掩码中，0表示“检查相应的位”，1表示“不检查”相应的位。这与子网掩码有很大的区别，在子网掩码中0表示相应位为主机位，1表示相应位为网络位。•通配符掩码与ip地址相结合可以使ACL清晰的了解它要检查的内容。范例1网段192.168.0.0255.255.255.0192.168.0.0255.255.255.0的ip地址范围是192.168.0.0---192.168.0.255当应用怎样的通配符掩码时才能代表所有的这些ip地址？这些地址如果都转换成2进制表示192.168.0.011000000.10101000.00000000.00000000192.168.0.111000000.10101000.00000000.00000001192.168.0.211000000.10101000.00000000.00000010192.168.0.25411000000.10101000.00000000.11111110192.168.0.25511000000.10101000.00000000.11111111可以看到这些二进制数无论怎样变化都是有规律可循的，它们的前3个8位组是一样的，都为11000000.10101000.00000000.如果有一个ip地址它的前3个8位组也为11000000.10101000.00000000.那么这个ip地址肯定是网段192.168.0.0里的地址如果我们现在想允许来自192.168.0.0网段的所有信息通过应该怎样表示11000000.10101000.00000000.00000000（ip）11111111.11111111.11111111.00000000（子）00000000.00000000.00000000.11111111（反--通配符掩码）在通配符掩码中0表示相应位要检查，1表示相应位忽略不检查，第一行的ip地址好象一个参照物，第二行的反掩码象一个限制条件，它限制了如果一个外来数据包中的地址要和“参照物”进行比对的话，应该比对到哪一位。00000000.00000000.00000000.11111111转换成十进制为0.0.0.255ACL为access-list1permit192.168.0.00.0.0.255范例2要禁止从172.30.16.0---172.30.31.0255.255.255.0这些网络来的任何信息172.30.16.010101100.00011110.00010000.00000000172.30.17.010101100.00011110.00010001.00000000172.30.18.010101100.00011110.00010010.00000000172.30.19.010101100.00011110.00010011.00000000172.30.20.010101100.00011110.00010100.00000000172.30.21.010101100.00011110.00010101.00000000172.30.22.010101100.00011110.00010110.00000000172.30.23.010101100.00011110.00010111.00000000172.30.24.010101100.00011110.00011000.00000000172.30.25.010101100.00011110.00011001.00000000172.30.26.010101100.00011110.00011010.00000000172.30.27.010101100.00011110.00011011.00000000172.30.28.010101100.00011110.00011100.00000000172.30.29.010101100.00011110.00011101.00000000172.30.30.010101100.00011110.00011110.00000000172.30.31.010101100.00011110.00011111.00000000经过观察可以发现172.30.16.0—172.30.31.0的10101100.00011110.0001的部分是相同的，其后4位数的变化范围是0000---1111，如果运用vlsm（可变长度子网掩码）的方法，可以把这些小但连续的网段组成一个大网。172.30.16.0255.255.240.010101100.00011110.00010000.00000000（ip）11111111.11111111.11110000.00000000（子）00000000.00000000.00001111.11111111（反--通配符掩码）转化为十进制数为172.30.16.00.0.15.255Acl为access-list1deny172.30.16.00.0.15.255通配符掩码例61.48.0.00.1.255.255255.254.0.061.51.0.00.0.15.255255.255.240.061.128.0.00.3.255.255255.252.0.061.132.0.00.1.255.255255.254.0.061.134.0.00.0.255.255255.255.0.061.135.0.00.0.127.255255.255.128.061.135.128.00.0.31.255255.255.224.0通配符掩码=255.255.255.255-子网掩码如何使用通配符any在ip地址中有一些地址具有特殊意义如255.255.255.255是洪广播地址0.0.0.0则代表任何地址，则所有地址的通配符掩码为255.255.255.255转换成二进制为00