第八讲 访问控制列表

第1页第2页问题1公网互联网用户对外信息服务器员工上网信息服务器第3页问题1•作为公司网络管理员，当公司领导提出下列要求时你该怎么办？为了提高工作效率，不允许员工上班时间进行QQ聊天、MSN聊天等，但需要保证正常的访问Internet，以便查找资料了解客户及市场信息等。公司有一台服务器对外提供有关本公司的信息服务，允许公网用户访问，但为了内部网络的安全，不允许公网用户访问除信息服务器之外的任何内网节点。第4页问题2第5页问题2•在企业内部网络中，会存在一些重要的或者保密的资源或者数据，为了防止公司员工有意或无意的破坏或者访问，对这些服务器应该只允许相关人员访问。如何做到这一点？第6页访问控制列表(ACL)ACL概述基本ACL配置扩展ACL配置第7页什么是ACL?–ACL是路由器处理数据包转发的一组规则，路由器利用这组规则来决定数据包允许转发还是拒绝转发如果不设置ACL，路由器将转发网络链路上所有数据包，当网络管理设置了ACL以后可以决定哪些数据包可以转发，哪些不可以转发。可以利用下列参数允许或拒绝发送数据包：–源地址–目的地址–上层协议(例如：TCP&UDP端口号)ACL可以应用于该路由器上所有的可路由协议，对于一个接口上的不同网络协议需要配置不同的ACL第8页使用ACL检测数据包–为了决定是转发还是拒绝数据包，路由器按照ACL中各条语句的顺序来依次匹配该数据包•当数据包与一条语句的条件匹配了，则忽略ACL中的剩余语句的匹配处理，该数据包将按照当前语句的设定来进行转发或拒绝转发的处理–在ACL的最后都有一条缺省的“denyany”语句•如果ACL中的所有显式语句没有匹配上，那么将匹配这条缺省的语句–ACL可以实时的创建，即实时有效的；因此不能单独修改其中的任何一条或几条，只能全部重写•因此，不要在路由器上直接编写一个大型的ACL，最好使用文字编辑器编写好整个ACL后传送到路由器上。第9页路由器如何使用ACL（出站）检查数据包是否可以被路由，可路由地将在路由表中查询路由检查出站接口的ACL如果没有ACL，将数据包交换到出站的接口如果有ACL，按照ACL语句的次序检测数据包直至有了匹配条件，按照匹配条件的语句对数据包进行数据包的允许转发或拒绝转发如果没有任何语句匹配，将怎样？——使用缺省的“denyany”(拒绝所有)语句第10页出站标准ACL处理流程出站数据包进行路由表的查询接口有ACL?匹配？列表中的下一项更多的项目？执行条件允许Permit拒绝Deny否否无是是有向源站发送ICMP信息转发数据包第11页•ACL不检查路由器本身产生的数据包•ACL只检查其他来源的数据包•ACL语句按自顶向下的顺序进行处理，因此需要将最严格的语句放在列表顶部，最不严格的语句放在列表底部•如果ACL中没有找到匹配项，则执行隐性拒绝语句•每个接口的每个方向只能应用一个IPACL。ACL的特点第12页ACL分类•标准访问控制列表：只对数据包中源地址进行检查。•扩展访问控制列表：即检查源地址，也检查目标地址，以及数据包的上层协议。第13页•在全局配置模式下按序输入ACL语句Router(config)#access-listaccess-list-number{permit/deny/remark}{test-conditions|remark}Lab-D(config)#access-list1remarkpermitmanageronlytoInternetLab-D(config)#access-list1permit192.5.5.100.0.0.0•在接口配置模式中配置接口使用的ACLRouter(config-if)#{protocol}access-groupaccess-list-number{in/out}Lab-D(config-if)#ipaccess-group1out标准IPACL的配置{in/out}：指明对哪个方向的数据进行检查第14页access-list-number参数–ACL有多种类型，access-list-number与ACL的类型有关–下表显示了主要的一些ACL类型与access-list-number的关系ACL类型access-list-number标准IP1~99or1300~1999扩展IP100~199or2000~2699AppleTalk600~699标准IPX800~899扩展IPX900~999IPXSAP1000~1099第15页permit/deny/remark参数–在输入了access-list命令并选择了正确的access-list-number后，需要使用permit或deny参数来选择希望路由器采取的动作–remark：在标准或扩展访问控制列表中加入注释或备注，便于理解访问控制列表的含义。PermitDeny丢弃数据包，向源站发送ICMP消息转发数据包第16页{test-conditions}参数在ACL的{testconditions}部分，需要根据存取列表的不同输入不同的参数使用最多的是希望控制的IP地址和通配符掩码IP地址可以是子网、一组地址或单一节点地址路由器使用通配符掩码来决定检查地址的哪些位Lab-A(config)#access-list1deny192.5.5.100.0.0.0IP地址通配符掩码第17页通配符掩码通配符掩码指定了路由器在匹配地址时检查哪些位忽略哪些位通配符掩码中为“0”的位表示需要检查的位，为“1”的位表示忽略检查的位，这与子网掩码中的意义是完全不同的192.5.5.100.0.0.0二进制方式的表示如下：11000000.00000101.00000101.00001010(源地址)00000000.00000000.00000000.00000000(通配符掩码)第18页通配符掩码第19页之后若干张幻灯片中将练习处理通配符掩码，类似于子网掩码，这需要一段时间掌握计算表示下列网络中的所有节点的通配符掩码：192.5.5.0255.255.255.0答案：192.5.5.00.0.0.255•这个通配符掩码与C类地址的子网掩码正好相反•注意：针对整个网络或子网中所有节点的通配符掩码一般都是这样的通配符掩码练习第20页–计算表示下列子网中所有节点的通配符掩码：192.5.5.32255.255.255.224•答案是：192.5.5.320.0.0.31•0.0.0.31与255.255.255.224正好相反•二进制的形式–11111111.11111111.11111111.11100000(255.255.255.224)–00000000.00000000.00000000.00011111(0.0.0.31)•为了证明通配符掩码的工作，请看.32子网中的节点地址——192.5.5.55–11000000.00000101.00000101.00110111(192.5.5.55)节点地址–11000000.00000101.00000101.00100000(192.5.5.32)控制ip地址–00000000.00000000.00000000.00011111(0.0.0.31)通配符掩码通配符掩码练习第21页–在下面的例子中，蓝色的位是必须匹配检查的位–11000000.00000101.00000101.00110111(192.5.5.55)节点地址–11000000.00000101.00000101.00100000(192.5.5.32)控制的ip地址–00000000.00000000.00000000.00011111(0.0.0.31)通配符掩码•必须牢记：通配符掩码中为“0”的位表示需要检查的位，为“1”的位表示忽略检查的位•在本例中，根据通配符掩码中为0的位，比较数据包的源地址和控制的IP地址中相关的各个位，当每位都相同时，说明两者匹配–掩码为255.255.255.192的192.5.5.64子网的控制IP地址和通配符掩码?•答案：192.5.5.640.0.0.63通配符掩码练习第22页–掩码为255.255.128.0的172.16.128.0子网的控制IP地址和通配符掩码?•答案：172.16.128.00.0.127.255–掩码为255.255.252.0的172.16.16.0子网的控制IP地址和通配符掩码?•答案：172.16.16.00.0.3.255–掩码为255.255.248.0的10.0.8.0子网的控制IP地址和通配符掩码?•答案：10.0.8.00.0.7.255通配符掩码练习第23页–计算控制IP地址和通配符掩码是比较复杂的，尤其是控制网络中的一部分节点时–为了控制网络中一部分节点往往需要在二进制方式下进行计算–例如：学生使用192.5.5.1到192.5.5.127地址范围，教师使用192.5.5.128到192.5.5.254地址范围。这些地址处在相同的网络中192.5.5.0/24–怎样来计算？控制一段地址范围内的节点第24页–对于学生使用的地址范围•首先，以二进制方式写出第一个和最后一个节点地址。由于前三个8位组是相同的，所以可以忽略它们，在通配符掩码中相应的位必须为“0”第一个地址：00000001最后一个地址：01111111•其次，查找前面的两者相同的位(下图的蓝色部分)–00000001–01111111–这些相同的位将与前面的网络地址部分(192.5.5)一样进行匹配检验例子：地址区域192.5.5.1到.127和.128到.254控制一段地址范围内的节点第25页•第三，计算剩余节点地址部分的十进制值(127)•最后，决定控制的IP地址和通配符掩码–控制IP地址可以使用所控制范围内的任何一个节点地址，但约定俗成的使用所控制范围的第一个节点地址–上述相同的位在通配符掩码中为“0”–192.5.5.10.0.0.127–对于教师部分地址：•192.5.5.128(10000000)到192.5.5.254(11111110)•答案：192.5.5.1280.0.0.127•请思考两者的不同例子：地址区域192.5.5.1到.127和.128到.254控制一段地址范围内的节点第26页–控制网络202.112.10.0/24中的所有偶数地址的控制IP地址和通配符掩码？•答案：202.112.10.00.0.0.254–控制网络202.112.10.0/24中的所有奇数地址的控制IP地址和通配符掩码？•答案：202.112.10.10.0.0.254控制一段地址范围内的节点第27页–由于ACL末尾都有一个隐含的“denyany”语句，需要在ACL前面部分写入其他“允许”的语句–使用上面的例子，如果不允许学生访问而其他的访问都允许，需要如下两条语句：•Lab-A(config)#access-list1deny192.5.5.00.0.0.127•Lab-A(config)#access-list1permit0.0.0.0255.255.255.255–由于最后的一条语句通常用来防止由于隐含语句使得所有网络功能失效，为了方便输入，可以使用any命令：•Lab-A(config)#access-list1permitanyany命令第28页–众多情况下，网络管理员需要在ACL处理单独节点的情况，可以使用两种命令：•Lab-A(config)#access-list1permit192.5.5.100.0.0.0–或...•Lab-A(config)#access-list1permithost192.5.5.10host命令第29页•Show命令–showaccess-lists•显示在路由器上的所有配置好的ACL–showaccess-lists{name|number}•显示指定的ACL–showipinterface•显示接口上使用的ACL——入站和出站–showrunning-config•显示当前的路