8.1、访问控制列表

访问控制列表AccessControlList徐欣教学内容1、ACL功能简介2、标准ACL3、扩展ACL4、ACL配置要点5、标准ACL配置实例6、扩展ACL配置实例7、命名ACL配置实例1、ACL功能简介ACL根据数据包包头信息（源地址、目的地址、源端口、目的端口、协议等）来控制路由器应该允许还是拒绝数据包通过，从而实现访问控制的目的。主要功能如下：1、检查和过滤数据包2、提供对通信流量的控制手段3、限制或减少不必要的路由更新4、按照优先级别或用户队列处理数据包5、定义VPN的感兴趣流量ACL条件比较顺序（有多个语句）根据ACL中语句的顺序，把数据包和判断条件进行比较。一旦匹配，就采用语句中的动作并结束比较过程，不再检查以后的其他条件判断语句。如果没有任何语句匹配，数据包被拒绝。2、标准ACL只检查IP包中的源地址，标号范围1~99或1300~1999。标准ACL命令参数说明参数说明access-list-number标准ACL标号remark添加备注，增强列表可读性permit匹配条件时允许访问deny匹配条件时拒绝访问source发送数据包的网络号或主机号wildcard通配符掩码。“0”检查；“1”不检查log对匹配条件的数据包生成日志消息注意：1、通配符掩码。为“0”时检查；为“1”时不检查。any表示任何IP地址,如：anyany=0.0.0.0255.255.255.255host表示某一台主机，如：host172.16.12.100=172.16.12.1000.0.0.02、ACL最后默认配置了一条隐含的是拒绝所有。3、扩展ACL扩展ACL具有更多的匹配项，功能更加细化，可以针对包括协议类型、源地址、目的地址、源端口、目的端口、和TCP链接建立等进行过滤。表号范围100~199或2000~2699。参数说明如下表：参数说明access-list-number扩展ACL表号remark添加备注permit匹配时允许访问deny匹配时拒绝访问protocol定义协议类型，如IP、TCP、UDP、ICMP等sourceanddestination标识源地址和目的地址Sourcemask源地址通配符destinationmask目的地址通配符operatorlt、gt、eq、neq（小于、大于、等于、不等于）operand一个端口号established仅用于TCP协议，指示已建立连接log生成日志扩展ACL的一个比喻边境的武警战士，不仅检查人员从哪里来，还检查人员到什么地方去、是什么样的人、去做什么。从哪里来？Whereareyoucomingfrom?到哪里去？Wheredoyouwanttogo?是什么样的人？whatkindofpersonareyou?去做什么？whatdoyouwanttodo?从哪里来：IP数据包的源地址(SourceIP)到哪里去：IP数据包的目的地址(DestinationIP)是什么样的人：协议类型（如ICMP、RIP等）去做什么：目的端口号（如http、ftp、telnet等）IP数据包4、ACL配置要点ACL功能强大，配置命令灵活多样，要掌握ACL的配置方法，必须注意ACL的一些配置要点。否则将会出现很多网络问题。1、自上而下的处理方式：ACL表项的检查按自上而下的顺序进行，一旦匹配某一条件，就停止检查后面的表项，最后一条默认为denyany。access-list1deny172.16.3.1000.0.0.0access-list1permitanyaccess-list1denyanyintf0/0ipaccess-group1in2、遵循尾部添加原则：新的表项默认被添加到ACL尾部。access-list1deny172.16.3.1000.0.0.0access-list1permitanyaccess-list1denyanyintf0/0ipaccess-group1in以上配置完毕，如果想再加上下面这条，该项将会出现在ACL尾部。access-list1deny172.16.3.2000.0.0.0ACL如下，根据自上而下的原则后面加入的表项是不起作用的。access-list1deny172.16.3.1000.0.0.0access-list1permitanyaccess-list1deny172.16.3.2000.0.0.0access-list1denyany3、标准ACL尽量靠近目的，因为标准ACL只检查源地址，如果将其靠近源会阻止数据包流向其他端口；扩展ACL尽量靠近源，保证被拒绝的数据包尽早拒绝，避免浪费网络带宽。如图：要配置PC1不能访问SERVER1access-list1deny172.16.3.2000.0.0.0access-list1permitany若靠近源：interfacef0/0ipaccess-group1in这时PC1不但不能访问SERVER1，整个网络都不能访问了。应在R3上配置正确配置：interfaces0/0/0ipaccess-group1in扩展ACL除了检查源地址，还检查目的地址，不会产生此类错误。4、语句的位置：应将更为具体的表项放在不太具体的表项前面，以保证前面的语句不会将后面的语句否定掉。access-list1permit172.16.3.00.0.0.255access-list1deny172.16.3.1000.0.0.0access-list1deny172.16.3.2000.0.0.0以上配置中，第一条表示允许172.16.3.0/24这个网段的数据包通过，而第二和第三项更为具体，表示不允许这个网段中的某两台主机通过，显然后面两项都被第一项否定了，这样配置是错误的。5、每种协议的每个接口的每个方向只能配置一个ACL如图：如果在s0/0/0中配置了access-list110permittcpanyhost172.16.1.100eq(config-if)#ipaccess-group110in这时，该接口的in方向就不能配置其他ACL的TCP协议了。6、入站和出站ACL：当在接口上应用ACL时，用户要指明ACL是应用于流入数据还是流出数据。相比之下入站ACL比出站ACL更高效。5、标准ACL及配置实例拓扑如上图：将IP地址配置好，R1和R2运行OSPF，测试全网通。要求：1、拒绝172.16.2.0/24这个网段的主机访问SERVER1。2、拒绝PC1访问SERVER1。3、只允许PC1对R2进行管理。配置标准ACL定义ACL：r2(config)#access-list1deny172.16.2.00.0.0.255r2(config)#access-list1denyhost172.16.1.10r2(config)#access-list1permitanyr2(config)#access-list2permithost172.16.1.10应用ACL：r2(config)#intf0/0r2(config-if)#ipaccess-group1outr2(config-if)#exitr2(config)#linevty04r2(config-line)#passwordciscor2(config-line)#access-class2in调试r2#showipaccess-listsStandardIPaccesslist1deny172.16.2.00.0.0.255denyhost172.16.1.10(16match(es))permitany(5match(es))StandardIPaccesslist2permithost172.16.1.10(2match(es))测试在PC1上能不能访问SERVER1；测试在PC1上能不能TELNETR2；测试PC2和PC3能不能TELNETR2。6、扩展ACL配置实例如图：添加PC4，添加网段212.12.3.0/24。添加SERVER2172.16.1.100/24。要求：1、配置212.12.3.0/24这个网段不能访问SERVER2的网页（但能PING通）。2、配置212.12.3.0/24这个网段不能访问SERVER2的FTP（但能PING通）2、配置R1能以自己的接口PING通R2，但R2不能PING通R1（单向PING）。配置扩展ACL定义ACL：r2(config)#access-list100denytcp212.12.3.00.0.0.255host172.16.1.100eq(config)#access-list100denytcp212.12.3.00.0.0.255host172.16.1.100eq20r2(config)#access-list100denytcp212.12.3.00.0.0.255host172.16.1.100eq21r2(config)#access-list100permitipanyany应用ACL：r2(config)#intf0/1r2(config-if)#ipaccess-group100in测试ACL：r2#showipaccess-lists100r2#showipaccess-lists100ExtendedIPaccesslist100denytcp212.12.3.00.0.0.255host172.16.1.100eq(12match(es))denytcp212.12.3.00.0.0.255host172.16.1.100eq20denytcp212.12.3.00.0.0.255host172.16.1.100eqftp(24match(es))permitipanyany配置单向PING定义ACL：r1(config)#access-list110denyicmphost212.12.1.2host212.12.1.1echor1(config)#access-list110permitipanyany应用ACL：r1(config)#ints0/0/0r1(config-if)#ipaccess-group110in测试ACL：r1#showipaccess-lists110ExtendedIPaccesslist110denyicmphost212.12.1.2host212.12.1.1echo(15match(es))permitipanyany(30match(es))7、命名ACLACL可以用命名方式配置功能是一样的。r1(config)#ipaccess-listextended/standardACLname其他ACL基于时间ACL定义基于时间控制的ACL。动态ACL动态ACL使用户能在防火墙中临时打开一个缺口，而不会破坏其他已配置的安全局限。自反ACL控制内网能够访问外网，而从外网主动发起的访问不会进入内网，从而有效保护内网安全。