实训8

网络管理综合实训2010年下学期1实训8访问控制列表NetworkManagement–Training82网络管理综合实训2010年下学期目标掌握ACL的概念掌握标准ACL配置方法网络管理综合实训2010年下学期38.1ACL的概念4网络管理综合实训2010年下学期8.1.1简介配置ACL的主要目的是为网络提供安全性。作为网络管理员，所需掌握的最重要技能之一便是访问控制列表(ACL)。管理员使用ACL来阻止流量，或仅允许特定流量的同时阻止网络中的所有其它流量。网络设计师使用防火墙来防止网络被未授权用户使用。防火墙是强制执行网络安全策略的硬件或软件解决方案。在Cisco路由器上，您可以配置简单的防火墙，使用ACL提供基本的流量过滤功能。5网络管理综合实训2010年下学期8.1.2什么是ACLACL是一种路由器配置脚本，它根据从数据包报头中发现的条件来控制路由器应该允许还是拒绝数据包通过.ACL执行以下任务:–限制网络流量以提高网络性能。–提供流量控制。ACL可以限制路由更新的传输。–提供基本的网络访问安全性。ACL可以允许一台主机访问部分网络，同时阻止其它主机访问同一区域。–决定在路由器接口上转发或阻止哪些类型的流量。–控制客户端可以访问网络中的哪些区域。–屏蔽主机以允许或拒绝对网络服务的访问。ACL可以允许或拒绝用户访问特定文件类型，例如FTP或HTTP。6网络管理综合实训2010年下学期8.1.3数据包过滤数据包过滤也称为静态数据包过滤，它通过分析传入和传出的数据包以及根据既定标准传递或阻止数据包来控制对网络的访问。当路由器根据过滤规则转发或拒绝数据包时，它便充当了一种数据包过滤器。当数据包到达过滤数据包的路由器时，路由器会从数据包报头中提取某些信息，根据过滤规则决定该数据包是应该通过还是应该丢弃。数据包过滤工作在OSI模型的网络层，或是TCP/IP的Internet层。作为第3层设备，数据包过滤路由器根据源和目的IP地址、源端口和目的端口以及数据包的协议，利用规则来决定是应该允许还是拒绝流量。这些规则是使用访问控制列表(ACL)定义的。7网络管理综合实训2010年下学期ACL可以从数据包报头中提取以下信息，根据规则进行测试，然后决定是“允许”还是“拒绝”：–源IP地址–目的IP地址–ICMP消息类型ACL也可以提取上层信息并根据规则对其进行测试。上层信息包括：–TCP/UDP源端口–TCP/UDP目的端口8网络管理综合实训2010年下学期8.1.4数据包过滤举例为理解路由器如何使用数据包过滤这一功能，您可以想象一下在上锁的门前站岗的保安。该保安收到的命令是：只允许名单中列出的人员进入大门。因此，这位保安是根据“姓名是否出现在授权名单中”这一标准来过滤人员。例如，可以规定“仅允许来自网络A的用户访问Web；拒绝来自网络B的用户访问Web，但允许他们进行所有其它访问”。在本例中，数据包过滤器按如下方式检查每个数据包：如果来自网络A的数据包使用端口80，则允许其通过。但会拒绝用户的所有其它访问。如果来自网络B的数据包使用端口80，则阻止该数据包。但会允许用户的所有其它访问。9网络管理综合实训2010年下学期10网络管理综合实训2010年下学期8.1.5ACL使用原则当每个数据包经过关联有ACL的接口时，都会与ACL中的语句从上到下一行一行进行比对，以便发现符合该传入数据包的模式。ACL使用允许或拒绝规则来决定数据包是否转发。默认情况下，路由器上没有配置任何ACL，不会过滤流量。进入路由器的流量根据路由表进行路由。一些使用ACL的原则：在位于内部网络和外部网络（例如Internet）交界处的防火墙路由器上使用ACL。在位于网络两个部分交界处的路由器上使用ACL，以控制进出内部网络特定部分的流量。在位于网络边界的边界路由器上配置ACL。这样可以在内外部网络之间，或网络中受控度较低的区域与敏感区域之间起到基本的缓冲作用。为边界路由器接口上配置的每种网络协议配置ACL。您可以在接口上配置ACL来过滤入站流量、出站流量或两者。11网络管理综合实训2010年下学期12网络管理综合实训2010年下学期3P原则可以为每种协议(perprotocol)每个方向(perdirection)每个接口(perinterface)配置一个ACL：每种协议一个ACL：要控制接口上的流量，必须为接口上启用的每种协议定义相应的ACL。每个方向一个ACL：一个ACL只能控制接口上一个方向的流量。要控制入站流量和出站流量，必须分别定义两个ACL。每个接口一个ACL：一个ACL只能控制一个接口（例如快速以太网0/0）上的流量。13网络管理综合实训2010年下学期14网络管理综合实训2010年下学期8.1.6CiscoACL的类型有两类CiscoACLs,标准的和扩展的.–标准ACL：标准ACL根据源IP地址允许或拒绝流量。–扩展ACL：扩展ACL根据多种属性。（例如，协议类型、源和IP地址、目的IP地址、源TCP或UDP端口、目的TCP或UDP端口）过滤IP数据包，并可依据协议类型信息（可选）进行更为精确的控制。15网络管理综合实训2010年下学期8.1.7编号ACL和命名ACL从CiscoIOS11.2版开始，您可以使用名称来标识CiscoACL.16网络管理综合实训2010年下学期使用ACL时主要涉及以下两项任务:–Step1.通过指定访问列表编号或名称以及访问条件来创建访问列表。–Step2.将ACL应用到接口或终端线路。17网络管理综合实训2010年下学期8.1.8ACL放置位置每个ACL都应该放置在最能发挥作用的位置。基本的规则是：因为标准ACL不会指定目的地址，所以其位置应该尽可能靠近目的地.18网络管理综合实训2010年下学期网络管理综合实训2010年下学期198.2配置标准ACL20网络管理综合实训2010年下学期8.2.1输入条件语句当流量进入路由器时，将按ACL语句条目在路由器中的顺序进行比较。路由器会逐条比对ACL语句，直到发现匹配条目。因此，应该将最频繁使用的ACL条目放在列表顶部。如果路由器检查到列表末尾时仍然没有发现匹配条目，那它将拒绝该流量，因为ACL会隐式拒绝不符合任何所测试条件的所有流量。如果ACL中仅包含一个deny条目，则其效果与拒绝所有流量相同。必须在ACL中至少包含一条permit语句，否则所有流量都会被阻止。21网络管理综合实训2010年下学期8.2.1输入条件语句图中的两个ACL（101和102）具有相同的效果。网络192.168.10.0能够访问网络192.168.30.0，而192.168.11.0网络则不能。22网络管理综合实训2010年下学期8.2.2配置标准ACL在图中，路由器会检查进入Fa0/0的数据包的源地址:–access-list2deny192.168.10.1–access-list2permit192.168.10.00.0.0.255–access-list2deny192.168.0.00.0.255.255–access-list2permit192.0.0.00.255.255.25523网络管理综合实训2010年下学期8.2.2配置标准ACLRouter(config)#access-listaccess-list-numberdeny/permitremarksource[source-wildcard][log]24网络管理综合实训2010年下学期25网络管理综合实训2010年下学期26网络管理综合实训2010年下学期27网络管理综合实训2010年下学期28网络管理综合实训2010年下学期29网络管理综合实训2010年下学期30网络管理综合实训2010年下学期8.2.3检验ACL31网络管理综合实训2010年下学期