計算機網(wǎng)絡實驗課件：訪問控制列表（ACL）的配置

1、訪問控制列表（ACL）主要內(nèi)容使用標準訪問控制列表和擴展訪問控制列表控制網(wǎng)絡流量的方法標準訪問控制列表和擴展訪問控制列表以及在路由接口應用ACL的實例。訪問控制列表概述概念 訪問控制列表簡稱 ACL( Access Control Lists），它使用包過濾技術，在路由器上讀取第3層或第4層包頭中的信息，如源地址、目的地址、源端口、目的端口以及上層協(xié)議等，根據(jù)預先定義的規(guī)則決定哪些數(shù)據(jù)包可以接收、哪些數(shù)據(jù)包需要拒絕，從而達到訪問控制的目的。配置路由器的訪問控制列表是網(wǎng)絡管理員一件經(jīng)常性的工作。 訪問控制列表Internet組成網(wǎng)絡中使用ACL訪問控制列表概述作用一方面保護資源節(jié)點，阻止非法用戶

2、對資源節(jié)點的訪問；另一方面限制特定的用戶節(jié)點所能具備的訪問權(quán)限。（1）檢查和過濾數(shù)據(jù)包。 （2）限制網(wǎng)絡流量，提高網(wǎng)絡性能。 （3）限制或減少路由更新的內(nèi)容。 （4）提供網(wǎng)絡訪問的基本安全級別。 訪問控制列表概述ACL的工作原理工作原理當一個數(shù)據(jù)包進入路由器的某一個接口時，路由器首先檢查該數(shù)據(jù)包是否可路由或可橋接。然后路由器檢查是否在入站接口上應用了ACL。如果有ACL，就將該數(shù)據(jù)包與ACL中的條件語句相比較。如果數(shù)據(jù)包被允許通過，就繼續(xù)檢查路由器選擇表條目以決定轉(zhuǎn)發(fā)到的目的接口。ACL不過濾由路由器本身發(fā)出的數(shù)據(jù)包，只過濾經(jīng)過路由器的數(shù)據(jù)包。下一步，路由器檢查目的接口是否應用了ACL。如果沒

3、有應用，數(shù)據(jù)包就被直接送到目的接口輸出。 ACL的工作原理ACL匹配性檢查是非到達訪問控制組接口的數(shù)據(jù)包匹配第一步匹配第二步匹配最后一步數(shù)據(jù)包垃圾桶目的接口是允許？是是非非非非配置標準訪問控制列表最廣泛使用的訪問控制列表是IP訪問控制列表IP訪問控制列表工作于TCP/IP協(xié)議組。按照訪問控制列表檢查IP數(shù)據(jù)包參數(shù)的不同，可以將其分成標準ACL擴展ACL標準ACL的工作過程標準ACL的工作過程配置標準ACL在路由器上RTB上配置：RTB(config)# access-list 1 permit host 0RTB(config)# access-list 1 deny 55RTB(config

4、)# access-list 1 permit anyRTB(config)# interface s0/0RTB(config-if)# ip access-group 1 in參 數(shù)描 述access-list-number訪問控制列表表號，用來指定入口屬于哪一個訪問控制列表。對于標準ACL來說，是一個從1到99或1300到1999之間的數(shù)字Deny如果滿足測試條件，則拒絕從該入口來的通信流量Permit如果滿足測試條件，則允許從該入口來的通信量Source數(shù)據(jù)包的源地址，可以是網(wǎng)絡地址或是主機IP地址source-wildcard可選項）通配符掩碼，又稱反掩碼，用來跟源地址一起決定哪些位

5、需要匹配Log（可選項）生成相應的日志消息，用來記錄經(jīng)過ACL入口的數(shù)據(jù)包的情況配置標準ACL在通配符掩碼中有兩種比較特殊，分別是any和host。any可以表示任何IP地址Router( config ) # access-list 10 permit 55等同于：Router ( config ) # access-list 10 permit anyhost表示一臺主機，例如：Router ( config ) # access-list 10 permit 172. 16. 30.22 等同于：Router ( config ) # access-list 10 permit host

6、 172. 16. 30.22另外，可以通過在access-list命令前加no的形式，來刪除一個已經(jīng)建立的標準ACL，使用語法格式如下：Router ( config ) # no access-list access-list-number 例如：Router ( config ) # no access-list 10配置標準ACL擴展訪問控制列表擴展ACL的工作過程配置擴展ACLRouter(config)# access-list access-list-number deny | permit protocol source source-wildcard destination

7、destination-wildcard operator operand established配置擴展ACL標準ACL應用實例如圖所示，某企業(yè)銷售部、市場部的網(wǎng)絡和財務部的網(wǎng)絡通過路由器RTA和RTB相連，整個網(wǎng)絡配置RIPv2路由協(xié)議，保證網(wǎng)絡正常通信。要求在RTB上配置標準ACL，允許銷售部的主機PC1訪問路由器RTB，但拒絕銷售部的其他主機訪問RTB，允許銷售部、市場部網(wǎng)絡上所有其他流量訪問RTB。配置標準ACL在路由器上RTB上配置如下：RTB(config)# access-list 1 permit host 0RTB(config)# access-list 1 deny 5

8、5RTB(config)# access-list 1 permit anyRTB(config)# interface s0/0/0RTB(config-if)# ip access-group 1 in標準ACL應用實例驗證標準ACL配置完IP訪問控制列表后，如果想知道是否正確，可以使用show access-lists、show ip interface 等命令進行驗證。 標準ACL應用實例驗證標準ACLshow access-lists命令該命令用來查看所有訪問控制列表的內(nèi)容。RTB# show access-lists Standard ip access list 1 10 per

9、mit 0 20 deny , wildcard bits 55 (16 matches) 30 permit any (18 matches)show ip interface命令該命令用于查看ACL作用在IP接口上的信息，并指出ACL是否正確設置。RTB# show ip interface Serial 0/0/0 is up,line protocol is up Internet address is 2/24 Broadcast address is 55 Address determined by setup command MTU is 1500 bytes Helper ad

10、dress is not set Directed broadcast forwarding is disabled Outgoing access list is not set Inbound access list is 1驗證標準ACL擴展ACL應用實例下面以一個實例來說明擴展ACL的配置和驗證過程。如圖所示，某企業(yè)銷售部的網(wǎng)絡和財務部的網(wǎng)絡通過路由器RTA和RTB相連，整個網(wǎng)絡配置RIPv2路由協(xié)議，保證網(wǎng)絡正常通信。要求在RTA上配置擴展ACL，實現(xiàn)以下4個功能：（1）允許銷售部網(wǎng)絡的主機訪問WWW Server 0；（2）拒絕銷售部網(wǎng)絡的主機訪問FTP Server 0；（3）拒

11、絕銷售部網(wǎng)絡的主機Telnet路由器RTB；（4）拒絕銷售部主機0Ping路由器RTB。擴展ACL應用實例在路由器RTA上配置如下： RTA(config)# access-list 100 permit tcp 55 host 0 eq 80RTA(config)# access-list 100 deny tcp 55 host 0 eq 20RTA(config)# access-list 100 deny tcp 55 host 0 eq 21RTA(config)# access-list 100 deny tcp 55 host eq 23RTA(config)# access-list 100 deny tcp 55 host eq 23RTA(config)# access-list 100 deny icmp host 0 host RTA(config)# access-list 100 deny icmp host 0 host RTA(c