網(wǎng)絡(luò)互聯(lián)及應(yīng)用第6章訪問控制列表

網(wǎng)絡(luò)互聯(lián)及應(yīng)用第6章訪問控制列表訪問控制列表2023/2/4網(wǎng)絡(luò)互聯(lián)及應(yīng)用2項(xiàng)目描述項(xiàng)目背景三方培訓(xùn)學(xué)校的校園內(nèi)網(wǎng)，由主校區(qū)、分校區(qū)及生活區(qū)三大塊組成，三個(gè)區(qū)域均通過CiscoCatalyst2621型路由器進(jìn)行連接，并通過主校區(qū)的路由器連接到外網(wǎng)。分校區(qū)通過CiscoCatalyst2950交換機(jī)連接汽車培訓(xùn)部的若干臺(tái)主機(jī)，生活區(qū)通過CiscoCatalyst2950交換機(jī)連接學(xué)生宿舍的若干臺(tái)主機(jī)，網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖1所示。2023/2/4網(wǎng)絡(luò)互聯(lián)及應(yīng)用3網(wǎng)絡(luò)拓?fù)鋱D2023/2/4網(wǎng)絡(luò)互聯(lián)及應(yīng)用4圖1三方培訓(xùn)學(xué)校校園內(nèi)網(wǎng)路由拓?fù)鋱D項(xiàng)目構(gòu)成單元訪問控制列表基礎(chǔ)標(biāo)準(zhǔn)訪問控制列表擴(kuò)展訪問控制列表2023/2/4網(wǎng)絡(luò)互聯(lián)及應(yīng)用5訪問控制列表2023/2/4網(wǎng)絡(luò)互聯(lián)及應(yīng)用6訪問控制列表基礎(chǔ)單元目標(biāo)及任務(wù)了解訪問控制列表的作用；了解訪問控制列表的原理；了解訪問控制列表的應(yīng)用；了解訪問控制列表的分類；理解應(yīng)用訪問控制列表的注意事項(xiàng)；掌握訪問控制列表的通配符掩碼；掌握不同類型的訪問控制列表號(hào)；掌握訪問控制列表命令的基本格式。2023/2/4網(wǎng)絡(luò)互聯(lián)及應(yīng)用7訪問控制列表的作用ACL就是用來在使用路由技術(shù)的網(wǎng)絡(luò)里，識(shí)別和過濾那些由某些網(wǎng)絡(luò)發(fā)出的或者被發(fā)送去某些網(wǎng)絡(luò)的數(shù)據(jù)流量，以決定這些數(shù)據(jù)流量是應(yīng)該轉(zhuǎn)發(fā)還是丟棄的技術(shù)。隨著網(wǎng)絡(luò)的不斷擴(kuò)大，越來越多不用種類的網(wǎng)絡(luò)被連接起來。網(wǎng)絡(luò)管理人員所面對(duì)的一個(gè)任務(wù)越來越顯得緊迫和棘手，這就是在允許正當(dāng)訪問的同時(shí)，如何拒絕那些不受歡迎的訪問，因?yàn)樗鼈兇蠖鄬?duì)網(wǎng)絡(luò)的重要設(shè)備和數(shù)據(jù)具有危險(xiǎn)性。在能夠選擇的管理網(wǎng)絡(luò)數(shù)據(jù)流量的方法中，最簡(jiǎn)單方便且易于理解和使用的，就是ACL。ACL對(duì)網(wǎng)絡(luò)的安全和性能都起著重要的作用，在網(wǎng)絡(luò)安全方面，ACL通過對(duì)數(shù)據(jù)包的過濾，可以將特定的信息隔離在網(wǎng)絡(luò)外部，保護(hù)內(nèi)部網(wǎng)絡(luò)中設(shè)備和數(shù)據(jù)的安全，同時(shí)又不影響正常的網(wǎng)絡(luò)服務(wù)。同時(shí)，ACL還可以實(shí)現(xiàn)訪問限制，起到限制網(wǎng)絡(luò)流量、提高網(wǎng)絡(luò)性能的作用。正是由于具備這樣的特征，ACL成為實(shí)現(xiàn)防火墻的重要手段。2023/2/4網(wǎng)絡(luò)互聯(lián)及應(yīng)用8訪問控制列表的原理ACL實(shí)際上是一系列的判斷語(yǔ)句，這些語(yǔ)句是一種自上而下的邏輯排列關(guān)系。當(dāng)把一個(gè)ACL放置在接口上時(shí)，被過濾的數(shù)據(jù)包會(huì)一個(gè)個(gè)地和這些語(yǔ)句的條件進(jìn)行順序的比較，以找出符合條件的數(shù)據(jù)包。當(dāng)數(shù)據(jù)包不能符合一條語(yǔ)句的條件時(shí)，它將與下一條語(yǔ)句的條件比較，直到它符合某一條語(yǔ)句的條件為止。如果一個(gè)數(shù)據(jù)包與所有語(yǔ)句的條件都不能匹配，在ACL的最后有一條隱含的語(yǔ)句，它將會(huì)強(qiáng)制性地把這個(gè)數(shù)據(jù)包丟棄，如圖2所示。2023/2/4網(wǎng)絡(luò)互聯(lián)及應(yīng)用92023/2/4網(wǎng)絡(luò)互聯(lián)及應(yīng)用10圖2ACL的操作過程訪問控制列表的應(yīng)用由于ACL是用來過濾數(shù)據(jù)流量的技術(shù)，所以它一定是被放置在路由器的接口上使用的。由于在接口上數(shù)據(jù)流量有進(jìn)接口（in）和出接口（out）兩個(gè)方向，所以在接口上使用ACL也有進(jìn)（in）和出（out）兩個(gè)方向。進(jìn)方向的ACL負(fù)責(zé)過濾進(jìn)入接口的數(shù)量流量，出方向的ACL負(fù)責(zé)過濾從接口發(fā)出的數(shù)據(jù)流量。對(duì)于路由器的接口來說，在同一個(gè)接口上，每種被路由協(xié)議的ACL（如IP協(xié)議的訪問控制列表、IPX協(xié)議的訪問控制列表等）都可以配置兩個(gè)，一個(gè)是進(jìn)方向的（in），一個(gè)是出方向的（out）。ACL只能過濾經(jīng)過路由器的數(shù)據(jù)包，對(duì)于路由器自己本身所產(chǎn)生的數(shù)據(jù)包，應(yīng)用在接口上的ACL是不能過濾的。除了在串行接口、以太網(wǎng)接口等物理接口上應(yīng)用ACL以實(shí)現(xiàn)控制數(shù)據(jù)流量的功能以外，ACL還具有很多其它的應(yīng)用方式，比如在虛擬終端線路接口（vty）上應(yīng)用ACL，以實(shí)現(xiàn)允許網(wǎng)管員通過vty

接口遠(yuǎn)程登錄（telnet）路由器的同時(shí)，阻止沒有權(quán)限的用戶遠(yuǎn)程登錄路由器的功能。另外，ACL還可以應(yīng)用在隊(duì)列技術(shù)、按需撥號(hào)、NAT、基于策略的路由等多種技術(shù)中。2023/2/4網(wǎng)絡(luò)互聯(lián)及應(yīng)用11訪問控制列表的分類2023/2/4網(wǎng)絡(luò)互聯(lián)及應(yīng)用12應(yīng)用訪問控制列表的注意事項(xiàng)ACL的列表號(hào)指明了所使用的協(xié)議類型。

ACL的配置是基于協(xié)議、接口和方向的。

ACL的語(yǔ)句順序決定了對(duì)數(shù)據(jù)包的控制順序。

最有限制性的語(yǔ)句應(yīng)放在ACL語(yǔ)句的首行。

先建立ACL，再應(yīng)用到接口。

ACL的語(yǔ)句不能逐條刪除，只能一次性刪除整個(gè)ACL。

ACL的隱含語(yǔ)句。

ACL只能過濾穿過路由器的數(shù)據(jù)流量，不能過濾由路由器本身發(fā)出的數(shù)據(jù)包。2023/2/4網(wǎng)絡(luò)互聯(lián)及應(yīng)用13訪問控制列表的通配符掩碼(1)通配符掩碼的概念在ACL中用來判斷IP地址的網(wǎng)絡(luò)位的掩碼是通配符掩碼（wildcard）。(2)通配符掩碼的作用通配符掩碼是一個(gè)32位的數(shù)字字符串，它被用點(diǎn)號(hào)分成4個(gè)8位組，每個(gè)8位組包含8位。在通配符掩碼中，0表示“檢查相應(yīng)的位”，而1表示“不檢查(忽略)相應(yīng)的位”。通配符掩碼與IP地址成對(duì)出現(xiàn)。在通配符掩碼的地址位使用1或0表明如何處理相應(yīng)的IP地址位。ACL使用通配符掩碼來標(biāo)識(shí)一個(gè)或幾個(gè)地址是被允許，還是被拒絕。2023/2/4網(wǎng)絡(luò)互聯(lián)及應(yīng)用14(3)ACL通配符掩碼與IP子網(wǎng)掩碼的區(qū)別盡管都是32位的數(shù)字字符串，ACL通配符掩碼跟IP子網(wǎng)掩碼的工作原理是不同的。在IP子網(wǎng)掩碼中數(shù)字1和0用來決定是網(wǎng)絡(luò)、子網(wǎng)還是相應(yīng)的主機(jī)IP地址。正如剛才所講的，在ACL通配符掩碼中，掩碼位的數(shù)字1和0用來決定相應(yīng)的IP地址是被忽略，還是被檢查。ACL通配符掩碼和IP子網(wǎng)掩碼正好相反，所以習(xí)慣上將通配符掩碼稱為“反碼”。(4)兩種常見的通配符掩碼通配符any。在ACL中，通常把55簡(jiǎn)寫為any。通配符host。在ACL中，通常把類似

的通配符掩碼簡(jiǎn)寫為host。2023/2/4網(wǎng)絡(luò)互聯(lián)及應(yīng)用15不同類型訪問控制列表的列表號(hào)表1列出了部分協(xié)議的ACL列表號(hào)。表1ACL類型及其對(duì)應(yīng)的列表號(hào)2023/2/4網(wǎng)絡(luò)互聯(lián)及應(yīng)用16ACL類型列表號(hào)IP標(biāo)準(zhǔn)的1~99擴(kuò)展的100~99，1300~1999，2000~2699命名的名字（IOS11.2版本以后可用）AppleTalk600~699IPX標(biāo)準(zhǔn)的800~899擴(kuò)展的900~999SAP過濾1000~1099命名的名字（IOS11.2版本以后可用）訪問控制列表命令的基本格式使用ACL時(shí)，必須先在全局模式下建立ACL。建立ACL的命令基本格式如下：Router(config)#access-listaccess-list-number{permit|deny}{test-conditions}其中access-list-number是指ACL列表號(hào)，起到區(qū)別不同類型ACL的作用。permit(允許)和deny（拒絕）可選項(xiàng)，兩者選一。test-conditions是用來與數(shù)據(jù)包信息做比較的條件。建立完ACL之后，要在接口上應(yīng)用它，命令如下：Router(config-if)#{protocol}access-groupaccess-list-number其中{protocol}是指協(xié)議類型。刪除被建立的訪問控制列表的命令如下：Router(config)#noaccess-listaccess-list-numberACL的語(yǔ)句不能逐條刪除，只能一次性刪除整個(gè)ACL（把列表號(hào)刪除）。2023/2/4網(wǎng)絡(luò)互聯(lián)及應(yīng)用17訪問控制列表2023/2/4網(wǎng)絡(luò)互聯(lián)及應(yīng)用18標(biāo)準(zhǔn)訪問控制列表單元目標(biāo)及任務(wù)了解標(biāo)準(zhǔn)訪問控制列表的工作過程；掌握標(biāo)準(zhǔn)訪問控制列表的配置命令格式；在三方培訓(xùn)學(xué)校校園網(wǎng)中進(jìn)行標(biāo)準(zhǔn)訪問控制列表的配置實(shí)訓(xùn)。2023/2/4網(wǎng)絡(luò)互聯(lián)及應(yīng)用19標(biāo)準(zhǔn)訪問控制列表的工作過程StandardACL檢查可以被路由的IP分組的源地址，并且把它與StandardACL中的條件判斷語(yǔ)句相比較，決定其是被允許，還是被拒絕。StandardACL可以基于網(wǎng)絡(luò)、子網(wǎng)及主機(jī)IP地址允許或拒絕整個(gè)協(xié)議組(如IP)。例如，從路由器接口進(jìn)來的分組經(jīng)過檢查其源地址和協(xié)議類型，并且與StandardACL條件判斷語(yǔ)句相比較，如果匹配則執(zhí)行允許或拒絕。如果該分組被允許通過，就從路由器的出口轉(zhuǎn)發(fā)出去；如果該分組沒有被允許，就簡(jiǎn)單地丟棄它。其工作過程如圖3所示。2023/2/4網(wǎng)絡(luò)互聯(lián)及應(yīng)用202023/2/4網(wǎng)絡(luò)互聯(lián)及應(yīng)用21圖3StandardACL的工作過程標(biāo)準(zhǔn)訪問控制列表的配置命令配置StandardACL的方法如下：在全局模式下建立StandardACL：Router(config)#access-listaccess-list-number{permit|deny}source[source-wildcard]其中access-list-number是指StandardACL的列表號(hào)，范圍為1-99。source表示源IP地址，source-wildcard是該地址的通配符掩碼。當(dāng)一系列的建立StandardACL的命令語(yǔ)句都使用同一個(gè)列表號(hào)時(shí)，這些語(yǔ)句就組成了一個(gè)StandardACL，其與數(shù)據(jù)包信息相比較的順序就是命令語(yǔ)句鍵入的順序。在接口模式上應(yīng)用StandardACL的命令如下：Router(config-if)#ipaccess-groupaccess-list-number{in|out}其中{in|out}是在路由器接口上應(yīng)用StandardACL的方向，默認(rèn)是out（出方向）。2023/2/4網(wǎng)絡(luò)互聯(lián)及應(yīng)用22標(biāo)準(zhǔn)訪問控制列表的配置實(shí)訓(xùn)步驟1：在分校區(qū)Branch_Router路由器上建立動(dòng)態(tài)路由Branch_Router(config)#routerripBranch_Router(config-router)#networkBranch_Router(config-router)#network步驟2：在主校區(qū)Teaching_Router路由器上建立動(dòng)態(tài)路由Teaching_Router(config)#routerripTeaching_Router(config-router)#networkTeaching_Router(config-router)#networkTeaching_Router(config-router)#network

2023/2/4網(wǎng)絡(luò)互聯(lián)及應(yīng)用23步驟3：在生活區(qū)Living_Router路由器建立動(dòng)態(tài)路由Living_Router(config)#routerripLiving_Router(config-router)#networkLiving_Router(config-router)#network

步驟4：在分校區(qū)路由器Branch_Router上創(chuàng)建StandardACL，禁止學(xué)生宿舍的主機(jī)訪問汽車培訓(xùn)部的主機(jī)。

Branch_Router(config)#access-list99deny55Branch_Router(config)#access-list99permitanyBranch_Router(config)#interfacefastethernet0/1

Branch_Router(config-if)#ipaccess-group99out2023/2/4網(wǎng)絡(luò)互聯(lián)及應(yīng)用24訪問控制列表2023/2/4網(wǎng)絡(luò)互聯(lián)及應(yīng)用25擴(kuò)展訪問控制列表單元目標(biāo)及任務(wù)了解擴(kuò)展訪問控制列表的工作過程；掌握擴(kuò)展訪問控制列表的配置命令格式；在三方培訓(xùn)學(xué)校校園網(wǎng)中進(jìn)行擴(kuò)展訪問控制列表的配置實(shí)訓(xùn)。2023/2/4網(wǎng)絡(luò)互聯(lián)及應(yīng)用26擴(kuò)展訪問控制列表的工作過程ExtendedACL比StandardACL使用得更廣泛，因?yàn)樗峁┝烁蟮膹椥院涂刂品秶?。ExtendedACL既可檢查分組的源地址和目的地址，也可檢查協(xié)議類型和TCP或UDP的端口號(hào)。ExtendedACL可以基于分組的源地址、目的地址、協(xié)議類型、端口地址和應(yīng)用來決定訪問是允許還是拒絕。StandardACL只能禁止或拒絕整個(gè)協(xié)議集，而ExtendedACL可以允許或拒絕協(xié)議集中的某些協(xié)議。例如，允許HTTP而拒絕FTP。路由器根據(jù)ExtendedACL來檢查分組的工作過程如圖4所示。2023/2/4網(wǎng)絡(luò)互聯(lián)及應(yīng)用272023/2/4網(wǎng)絡(luò)互聯(lián)及應(yīng)用28圖4路由器根據(jù)ExtendedACL來檢查分組的工作過程擴(kuò)展訪問控制列表的配置命令配置ExtendedACL的方法如下：在全局模式下建立ExtendedACL：Router(config)#access-listaccess-list-number{permit|deny}protocolsourcesource–wildcard[operatorport]destinationdestination-wildcard[operatorport][established][log]其中access-list-number是指ExtendedACL的列表號(hào)，范圍為100-199，1300~1999，2000~2699；sourcesource-wildcard表示源IP地址和源地址的IP地址的通配符掩碼；destinationdestination-wildcard表示目的IP地址和目的IP地址的通配符掩碼；[operatorport]表示端口號(hào)；“[]”中的是可選項(xiàng)。established可選項(xiàng)比較特殊，在訪問控制列表語(yǔ)句中鍵入該可選項(xiàng)，可以在拒絕數(shù)據(jù)包通過的方向上，讓已經(jīng)建立起會(huì)話連接的TCP數(shù)據(jù)流通過（如TCP的ACK確認(rèn)包），從而達(dá)到單向訪問的目的。在防火墻上經(jīng)常使用帶有established可選項(xiàng)的ExtendedACL語(yǔ)句，以達(dá)到在防止外部攻擊的同時(shí)企業(yè)內(nèi)部的用戶可以正常地與Internet連接的目的。從該命令可以看出，ExtendedACL比StandardACL具有更強(qiáng)的靈活性。2023/2/4網(wǎng)絡(luò)互聯(lián)及應(yīng)用29在接口模式上應(yīng)用ExtendedACL的命令如下：Router(config-line)#access-classaccess-list-number{in|out}其中{in|out}是在路由器接口上應(yīng)用ExtendedACL的方向，默認(rèn)是out（出方向）。其實(shí)在接口上應(yīng)用訪問控制列表的命令格式，ExtendedACL和StandardACL是一樣的，只不過所使用的列表號(hào)不同而已。2023/2/4網(wǎng)絡(luò)互聯(lián)及應(yīng)用30擴(kuò)展訪問控制列表的配置實(shí)訓(xùn)步驟1：建立各路由器的動(dòng)態(tài)路由（略，請(qǐng)參考StandardACL中的配置）步驟2：在生活區(qū)路由器Living_Router上創(chuàng)建ExtendedACL，禁止學(xué)生宿舍的主機(jī)PC4訪問汽車培訓(xùn)部的主機(jī)PC1，而其它主機(jī)之間則能正常通信。Living_Router(config-router)#exitLiving_Router(config)#access-list199denyiphosthostLiving_Router(config)#access-list199permitanyanyLiving_Router(config)#interfacefastethernet0/0Living_Router(config