第八講 訪問(wèn)控制列表

？問(wèn)題1公網(wǎng)互聯(lián)網(wǎng)用戶(hù)對(duì)外信息服務(wù)器員工上網(wǎng)信息服務(wù)器問(wèn)題1作為公司網(wǎng)絡(luò)管理員，當(dāng)公司領(lǐng)導(dǎo)提出下列要求時(shí)你該怎么辦？為了提高工作效率，不允許員工上班時(shí)間進(jìn)行QQ聊天、MSN聊天等，但需要保證正常的訪問(wèn)Internet，以便查找資料了解客戶(hù)及市場(chǎng)信息等。公司有一臺(tái)服務(wù)器對(duì)外提供有關(guān)本公司的信息服務(wù)，允許公網(wǎng)用戶(hù)訪問(wèn)，但為了內(nèi)部網(wǎng)絡(luò)的安全，不允許公網(wǎng)用戶(hù)訪問(wèn)除信息服務(wù)器之外的任何內(nèi)網(wǎng)節(jié)點(diǎn)。問(wèn)題2問(wèn)題2在企業(yè)內(nèi)部網(wǎng)絡(luò)中，會(huì)存在一些重要的或者保密的資源或者數(shù)據(jù)，為了防止公司員工有意或無(wú)意的破壞或者訪問(wèn)，對(duì)這些服務(wù)器應(yīng)該只允許相關(guān)人員訪問(wèn)。如何做到這一點(diǎn)？訪問(wèn)控制列表(ACL)ACL概述基本ACL配置擴(kuò)展ACL配置什么是ACL?ACL是路由器處理數(shù)據(jù)包轉(zhuǎn)發(fā)的一組規(guī)則，路由器利用這組規(guī)則來(lái)決定數(shù)據(jù)包允許轉(zhuǎn)發(fā)還是拒絕轉(zhuǎn)發(fā)如果不設(shè)置ACL，路由器將轉(zhuǎn)發(fā)網(wǎng)絡(luò)鏈路上所有數(shù)據(jù)包，當(dāng)網(wǎng)絡(luò)管理設(shè)置了ACL以后可以決定哪些數(shù)據(jù)包可以轉(zhuǎn)發(fā)，哪些不可以轉(zhuǎn)發(fā)。可以利用下列參數(shù)允許或拒絕發(fā)送數(shù)據(jù)包：源地址目的地址上層協(xié)議(例如：TCP&UDP端口號(hào))ACL可以應(yīng)用于該路由器上所有的可路由協(xié)議，對(duì)于一個(gè)接口上的不同網(wǎng)絡(luò)協(xié)議需要配置不同的ACL使用ACL檢測(cè)數(shù)據(jù)包為了決定是轉(zhuǎn)發(fā)還是拒絕數(shù)據(jù)包，路由器按照ACL中各條語(yǔ)句的順序來(lái)依次匹配該數(shù)據(jù)包當(dāng)數(shù)據(jù)包與一條語(yǔ)句的條件匹配了，則忽略ACL中的剩余語(yǔ)句的匹配處理，該數(shù)據(jù)包將按照當(dāng)前語(yǔ)句的設(shè)定來(lái)進(jìn)行轉(zhuǎn)發(fā)或拒絕轉(zhuǎn)發(fā)的處理在ACL的最后都有一條缺省的“denyany”語(yǔ)句如果ACL中的所有顯式語(yǔ)句沒(méi)有匹配上，那么將匹配這條缺省的語(yǔ)句ACL可以實(shí)時(shí)的創(chuàng)建，即實(shí)時(shí)有效的；因此不能單獨(dú)修改其中的任何一條或幾條，只能全部重寫(xiě)因此，不要在路由器上直接編寫(xiě)一個(gè)大型的ACL，最好使用文字編輯器編寫(xiě)好整個(gè)ACL后傳送到路由器上。路由器如何使用ACL（出站）檢查數(shù)據(jù)包是否可以被路由，可路由地將在路由表中查詢(xún)路由檢查出站接口的ACL如果沒(méi)有ACL，將數(shù)據(jù)包交換到出站的接口如果有ACL，按照ACL語(yǔ)句的次序檢測(cè)數(shù)據(jù)包直至有了匹配條件，按照匹配條件的語(yǔ)句對(duì)數(shù)據(jù)包進(jìn)行數(shù)據(jù)包的允許轉(zhuǎn)發(fā)或拒絕轉(zhuǎn)發(fā)如果沒(méi)有任何語(yǔ)句匹配，將怎樣？——使用缺省的“denyany”(拒絕所有)語(yǔ)句出站標(biāo)準(zhǔn)ACL處理流程出站數(shù)據(jù)包進(jìn)行路由表的查詢(xún)接口有ACL?匹配？列表中的下一項(xiàng)更多的項(xiàng)目？執(zhí)行條件允許Permit拒絕Deny否否無(wú)是是有向源站發(fā)送ICMP信息轉(zhuǎn)發(fā)數(shù)據(jù)包ACL不檢查路由器本身產(chǎn)生的數(shù)據(jù)包ACL只檢查其他來(lái)源的數(shù)據(jù)包ACL語(yǔ)句按自頂向下的順序進(jìn)行處理，因此需要將最嚴(yán)格的語(yǔ)句放在列表頂部，最不嚴(yán)格的語(yǔ)句放在列表底部如果ACL中沒(méi)有找到匹配項(xiàng)，則執(zhí)行隱性拒絕語(yǔ)句每個(gè)接口的每個(gè)方向只能應(yīng)用一個(gè)IPACL。ACL的特點(diǎn)ACL分類(lèi)標(biāo)準(zhǔn)訪問(wèn)控制列表：只對(duì)數(shù)據(jù)包中源地址進(jìn)行檢查。擴(kuò)展訪問(wèn)控制列表：即檢查源地址，也檢查目標(biāo)地址，以及數(shù)據(jù)包的上層協(xié)議。在全局配置模式下按序輸入ACL語(yǔ)句Router(config)#access-listaccess-list-number{permit/deny/remark}{test-conditions|remark}Lab-D(config)#access-list1remarkpermitmanageronlytoInternetLab-D(config)#access-list1permit0在接口配置模式中配置接口使用的ACLRouter(config-if)#{protocol}access-groupaccess-list-number{in/out}Lab-D(config-if)#ipaccess-group1out標(biāo)準(zhǔn)IPACL的配置{in/out}：指明對(duì)哪個(gè)方向的數(shù)據(jù)進(jìn)行檢查access-list-number參數(shù)ACL有多種類(lèi)型，access-list-number與ACL的類(lèi)型有關(guān)下表顯示了主要的一些ACL類(lèi)型與access-list-number的關(guān)系A(chǔ)CL類(lèi)型access-list-number標(biāo)準(zhǔn)IP1~99or1300~1999擴(kuò)展IP100~199or2000~2699AppleTalk600~699標(biāo)準(zhǔn)IPX800~899擴(kuò)展IPX900~999IPXSAP1000~1099permit/deny/remark參數(shù)在輸入了access-list命令并選擇了正確的

access-list-number后，需要使用permit或

deny參數(shù)來(lái)選擇希望路由器采取的動(dòng)作remark：在標(biāo)準(zhǔn)或擴(kuò)展訪問(wèn)控制列表中加入注釋或備注，便于理解訪問(wèn)控制列表的含義。PermitDeny丟棄數(shù)據(jù)包，向源站發(fā)送ICMP消息轉(zhuǎn)發(fā)數(shù)據(jù)包{test-conditions}參數(shù)在ACL的{testconditions}部分，需要根據(jù)存取列表的不同輸入不同的參數(shù)使用最多的是希望控制的IP地址和通配符掩碼IP地址可以是子網(wǎng)、一組地址或單一節(jié)點(diǎn)地址路由器使用通配符掩碼來(lái)決定檢查地址的哪些位Lab-A(config)#access-list1deny0IP地址通配符掩碼通配符掩碼通配符掩碼指定了路由器在匹配地址時(shí)檢查哪些位忽略哪些位通配符掩碼中為“0”的位表示需要檢查的位，為“1”的位表示忽略檢查的位，這與子網(wǎng)掩碼中的意義是完全不同的0二進(jìn)制方式的表示如下：11000000.00000101.00000101.00001010(源地址)00000000.00000000.00000000.00000000(通配符掩碼)通配符掩碼之后若干張幻燈片中將練習(xí)處理通配符掩碼，類(lèi)似于子網(wǎng)掩碼，這需要一段時(shí)間掌握計(jì)算表示下列網(wǎng)絡(luò)中的所有節(jié)點(diǎn)的通配符掩碼：

答案：55這個(gè)通配符掩碼與C類(lèi)地址的子網(wǎng)掩碼正好相反注意：針對(duì)整個(gè)網(wǎng)絡(luò)或子網(wǎng)中所有節(jié)點(diǎn)的通配符掩碼一般都是這樣的通配符掩碼練習(xí)計(jì)算表示下列子網(wǎng)中所有節(jié)點(diǎn)的通配符掩碼：224答案是：211與24正好相反二進(jìn)制的形式11111111.11111111.11111111.11100000(24)00000000.00000000.00000000.00011111(1)為了證明通配符掩碼的工作，請(qǐng)看.32子網(wǎng)中的節(jié)點(diǎn)地址——511000000.00000101.00000101.00110111(5)節(jié)點(diǎn)地址11000000.00000101.00000101.00100000(2)控制ip地址00000000.00000000.00000000.00011111(1)通配符掩碼通配符掩碼練習(xí)在下面的例子中，藍(lán)色的位是必須匹配檢查的位11000000.00000101.00000101.00110111(5)節(jié)點(diǎn)地址11000000.00000101.00000101.00100000(2)控制的ip地址00000000.00000000.00000000.00011111(1)通配符掩碼必須牢記：通配符掩碼中為“0”的位表示需要檢查的位，為“1”的位表示忽略檢查的位在本例中，根據(jù)通配符掩碼中為0的位，比較數(shù)據(jù)包的源地址和控制的IP地址中相關(guān)的各個(gè)位，當(dāng)每位都相同時(shí)，說(shuō)明兩者匹配掩碼為92的4子網(wǎng)的控制IP地址和通配符掩碼?答案：43通配符掩碼練習(xí)掩碼為的子網(wǎng)的控制IP地址和通配符掩碼?答案：55掩碼為的子網(wǎng)的控制IP地址和通配符掩碼?答案：55掩碼為的子網(wǎng)的控制IP地址和通配符掩碼?答案：55通配符掩碼練習(xí)計(jì)算控制IP地址和通配符掩碼是比較復(fù)雜的，尤其是控制網(wǎng)絡(luò)中的一部分節(jié)點(diǎn)時(shí)為了控制網(wǎng)絡(luò)中一部分節(jié)點(diǎn)往往需要在二進(jìn)制方式下進(jìn)行計(jì)算例如：學(xué)生使用到27地址范圍，教師使用28到54地址范圍。這些地址處在相同的網(wǎng)絡(luò)中/24怎樣來(lái)計(jì)算？控制一段地址范圍內(nèi)的節(jié)點(diǎn)對(duì)于學(xué)生使用的地址范圍首先，以二進(jìn)制方式寫(xiě)出第一個(gè)和最后一個(gè)節(jié)點(diǎn)地址。由于前三個(gè)8位組是相同的，所以可以忽略它們，在通配符掩碼中相應(yīng)的位必須為“0”第一個(gè)地址：00000001最后一個(gè)地址：01111111其次，查找前面的兩者相同的位(下圖的藍(lán)色部分)0000000101111111這些相同的位將與前面的網(wǎng)絡(luò)地址部分(192.5.5)一樣進(jìn)行匹配檢驗(yàn)例子：地址區(qū)域到.127和.128到.254控制一段地址范圍內(nèi)的節(jié)點(diǎn)第三，計(jì)算剩余節(jié)點(diǎn)地址部分的十進(jìn)制值(127)最后，決定控制的IP地址和通配符掩碼控制IP地址可以使用所控制范圍內(nèi)的任何一個(gè)節(jié)點(diǎn)地址，但約定俗成的使用所控制范圍的第一個(gè)節(jié)點(diǎn)地址上述相同的位在通配符掩碼中為“0”27對(duì)于教師部分地址：28(10000000)到54(11111110)答案：2827請(qǐng)思考兩者的不同例子：地址區(qū)域到.127和.128到.254控制一段地址范圍內(nèi)的節(jié)點(diǎn)控制網(wǎng)絡(luò)/24中的所有偶數(shù)地址的控制IP地址和通配符掩碼？答案：54控制網(wǎng)絡(luò)/24中的所有奇數(shù)地址的控制IP地址和通配符掩碼？答案：54控制一段地址范圍內(nèi)的節(jié)點(diǎn)由于ACL末尾都有一個(gè)隱含的“denyany”語(yǔ)句，需要在ACL前面部分寫(xiě)入其他“允許”的語(yǔ)句使用上面的例子，如果不允許學(xué)生訪問(wèn)而其他的訪問(wèn)都允許，需要如下兩條語(yǔ)句：Lab-A(config)#access-list1deny27Lab-A(config)#access-list1permit55由于最后的一條語(yǔ)句通常用來(lái)防止由于隱含語(yǔ)句使得所有網(wǎng)絡(luò)功能失效，為了方便輸入，可以使用any

命令：Lab-A(config)#access-list1permitanyany命令眾多情況下，網(wǎng)絡(luò)管理員需要在ACL處理單獨(dú)節(jié)點(diǎn)的情況，可以使用兩種命令：Lab-A(config)#access-list1permit0或...Lab-A(config)#access-list1permithost0host命令Show命令showaccess-lists顯示在路由器上的所有配置好的ACLshowaccess-lists{name|number}顯示指定的ACLshowipinterface顯示接口上使用的ACL——入站和出站showrunning-config顯示當(dāng)前的路由器的整個(gè)配置驗(yàn)證ACL請(qǐng)參考下圖，為了限制網(wǎng)斷訪問(wèn)網(wǎng)斷，考慮語(yǔ)句“deny55”放置在Lab-A路由器的E0接口上時(shí)，網(wǎng)絡(luò)中的數(shù)據(jù)通訊情況這樣所有網(wǎng)絡(luò)向外的通訊數(shù)據(jù)全部被拒絕標(biāo)準(zhǔn)ACL不處理目的地相關(guān)參數(shù)，因此，標(biāo)準(zhǔn)ACL應(yīng)該放置在最接近目的地的地點(diǎn)標(biāo)準(zhǔn)ACL的正確放置位置標(biāo)準(zhǔn)訪問(wèn)控制列表例標(biāo)準(zhǔn)訪問(wèn)控制列表例假定人力資源網(wǎng)中，財(cái)務(wù)部門(mén)人員使用的IP地址為~94，相關(guān)領(lǐng)導(dǎo)使用的IP地址為40。給出標(biāo)準(zhǔn)訪問(wèn)控制列表的配置，只允許財(cái)務(wù)部們?nèi)藛T和相關(guān)領(lǐng)導(dǎo)訪問(wèn)財(cái)務(wù)網(wǎng)。假定人力資源網(wǎng)中，財(cái)務(wù)部門(mén)人員使用的IP地址為~33，相關(guān)領(lǐng)導(dǎo)使用的IP地址為4~67。給出標(biāo)準(zhǔn)訪問(wèn)控制列表的配置，只允許財(cái)務(wù)部們?nèi)藛T和相關(guān)領(lǐng)導(dǎo)訪問(wèn)財(cái)務(wù)網(wǎng)。標(biāo)準(zhǔn)訪問(wèn)控制列表例例1答案Access-list1permit3Access-list1deny5Access-list1permit41例2答案Access-list1permitAccess-list1permit65Access-list1permit2限制對(duì)路由器的Telnet訪問(wèn)建立一個(gè)標(biāo)準(zhǔn)的訪問(wèn)控制列表在vty的配置模式下建立與ACL的關(guān)聯(lián)

Router(config)#line

vty04

Router(config)#access-classaccess-list-numin擴(kuò)展ACL的編號(hào)為100–199，擴(kuò)展ACL增強(qiáng)了標(biāo)準(zhǔn)ACL的功能增強(qiáng)ACL可以基于下列參數(shù)進(jìn)行網(wǎng)絡(luò)傳輸?shù)倪^(guò)濾目的地址IP協(xié)議可以使用協(xié)議的名字來(lái)設(shè)定檢測(cè)的網(wǎng)絡(luò)協(xié)議或路由協(xié)議，例如：ICMP、TCP和UDP等等TCP/IP協(xié)議族中的上層協(xié)議可以使用名稱(chēng)來(lái)表示上層協(xié)議，例如：“ftp”或“www”也可以使用操作符eq、gt、lt和neq(equalto,greaterthan,lessthan和notequalto)來(lái)處理部分協(xié)議例如：希望允許除了http之外的所有通訊，其語(yǔ)句是permittcpanyanyneq80擴(kuò)展ACL概貌在全局配置模式下逐條輸入ACL語(yǔ)句Router(config)#access-listaccess-list-number{permit|deny}{protocol|protocol-keyword}{sourcesource-wildcard}[protocol-specificoptions]{destinationdestination-wildcard}[protocol-specificoptions]Lab-A(config)#access-list101denytcp5555eqtelnet在接口配置中將接口劃分到各個(gè)ACL中(與標(biāo)準(zhǔn)ACL的語(yǔ)法一樣)Router(config-if)#{protocol}access-groupaccess-list-number{in/out}Lab-A(config-if)#ipaccess-group101out擴(kuò)展ACL的配置access-list-number

從100到199中選擇一個(gè){protocol|protocol-number}

對(duì)于CCNA，僅僅需要了解ip和tcp——實(shí)際上有更多的參數(shù)選項(xiàng){sourcesource-wildcard}與標(biāo)準(zhǔn)ACL相同{destinationdestination-wildcard}與標(biāo)準(zhǔn)ACL相同，但是是指定傳輸?shù)哪康腫protocol-specificoptions]本參數(shù)用來(lái)指定需要過(guò)濾的上層協(xié)議擴(kuò)展的參數(shù)請(qǐng)復(fù)習(xí)TCP和UDP的端口號(hào)也可以使用名稱(chēng)來(lái)代替端口號(hào)，例如：使用telnet來(lái)代替端口號(hào)23端口號(hào)協(xié)議名稱(chēng)20，21FTP23Telnet25SMTP53DNS6980TFTPWWW端口號(hào)放置擴(kuò)展ACL的正確位置在下圖中，需要設(shè)定網(wǎng)絡(luò)中的所有節(jié)點(diǎn)不能訪問(wèn)地址為4服務(wù)器在哪個(gè)路由器的哪個(gè)接口上放置ACL?在RouterC的E0接口上放置這將防止中的所有機(jī)器訪問(wèn)4，但是他們可以繼續(xù)訪問(wèn)Internet由于擴(kuò)展ACL可以控制目的地地址，所以應(yīng)該放置在盡量接近數(shù)據(jù)發(fā)送源的路由器上。減少網(wǎng)絡(luò)資源的浪費(fèi)。放置擴(kuò)展ACL的正確位置Router-C(config)#access-list100denyip554Router-C(config)#access-list100permitipanyanyRouter-C(config)#inte0Router-C(config-if)#ipaccess-group100in使用ACL擴(kuò)展訪問(wèn)控制列表例如上圖，網(wǎng)絡(luò)中部門(mén)經(jīng)理使用的IP地址為,部門(mén)經(jīng)理可以訪問(wèn)內(nèi)網(wǎng)server及與內(nèi)網(wǎng)結(jié)點(diǎn)通信，并訪問(wèn)Internet，員工不能訪問(wèn)server，但可以和內(nèi)網(wǎng)其他節(jié)點(diǎn)通信，只允許員工訪問(wèn)Internet的WWW的服務(wù)和收發(fā)郵件。答案Access-list100permitiphostanyAccess-listdenyip0.0.255host4

Access-listpermitip