《網(wǎng)絡設備安全》課件第9章 訪問控制列表的應用

培養(yǎng)目標通過本章的學習，希望您能夠：熟悉訪問控制列表概念掌握IP訪問控制配置方法掌握MAC訪問控制列表配置方法熟悉顯示ACL配置訪問控制列表概述訪問控制列表（AccessControlList）是一個有序的語句集，它通過對比報文中字段值與訪問控制列表參數(shù)，來允許或拒絕報文通過某個接口。訪問控制列表作用：安全控制流量過濾數(shù)據(jù)流量標識ACL語句組成：條件：用來匹配數(shù)據(jù)包中字段值操作：條件匹配時，可以采取允許和拒絕兩個操作ACL報文ACL工作原理及規(guī)則入站ACL入站數(shù)據(jù)先判斷ACL后執(zhí)行路由ACL工作原理及規(guī)則出站ACL出站數(shù)據(jù)先進行路由再應用ACLACL工作原理及規(guī)則基本規(guī)則ACL規(guī)則按名稱或編號進行分組列表中每條ACL語句有一組條件和一個操作，如果需要多個條件或多個操作，則必須使用多個ACL語句來完成如果當前語句的條件沒有匹配，則處理列表中的下一條語句如果條件匹配，則執(zhí)行語句后面的操作，且不再與其他ACL語句進行匹配如果列表中的所有語句都不匹配，那么丟棄該數(shù)據(jù)包注意：由于ACL語句默認是拒絕不匹配的數(shù)據(jù)包，所以在列表中至少要有一個允許的操作。否則，所有數(shù)據(jù)包都會被拒絕掉注意語句的順序。條件嚴的語句應該放在列表的頂部，條件寬的語句應該放在列表的底部。從而，避免條件嚴的語句永遠也得不到執(zhí)行ACL工作原理及規(guī)則注意事項一個ACL列表中至少要有一條允許或拒絕的語句只能在設備的每個接口、每個協(xié)議、每個方向上應用一個ACLACL只能應用在接口上先處理入站ACL，再進行數(shù)據(jù)路由先進行數(shù)據(jù)路由，再處理出站接口上的出站ACLACL會影響通過接口的流量和速度，但不會過濾路由器本身產(chǎn)生的流量放置位置只過濾數(shù)據(jù)包源地址的ACL應該放置在離目的地盡量近的地方過濾數(shù)據(jù)包的源地址和目的地址以及其他信息的ACL，則應該盡量放在離源地址近的地方準備知識（四）標準和擴展ACLACL的種類ACL種類：標準ACL：只能過濾IP數(shù)據(jù)包頭中的源IP地址擴展ACL：可以過濾源IP地址、目的IP地址、協(xié)議（TCP/IP）、協(xié)議信息（端口號、標志代碼）等時間ACL：可以根據(jù)時間段進行擴展ACL過濾專家ACL：可以過濾源IP、源MAC、源端口、目標IP、目標MAC、目標端口、時間等標準ACL標準ACL只能過濾IP數(shù)據(jù)包頭中的源IP地址標準ACL通常配置在路由器上實現(xiàn)以下功能：

限制通過VTY線路對路由器的訪問（telnet、SSH）限制通過HTTP或HTTPS對路由器的訪問過濾路由更新標準ACL通過兩種方式創(chuàng)建標準ACL：編號或名稱使用編號創(chuàng)建創(chuàng)建ACL(config)#access-listlistnumber{permit|deny}address[wildcard–mask]在接口上應用(config-if)#ipaccess-group{id|name}{in|out}In：當數(shù)據(jù)流入路由器接口時Out：當數(shù)據(jù)流出路由器接口時使用命名創(chuàng)建定義ACL名稱(config)#ipaccess-liststandard

name定義規(guī)則(config-std-nacl)#deny|permit[source

wildcard

any]在接口上應用擴展訪問控制列表擴展的IP訪問表用于擴展報文過濾的能力。擴展訪問列表允許過濾內(nèi)容：源和目的地址、協(xié)議、源和目的端口以及在特定報文字段中允許進行特殊位比較的各種選項。擴展訪問控制列表通過兩種方式創(chuàng)建擴展ACL：編號或名稱使用編號創(chuàng)建創(chuàng)建ACL(config)#access-listlistnumber{permit|deny}protocolsourcesource-wildcard–maskdestinationdestination-wildcard–mask

[operatoroperand]在接口上應用(config-if)#ipaccess-group{id|name}{in|out}使用命名創(chuàng)建定義ACL名稱(config)#ipaccess-listextended

name定義規(guī)則(config-ext-nacl)#{deny|permit}protocol{sourcesource-wildcard|hostsource|any}[operator

port]在接口上應用配置標準ACL示例配置擴展ACL示例PART/03擴展ACL定義9.2IP訪問控制列表1)限制主機22到網(wǎng)絡/16的ICMP流量RB(config)#

access-list101denyicmphost2255RB(config)#

access-list101permitipanyanyRB(config)#inte0RB(config-if)#ipaccess-group101inRB(config-if)#noipaccess-group101in（如需刪除，則使用此命令）2)限制網(wǎng)絡/24到所有網(wǎng)絡的ICMP流量RB(config)#

access-list102denyicmp55anyRB(config)#access-list102permitipanyanyRB(config)#inte0RB(config-if)#ipaccess-group102inRB(config-if)#noipaccess-group102in9.2IP訪問控制列表3）只允許主機9通過Telnet訪問/16網(wǎng)段RB(config)#access-list103permittcphost955eq23RB(config)#inte0RB(config-if)#ipaccess-group103inRB(config-if)#noipaccess-group103in4）使所有其他網(wǎng)段只能訪問/24的WWW、FTP、TELNET服務RB(config)#access-list104permittcpany55eqwwwRB(config)#access-list104permittcpany55eqftpRB(config)#access-list104permittcpany55eqtelnetPART/03擴展ACL定義驗證ACL配置顯示所有協(xié)議的所有ACL查看接口應用的ACL情況Router#showaccess-listsRouter#

showipaccess-group

交換機除了像路由器一樣支持IP訪問列表，還支持Ethernet(MAC)訪問列表。我們可以在交換機配置IP訪問列表過濾IP通信，還可以配置Ethernet訪問列表過濾非IP通信。配置MAC擴展ACL的過程，與配置IP擴展ACL的配置過程是類似的。我們只需要按照IPACL方法，將ipaccess-list換成macaccess-list命令來創(chuàng)建MAC擴展ACL，9.3MAC擴展訪問控制列表9.3MAC擴展訪問控制列表步驟命令含義步驟1switch#configureterminal進入全局配置模式。

步驟2switchr(config)#MACaccess-listextended{name}以名字定義一條MACextendedacl，并進入access-list配置模式步驟3switch(config-ext-nacl)#{deny|permit}{any|hostsourceMACaddress}{any|hostdestinationMACaddress}[aarp|appletalk|decnet-iv|diagnostic|etype-6000|etype-8042|lat|lavc-sca|mop-console|mop-dump|mumps|netbios|vines-echo|xns-idp]在access-list配置模式，聲明對任意源MAC地址或指定的源MAC地址、對任意目的MAC地址或指定的目的MAC地址的報文設置允許其通過或拒絕之的條件。(可選項)你可以輸入如下以太網(wǎng)協(xié)議類型：aarp|appletalk|decnet-iv|diagnostic|etype-6000|etype-8042|lat|lavc-sca|mop-console|mop-dump|mumps|netbios|vines-echo|xns-idp。步驟4switch(config-ext-nacl)#end回到特權模式。

步驟5switch#showaccess-lists[name]驗證配置。

步驟6switch#copyrunning-configstartup-config保存配置（可選）。例如：如何創(chuàng)建及顯示一條MAC擴展ACL，以名字macext來命名。該MAC擴展ACL拒絕所有符合指定源MAC地址的aarp報文在創(chuàng)建了一條ACL之后，你必須將其應用到所要過濾的接口上，它才能生效，還需要使用MACaccess-group命令將其應用到指定接口上