第26講12標(biāo)準(zhǔn)訪問控制列表acl

1、第26講實驗12 標(biāo)準(zhǔn)訪問控制列表(ACL),主講：史寶會,2,一、實驗?zāi)康?1.       理解網(wǎng)絡(luò)訪問控制列表的作用2.       掌握標(biāo)準(zhǔn)訪問控制列表的工作原則3.       掌握標(biāo)準(zhǔn)訪問控制列表的配置方法4. 掌握將標(biāo)準(zhǔn)訪問控制

2、列表綁定到路由器端口的方法,3,二、網(wǎng)絡(luò)拓樸,4,三、實驗內(nèi)容,1．根據(jù)實驗拓樸圖連接網(wǎng)絡(luò)環(huán)境2．使用RIP協(xié)議達到全網(wǎng)連通3．使用標(biāo)準(zhǔn)訪問列表，限制網(wǎng)絡(luò)通信，具體要求如下：RC的E0端口只允許來自于網(wǎng)絡(luò)192.16810.0的數(shù)據(jù)報被轉(zhuǎn)發(fā)，其余的將被阻止。RC的S0端口不允許來自于特定地址PC4的數(shù)據(jù)流，其它的數(shù)據(jù)流將被轉(zhuǎn)發(fā)。RA的S0端口不允許來自于特定網(wǎng)絡(luò)192.168.30.0的數(shù)據(jù)，而轉(zhuǎn)發(fā)其它的數(shù)據(jù)RB的S0端口不

3、允許來自于特定網(wǎng)絡(luò)192.168.30.0的數(shù)據(jù)，而轉(zhuǎn)發(fā)其它的數(shù)據(jù),5,實驗注意事項,配置標(biāo)準(zhǔn)訪問列表之前保證配置RIP協(xié)議過到全網(wǎng)連通通過串口線連接的路由器端口（S口）使用HDLC封裝協(xié)議注意配置串口線的DCE端口的時鐘速率注意每一條標(biāo)準(zhǔn)訪問列表中最少有一條permit語句訪問列表定義之后一定要綁定到路由器的某個端口上,6,實驗報告要求,1．畫出實驗網(wǎng)絡(luò)環(huán)境拓樸。2．寫出實驗過程所有路由器的配置內(nèi)容。3．分析實驗過程中配置

4、網(wǎng)絡(luò)設(shè)備的命令，并寫出現(xiàn)的問題的解決的方案,7,教學(xué)目標(biāo),Access Control List訪問列表（ACL）的作用訪問列表的分類標(biāo)準(zhǔn)訪問列表的應(yīng)用及配置擴展訪問列表的應(yīng)用及配置應(yīng)用ACL控制和管理通信流量,8,訪問列表的概念,訪問列表的定義是一系列運用網(wǎng)絡(luò)地址或者上層協(xié)議上的允許或拒絕指令的集合這些指令將運用到網(wǎng)絡(luò)地址或者上層協(xié)議上這些指令告訴路由器接受哪些數(shù)據(jù)報而拒絕哪些數(shù)據(jù)報。ACL使得用戶能夠管理數(shù)據(jù)流，檢

5、測特定的數(shù)據(jù)報。接受或者拒絕根據(jù)一定的規(guī)則進行，如源地址，目標(biāo)地址，端口號等。路由器將根據(jù)ACL中指定的條件，對經(jīng)過路由器端口的數(shù)據(jù)報進行檢查。ACL可以基于所有的Routed Protocols，如IP，IPX，對經(jīng)過路由器的數(shù)據(jù)報進行過濾。,9,訪問列表應(yīng)用圖例,10,訪問控制列表的作用,ACL具有靈活的基本數(shù)據(jù)流過濾能力和特定的控制能力。訪問列表可以控制非法的網(wǎng)絡(luò)訪問，允許正常的網(wǎng)絡(luò)訪問路由器提供了基本的數(shù)據(jù)流過濾能力

6、如使用訪問控制列表（ACL），可以有條件地阻止Internet數(shù)據(jù)流。在路由器接口處，決定哪種類型的通信流量被轉(zhuǎn)發(fā)、哪種類型的通信流量被阻塞,11,ACL需求,限制網(wǎng)絡(luò)數(shù)據(jù)流，增加網(wǎng)絡(luò)性能。列隊管理?根據(jù)不同的協(xié)議，ACL可以指定路由器優(yōu)先處理哪些數(shù)據(jù)報?路由器可以不處理不需要的數(shù)據(jù)報?隊列管理限制了網(wǎng)絡(luò)數(shù)據(jù)流，減少了網(wǎng)絡(luò)擁塞提供數(shù)據(jù)流控制。ACL可以限定或者減少路由更新的內(nèi)容。為網(wǎng)絡(luò)訪問提供基本的安全層。ACL可以允

7、許某個主機訪問網(wǎng)絡(luò)的某一部分，而阻止另一臺主機訪問網(wǎng)絡(luò)的這個部分。決定轉(zhuǎn)發(fā)或者阻止哪些類型的數(shù)據(jù)流?？梢栽试S路由e_mail數(shù)據(jù)流，而阻止telnet數(shù)據(jù)流,12,ACL定義的原則,ACL在路由器的端口過濾網(wǎng)絡(luò)數(shù)據(jù)流，決定是否轉(zhuǎn)發(fā)或者阻止數(shù)據(jù)報。ACL應(yīng)該根據(jù)路由器的端口所允許的每個協(xié)議來制定。如果需要控制流經(jīng)某個端口的所有數(shù)據(jù)流，就需要為該端口允許的每一個協(xié)議分別創(chuàng)建ACL。例如，如果端口配置成允許IP,Appletalk和I

8、PX協(xié)議的數(shù)據(jù)流，那么就需要創(chuàng)建至少三個ACL。ACL可以用作控制和過濾流經(jīng)路由器端口的數(shù)據(jù)報的工具。,13,ACL指令的配置原則,ACL中的指令以按順序執(zhí)行的先滿足條件則之后的指令不執(zhí)行配置ACL指令時，要先配置最嚴格的條件、之后較松的條件對于某些協(xié)議，可以創(chuàng)建多個ACL：一個用于過濾進入端口的數(shù)據(jù)流inbound，一個用于過濾流出端口的數(shù)據(jù)流outbound,14,ACL指令,一個ACL就是一組指令，規(guī)定數(shù)據(jù)報如何：進

9、入路由器的某個端口在路由器內(nèi)的轉(zhuǎn)送離開路由器的某個端口ACL允許控制哪些客戶端可以訪問的網(wǎng)絡(luò)。在ACL中的條件可以是：篩選某些主機允許或者禁止訪問的部分網(wǎng)絡(luò)允許或者禁止用戶訪問某一類協(xié)議，如FTP，HTTP等。,15,ACL的工作流程,無論是否使用ACL，開始的通信過程是相同的。當(dāng)一個數(shù)據(jù)報進入一個端口，路由器檢查這個數(shù)據(jù)報是否可路由。如果是可以路由的，路由器檢查這個端口是否有ACL控制進入數(shù)據(jù)報。如果有，根據(jù)ACL中的

10、條件指令，檢查這個數(shù)據(jù)報。如果數(shù)據(jù)報是被允許的，就查詢路由表，決定數(shù)據(jù)報的目標(biāo)端口。路由器檢查目標(biāo)端口是否存在ACL控制流出的數(shù)據(jù)報不存在，這個數(shù)據(jù)報就直接發(fā)送到目標(biāo)端口。如果存在，就再根據(jù)ACL進行取舍。,16,ACL的工作流程,17,ACL條件順序,,Cisco IOS按照各描述語句在ACL中的順序，根據(jù)各描述語句的判斷條件，對數(shù)據(jù)包進行檢查。一旦找到了某一匹配條件，就結(jié)束比較過程，不再檢查以后的其他條件判斷語句。,18,A

11、CL分類,標(biāo)準(zhǔn)ACL檢查源地址允許或拒絕整個協(xié)議族標(biāo)準(zhǔn)ACL（數(shù)字1到99），可以提供數(shù)據(jù)流過濾控制。它是基于源地址和通配掩碼。標(biāo)準(zhǔn)ACL可以允許或禁止整套IP協(xié)議。,19,ACL分類,擴展ACL檢查源和目的地址通常允許或拒絕特定的協(xié)議為了更加精確的數(shù)據(jù)流過濾，需要擴展ACL。擴展ACL檢查源地址和目標(biāo)地址，以及TCP或UDP端口號。還可以指定擴展ACL針對特定的協(xié)議的進行操作。擴展ACL使用的數(shù)字范圍是：100-199。

12、,20,用擴展ACL檢查數(shù)據(jù)包,21,常見端口號,22,ACL表號,23,通配符掩碼,1.是一個32比特位的數(shù)字字符串2.0表示“檢查相應(yīng)的位”,1表示“不檢查（忽略）相應(yīng)的位”,24,特殊的通配符掩碼,1. Any0.0.0.0 255.255.255.2552. Host 172.30.16.29 0.0.0.0Host 172.30.16.29,25,ACL的配置,創(chuàng)建一個ACL訪問控制Router(config)#

13、 access-list access_list_number {permit|deny} {test_conditions}將訪問控制綁定到接口上Router(config-if)# {protocol} access-group access_list_number {in|out} 關(guān)閉訪問控制列表Router(config)# no access-list access_list_number,26,創(chuàng)建標(biāo)準(zhǔn)ACL,Ro

14、uter(config)# access-list access-list-number {deny | permit} source [source-wildcard ] [log]例如：access-list 1 permit 172.16.0.0 0.0.255.255 刪除訪問列表Router(config)# no access-list access-list-number 例如：no access-list 1,

15、27,實例分析,實例1：E0和E1端口只允許來自于網(wǎng)絡(luò)172.16.0.0的數(shù)據(jù)報被轉(zhuǎn)發(fā)，其余的將被阻止。實例2：E0端口不允許來自于特定地址172.16.4.13的數(shù)據(jù)流，其它的數(shù)據(jù)流將被轉(zhuǎn)發(fā)。實例3：E0端口不允許來自于特定子網(wǎng)172.16.4.0的數(shù)據(jù)，而轉(zhuǎn)發(fā)其它的數(shù)據(jù)。,28,實例1的禁止一個協(xié)議簇,第一個ACL命令用“permit”允許來自于此指定網(wǎng)絡(luò)的數(shù)據(jù)流，通配掩碼0.0.255.255表明要檢查匹配IP地址中的網(wǎng)絡(luò)位

16、（前16位）。最后將ACL關(guān)聯(lián)到端口E0和E1。,access-list 1 permit 172.16.0.0 0.0.255.255(implicit deny all - not visible in the list)(access-list 1 deny 0.0.0.0 255.255.255.255)interface ethernet 0ip access-group 1 outinterface eth

17、ernet 1ip access-group 1 out,29,實例2：禁止來自特定地址的數(shù)據(jù),第一個ACL命令用“deny”禁止來自于此指定主機的數(shù)據(jù)流，通配掩碼0.0.0.0表明要檢查匹配地址中的所有的位。第二個ACL命令中，“0.0.0.0 255.255.255.255”IP地址和通配掩碼組合，表示允許來自于任何源的數(shù)據(jù)流。這個組合，也可以用關(guān)鍵字“any”替代。最后將ACL關(guān)聯(lián)到端口E0。,30,實例3：禁止來自特定子網(wǎng)