《项目五、访问控制列表》由会员分享,可在线阅读,更多相关《项目五、访问控制列表(95页珍藏版)》请在金锄头文库上搜索。
1、项目五、访问控制列表教学目标:访问控制列表可以对数据包的地址或上层协议 进行网络通信流量的控制,提供了基本的网络通信流量 过滤的能力,能对网络的安全起到很好的保护作用。访 问控制列表主要包含以下内容: (1)访问控制列表的作用; (2)访问控制列表的工作流程; (3)访问控制列表的分类; (4)访问控制列表的执行顺序; (5)定义访问控制列表应遵循的规范; (6)访问控制列表配置步骤; (7)标准访问控制列表及其配置; (8)扩展访问控制列表及其配置; (9)命名访问控制列表及其配置; (10)基于时间的访问控制列表机器配置。任务9、IP标准访问列表 9.1 用户需求 你受聘于一家网络公司做网
2、络工程师,恰好公司有一个客 户提出网络建设,该客户要建自己的校园网,在校园网 内有学校的财务处、教师办公室、学生机房和后勤企业 财务科分属不同的4个网段。四个部门之间通过路由器进 行信息传递,为了安全,学校领导要求对网络流量进行 控制,实现后勤企业财务科的主机和财务处的主机互相 访问,但是学生机房和教师办公室的主机不能访问财务 处和后勤企业财务科的主机。 9.2 相关知识 作为网络工程师,需要了解本工作任务所涉及的以下几方 面知识: 访问控制列表的概念; 访问控制列表的功能与工作原理; 配置标准访问控制列表; 查看和监控访问控制列表。 9.2.1访问控制列表概述 网络管理员经常面临必须设法拒绝
3、那些不希望的访问连接 ,同时又要允许那些正常的访问连接的问题。 访问控制列表(Access control list,缩写ACL,以下简写) 通过在路由器接口处控制路由数据包是被转发还是被阻 塞来过滤网络通信流量。路由器根据ACL中指定的条件 来检测通过路由器的每个数据包,从而决定是转发还是 丢弃该数据包。 ACL的定义是基于所有协议的,如IP、IPX等,换言之,如 果想控制某种协议的通信数据流,那么必须要对该接口 处的这种协议定义单独的ACL。例如,路由器接口配置 成3种协议,那么至少要定义3个访问控制列表(ACL) 。如图9.1所示。IP ACL只过滤IP报文;同样,IPX ACL 只过滤
4、IPX报文。IPIPXAppleTalk图9.1 一个接口上的每个方向多条ACLIPIPXAppleTalk1. 建立ACL的作用建立ACL可以用来: (1)限制网络流量、提高网络性能。例如,ACL 可以根据数据包的协议,指定这种类型的数据包 具有更高的优先级,同等情况下可预先被路由器 处理。 (2)提供对通信流量的控制手段。 (3)提供网络访问的基本安全手段。(4)在路由 器接口处,决定哪种类型的通信流量被转发、哪 种类型的通信流量被阻塞。2. ACL的工作流程在使用访问控制列表时,把预先定义好的访问控制 列表放置在路由器的接口上,对接口上进方向或 者出方向的数据包进行过滤。在路由器的串行接
5、 口、以太网接口等物理接口和虚拟终端接口( vty)等逻辑接口上都可以应用ACL。 在路由器接口上使用ACL有进和出两个方向。 被丢弃没有相应的路由,被丢弃数据包从F0/0接口 被转发图 9.2 进方向上的ACL的工作流程ACL的工作流程如图12.2和12.3所示。进入S0/0 接 口的数据 包允许通过路由表进方向 的ACL不允许通过, 被丢弃没有相应的路由 ,被丢弃数据包从F0/0接 口被转发图9.2 进方向上的ACL的工作流程从以上两个工作流程可以看出,如果在接 口S0/0上使用进方向的ACL,可以在为 数据包查询路由之前就将要过滤掉的数 据包丢弃。而如果只在F0/0上放置出方 向的ACL
6、,被过滤掉的数据包经过了查 询路由的操作,这样就浪费了时间,使 路由器的包通过率比使用进方向的ACL 低。3. ACL的分类根据所使用的判断条件不同,ACL基本上分为以下两大 类: (1)标准ACL 标准ACL的语句所依据的判断条件是数据包的源IP地址 ,它只能过滤来自某个网络或主机的数据包,功能有 限。(2)扩展ACL 扩展ACL的语句所依据的判断条件是数据包的源IP地址 、目的IP地址、协议及数据所要访问的端口。进入S0/0接 口的数据包找到路由,数据 包送往F0/0接口路由表接口上是 否有出方 向的ACL有列表没有相应的路 由,被丢弃数据包从F0/0 接口被转发图9.3 出方向上的ACL
7、的工作流程出方向 的ACL不允许通过 ,被丢弃允许通过 ,被转发4. ACL的处理过程选择接口可路由/可 桥接吗 入站接口数据包垃圾桶数据包Y路由选择表 入口?Y访问控制 列表N测试访问控制 列表中的测试 语句YNN允许Y不想要数据包数据包N数据包出站接口图9.4 ACL的处理过程l处理过程如图9.4所示,当一个数据包进入了一个入站接口时,路由 器对它进行检查,看它是否是可路由的(或者是可桥接的)。如果 遇到任何不可路由的情况,这个数据包就被丢失。要是数据包是可 路由的,一个路由选择表的入口为它指出了一个目标网络,一定的 路由选择计量标准或状态,以及要使用的具体接口。 l然后路由器检查目标接口
8、是否被编组在某一个访问控制列表中,如 果没被编组,就把这个数据包直接送到目标接口输出。例如,如果 它使用T0接口,而T0接口不在任何正在被使用的访问控制列表中, 这个数据包就直接通过T0输出。l访问控制列表中的条件判断语句按照逻辑次序依次执行。如果数个 数据包的报头跟某个条件判断语句相匹配,该数据包就忽略剩下的 条件判断语句。要是符合判断条件,数据包要么被允许通过,要么 被拒绝通过。 l 在图9.5中,一个数据包因为跟第一个条件判断相匹配就被拒绝了 。事实上,该数据包被丢弃到比特垃圾桶中,同时也不会再跟访问 控制列表中的其他条件判断进行比较。入到达访问控制 组接口的数据包 站接口YYY匹配 第
9、一 步YY目的接 口N允许隐含的 拒绝N 拒绝拒绝拒绝允许允许 Y拒绝匹配 第二 步匹配 第三 步图9.5 ACL的操作过程5. 定义ACL时所应遵循的规范 定义ACL时所应遵循的规范如下: (1)ACL的列表号指出了是哪种协议的ACL 各种协议有自己的ACL,而每个协议的ACL又 分为标准ACL和扩展ACL。 (2)一个ACL的配置是每协议、每接口、每方 向的 路由器的一个接口上每一种协议可以配置进方 向和出方向两个ACL。(3)ACL的语句顺序决定了对数据包的控制顺序(4)最有限制性的语句应该放在ACL语句的首行把最有限制性的语句放在ACL语句的首行或者语句 中靠近前面的位置上,把“全部允
10、许”或者“全部 拒绝”这样的语句放在末行或接近末行,可以防 止出现诸如本该拒绝的数据包被放过的情况。 (5)新的表项只能被添加到ACL的末尾,这意味 着不可能改变已有访问控制列表的功能。(6)在将ACL应用到接口之前,一定要先建立ACL 首先在全局模式下建立ACL,然后把它应用在接口的出方 向或进方向上。在接口上应用一个不存在的ACL是不可 能的。 (7)ACL的语句不能被逐条地删除,只能一次性删除整个 ACL。 (8)在ACL的最后,有一条隐含的“全部拒绝”的命令,所 以在ACL里一定至少要有一条“允许”的语句。 (9)ACL只能过滤穿过路由器的数据流量,不能过滤由路 由器本身发出的数据包。
11、 (10)在路由器选择进行以前,应用在接口进入方向的 ACL起作用。 (11)在路由器选择决定以后,应用在接口离开方向的 ACL起作用。9.2.2 通配符掩码位通配符掩码是一个32比特位的数字字符串,它被用点号 分成4个8位组,每组包含8比特位。在通配符掩码位 中,0表示“检查数据包的IP地址相对应的比特位”,1 表示“不检查(忽略)数据包的IP地址相对应的比特 位”。通配符掩码与IP地址是成对出现的,通配符掩码与子网掩码工作原理是不同的。 在通配符掩码位 中,0表示“检查相应的位”,而1表示“不检查(忽略 )相应的位”。如图9.6所示。 128 64 32 16 8 4 2 0 字节位位置和
12、位的地址值0 0 0 0 0 0 0 0 检查所有的地址位0 0 1 1 1 1 1 1 忽略最后6个地址位0 0 0 0 1 1 1 1 忽略最后4个地址位1 1 1 1 1 1 0 0 检查最后2个地址位 1 1 1 1 1 1 1 1 不检查地址位(忽略字节位中的所 有位 图9.6 统配符验码位的匹配2. 使用通配符host当网络管理员想要与整个IP主机地址的所有位 相匹配时,可以使用缩写字。在访问控制列 表拒绝一个特定的主机地址(为了表示这个 主机IP地址,网络管理员将要输入全部的地 址,相应的通配符掩码位全为0)。 例如:Router(config)#Access-list 1 pe
13、rmit 172.33.160.29 0.0.0.0等于Router(config)#Access-list 1 permit host 172.33.160.29 9.2.3 ACL配置步骤1. 配置步骤通用访问控制列表的配置,可以分解为两步:第一步:使用下列命令定义访问控制列表 Router(config)#Access-list access-list-number permit|deny test-conditions访问控制列表的全局描述语句中,参数Permit或deny表示满足测试条件的数据 包是如何被Cisco IOS处理的。最后的一项若干项参数,指出了该访问控制列表所使用的测试
14、条件。第二步:使用access-group命令把该访问控制列表应用到某一接口上Router(config-if)#protocolAccess-group access-list-number in |outACL可以被分配到一个或多个接口,根据配置和如何被应用来过滤入站或出 站的流量。ACL应用出站接口,比应用到入站接口效率要高,因此我们更 喜欢把访问控制列表应用到出站接口。l2. 为每个ACL分配唯一的表号 l在路由器上配置ACL的时候,必须为每一个协议的访问 控制列表分配一个唯一的编号,以便标识每个访问控制 列表。如果使用数字来标识访问控制列表,必须保证这 个数字在协议所允许的合理范围内
15、。l可以使用表9-1所列出的数字为访问控制列表指定唯一的 表号。l在创建一个访问控制列表并分配好了数字表号之后,为 了让该访问控制列表真正地起作用,你必须把它分配给 一个接口。如果想修改一个已经含有分配好的表号的条 件判断语句的访问控制列表,只能通过使用no access-list list-number命令,删除该访问控制列表中的所有条件判断 语句,再重新建立。协议 ACL表号的范围 是有名字的访问列表吗 ? IP标准 199 是 13001999 Extended IP(扩展)100199 是 20002699 AplleTalk600699 IPX标准800899 是 Extended IPX(扩展) 900999 是 IPX service advertising protocol 10001099 9.2.4 标准访问控制列表1. 标准ACL工作过程 当网络管理员想要阻止来自某一网络的所有通信量时, 或者允许来自某一特定网络的所有通信流量时,或者 想要拒绝某一协议簇的所有通信量时,可以使用标准 访问控制列表。如图9.7所示标准ACL可以基于网络、子网或主机IP地址允许或拒绝 整个协议簇(如IP)通过路由器出口。是一个 IP 分组吗 ?F0/0 流入 的 数据 包路由分 组到正 确的出 站接口否图9.7 标准ACL工作过程这个接口 上有标准
