访问控制列表ACL

访问控制列表访问控制列表ACLACL本章目标本章目标v理解访问控制列表的工作原理（访问控制理解访问控制列表的工作原理（访问控制列表的作用，列表的作用，路由器对访问控制列表的处路由器对访问控制列表的处理过程理过程）v理解访问控制列表的反码理解访问控制列表的反码v掌握访问控制列表的种类掌握访问控制列表的种类v掌握标准和扩展访问控制列表的配置方法掌握标准和扩展访问控制列表的配置方法v能够利用访问控制列表对网络进行控制能够利用访问控制列表对网络进行控制本章结构本章结构访问控制列表访问控制列表访问控制列表的种类访问控制列表的种类访问控制列表的工作原理访问控制列表的工作原理访问控制列表的反码访问控制列表的反码访问控制列表概访问控制列表概述述扩展访问控制列扩展访问控制列表表标准访问控制列标准访问控制列表表什么是扩展访问控制列表什么是扩展访问控制列表扩展访问控制列表的应用与配置扩展访问控制列表的应用与配置命名访问控制列表命名访问控制列表标准访问控制列表的标准访问控制列表的应用与配置应用与配置什么是标准访问控制什么是标准访问控制列表列表什么是访问控制列表什么是访问控制列表什么是访问控制列表什么是访问控制列表v访问控制列表（访问控制列表（ACL）应用于路由器接口的指令列表应用于路由器接口的指令列表，用于指定哪些数据，用于指定哪些数据包可以接收转发，哪些数据包需要拒绝包可以接收转发，哪些数据包需要拒绝vACL的工作原理的工作原理读取第三层及第四层包头中的信息读取第三层及第四层包头中的信息根据预先定义好的规则对包进行过滤根据预先定义好的规则对包进行过滤访问控制列表的作用访问控制列表的作用访问控制列表的作用访问控制列表的作用2-12-1v提供网络访问的基本安全手段提供网络访问的基本安全手段v可用于可用于QoS，控制数据流量，控制数据流量v控制通信量控制通信量主机主机A主机主机B人力资源网络人力资源网络研发网络研发网络使用使用ACL阻止某指定网络访问另一指定网络阻止某指定网络访问另一指定网络访问控制列表的作用访问控制列表的作用访问控制列表的作用访问控制列表的作用2-22-2v实现访问控制列表的核心技术是包过滤实现访问控制列表的核心技术是包过滤Internet公司总部公司总部内部网络内部网络未授权用户未授权用户办事处办事处访问控制列表访问控制列表访问控制列表工作原理访问控制列表工作原理访问控制列表工作原理访问控制列表工作原理2-12-1v通过分析通过分析IP数据包包头信息，进行判断（这里数据包包头信息，进行判断（这里IP所所承载的上层协议为承载的上层协议为TCP）IPIP报头报头报头报头TCPTCP报头报头报头报头数据数据数据数据源地址源地址源地址源地址目的地址目的地址目的地址目的地址源源源源端口端口端口端口目的端口目的端口目的端口目的端口访问控制列表利用这访问控制列表利用这访问控制列表利用这访问控制列表利用这4 4个元素个元素个元素个元素定义的规则定义的规则定义的规则定义的规则访问控制列表工作原理访问控制列表工作原理访问控制列表工作原理访问控制列表工作原理2-22-2匹配匹配匹配匹配下一步下一步下一步下一步拒绝拒绝拒绝拒绝允许允许允许允许允许允许允许允许允许允许允许允许到达访问控制组接口的数据包到达访问控制组接口的数据包到达访问控制组接口的数据包到达访问控制组接口的数据包匹配匹配匹配匹配第一步第一步第一步第一步目的接口目的接口目的接口目的接口隐含的隐含的隐含的隐含的拒绝拒绝拒绝拒绝丢弃丢弃丢弃丢弃丢弃丢弃Y YY YY YY YYY YY YN NN NNN N路由器对访问控制列表的处理过程路由器对访问控制列表的处理过程路由器对访问控制列表的处理过程路由器对访问控制列表的处理过程匹配匹配匹配匹配下一步下一步下一步下一步拒绝拒绝拒绝拒绝拒绝拒绝拒绝拒绝拒绝拒绝拒绝拒绝访问控制列表入与出访问控制列表入与出3-1v使用命令使用命令ipaccess-group将将ACL应用到某一个应用到某一个接口上接口上在接口的一个方向上，只能应用一个在接口的一个方向上，只能应用一个access-listRouter(config-if)#ipaccess-groupaccess-list-numberin|out进入数据包进入数据包进入数据包进入数据包源地址源地址源地址源地址匹配吗？匹配吗？匹配吗？匹配吗？有更多有更多有更多有更多条目吗？条目吗？条目吗？条目吗？应用条件应用条件应用条件应用条件拒绝拒绝拒绝拒绝允许允许允许允许路由到接口路由到接口路由到接口路由到接口查找路由表查找路由表查找路由表查找路由表是是是是是是是是否否否否是是是是否否否否IcmpIcmp消息消息消息消息转发数据包转发数据包转发数据包转发数据包接口上有访问接口上有访问接口上有访问接口上有访问控制列表吗？控制列表吗？控制列表吗？控制列表吗？列表中的列表中的列表中的列表中的下一个条目下一个条目下一个条目下一个条目否否否否访问控制列表入与出访问控制列表入与出访问控制列表入与出访问控制列表入与出3-23-2外出数据包外出数据包外出数据包外出数据包查找路由表查找路由表查找路由表查找路由表接口上有访问接口上有访问接口上有访问接口上有访问控制列表吗？控制列表吗？控制列表吗？控制列表吗？源地址匹配吗？源地址匹配吗？源地址匹配吗？源地址匹配吗？拒绝拒绝拒绝拒绝允许允许允许允许列表中的列表中的列表中的列表中的下一个条目下一个条目下一个条目下一个条目是是是是是是是是转发数据包转发数据包转发数据包转发数据包IcmpIcmp消息消息消息消息否否否否否否否否否否否否 有更多条目吗？有更多条目吗？有更多条目吗？有更多条目吗？访问控制列表入与出访问控制列表入与出访问控制列表入与出访问控制列表入与出3-33-3应用条件应用条件应用条件应用条件是是是是DenyDeny和和和和permitpermit命令命令命令命令Router(config)#access-listaccess-list-number permit|denytestconditions允许数据包通过应允许数据包通过应用了访问控制列表用了访问控制列表的接口的接口拒绝数据包通过拒绝数据包通过v第一步，创建访问控制列表第一步，创建访问控制列表v第二步，应用到接口第二步，应用到接口e0的出方向上的出方向上 Router(config)#access-list1deny172.16.4.130.0.0.0Router(config)#access-list1deny172.16.4.130.0.0.0Router(config)#access-list1permit172.16.0.00.0.255.255Router(config)#access-list1permit172.16.0.00.0.255.255Router(config)#access-list1permit0.0.0.0255.255.255.255Router(config)#access-list1permit0.0.0.0255.255.255.255Router(config)#interfacefastethernet0/0Router(config)#interfacefastethernet0/0RouterRouter（config-ifconfig-if）#ipaccess-group1out#ipaccess-group1out访问控制列表实例访问控制列表实例访问控制列表实例访问控制列表实例使用通配符使用通配符any和和host2-1v通配符通配符any可代替可代替0.0.0.0255.255.255.255Router(config)#access-list1permit0.0.0.0Router(config)#access-list1permit0.0.0.0255.255.255.255255.255.255.255Router(config)#access-list1permitanyRouter(config)#access-list1permitany使用通配符使用通配符any和和host2-2vhost表示检查表示检查IP地址的所有位地址的所有位Router(config)#access-list1permit172.30.16.290.0.0.0Router(config)#access-list1permit172.30.16.290.0.0.0Router(config)#access-list1permithost172.30.16.29Router(config)#access-list1permithost172.30.16.29访问控制列表的种类访问控制列表的种类访问控制列表的种类访问控制列表的种类v基本类型的访问控制列表基本类型的访问控制列表标准访问控制列表标准访问控制列表扩展访问控制列表扩展访问控制列表v其他种类的访问控制列表其他种类的访问控制列表基于基于MAC地址的访问控制列表地址的访问控制列表基于时间的访问控制列表基于时间的访问控制列表扩展扩展acl标准标准acl路由器路由器B路由器路由器C路由器路由器D路由器路由器AS0S0S1S1E0E0E1E0E0E1应用访问控制列表应用访问控制列表应用访问控制列表应用访问控制列表源源目的目的标准访问控制列表标准访问控制列表3-1v标准访问控制列表标准访问控制列表根据数据包的源根据数据包的源IP地址来允许或拒绝数据包地址来允许或拒绝数据包访问控制列表号从访问控制列表号从1到到99标准访问控制列表标准访问控制列表3-2v标准访问控制列表只使用源地址进行过滤，表明标准访问控制列表只使用源地址进行过滤，表明是允许还是拒绝是允许还是拒绝从从从从172.16.4.0/24172.16.4.0/24来的数据包可以来的数据包可以来的数据包可以来的数据包可以通过！通过！通过！通过！从从从从172.16.3.0/24172.16.3.0/24来的数据包不能来的数据包不能来的数据包不能来的数据包不能通过！通过！通过！通过！路由器路由器路由器路由器如果在访问控制列表中有的话如果在访问控制列表中有的话如果在访问控制列表中有的话如果在访问控制列表中有的话应用条件应用条件应用条件应用条件拒绝拒绝拒绝拒绝允许允许允许允许更多条目？更多条目？更多条目？更多条目？列表中的下一个条目列表中的下一个条目列表中的下一个条目列表中的下一个条目否否否否有访问控制列表吗？有访问控制列表吗？有访问控制列表吗？有访问控制列表吗？源地址源地址源地址源地址不匹配不匹配不匹配不匹配是是是是匹配匹配匹配匹配是是是是否否否否IcmpIcmp消息消息消息消息转发数据包转发数据包转发数据包转发数据包标准访问控制列表标准访问控制列表标准访问控制列表标准访问控制列表3-33-3标准访问控制列表的配置标准访问控制列表的配置v第一步，使用第一步，使用access-list命令创建访问控制列表命令创建访问控制列表v第二步，使用第二步，使用ipaccess-group命令把访问控制列表命令把访问控制列表应用到某接口应用到某接口Router(config)#access-listaccess-list-numberpermit|denysource source-wildcardlogRouter(config-if)#ipaccess-groupaccess-list-number in|out标准标准标准标准ACLACL应用应用应用应用1 1：允许特定源的流量：允许特定源的流量：允许特定源的流量：允许特定源的流量2-12-1172.16.3.0172.16.4.0Non-172.16.0.0E0E1S0172.16.4.13标准标准ACL应用：允许特定源的流量应用：允许特定源的流量2-2v第一步，创建允许来自第一步，创建允许来自172.16.0.0的流量的的流量的ACLv第二步，应用到接口第二步，应用到接口E0和和E1的出方向上的出方向上Router(config)#access-list1permit172.16.0.00.0.255.255Router(config)#interfacefastethernet0/0Router(config-if)#ipaccess-group1outRouter(config)#interfacefastethernet0/1Router(config-if)#ipaccess-group1out标准标准ACL应用：拒绝特定主机的通信流量应用：拒绝特定主机的通信流量v第一步，创建拒绝来自第一步，创建拒绝来自172.16.4.13的流量的的流量的ACLv第二步，应用到接口第二步，应用到接口E0的出方向的出方向Router(config)#access-list1denyhost172.16.4.13Router(config)#access-list1permit0.0.0.0255.255.255.255Router(config)#interfacefastethernet0/0Router(config-if)#ipaccess-group1outanyany标准标准ACL应用：拒绝特定子网的流量应用：拒绝特定子网的流量v第一步，创建拒绝来自子网第一步，创建拒绝来自子网172.16.4.0的流量的的流量的ACLv第二步，应用到接口第二步，应用到接口E0的出方向的出方向Router(config)#access-list1deny172.16.4.00.0.0.255Router(config)#accesslist1permitanyRouter(config)#interfacefastethernet0/0Router（config-if）#ipaccess-group1out0.0.0.0255.255.255.2550.0.0.0255.255.255.255扩展访问控制列表扩展访问控制列表4-1v扩展访问控制列表扩展访问控制列表基于源和目的地址、传输层协议和应用端口号进行过基于源和目的地址、传输层协议和应用端口号进行过滤滤每个条件都必须匹配，才会施加允许或拒绝条件每个条件都必须匹配，才会施加允许或拒绝条件使用扩展使用扩展ACL可以实现更加精确的流量控制可以实现更加精确的流量控制访问控制列表号从访问控制列表号从100到到199扩展访问控制列表扩展访问控制列表4-2v扩展访问控制列表使用更多的信息描述数据扩展访问控制列表使用更多的信息描述数据包，表明是允许还是拒绝包，表明是允许还是拒绝从从172.16.3.0/24来的来的,到到172.16.4.13的，的，使用使用TCP协议，协议，利用利用HTTP访问的访问的数据包可以通过！数据包可以通过！路由器路由器 有访问控制列表吗？有访问控制列表吗？有访问控制列表吗？有访问控制列表吗？源地址源地址源地址源地址目的地址目的地址目的地址目的地址协议协议协议协议协议任选项协议任选项协议任选项协议任选项应用条件应用条件应用条件应用条件拒绝拒绝拒绝拒绝允许允许允许允许更多条目？更多条目？更多条目？更多条目？列表中的下一个条目列表中的下一个条目列表中的下一个条目列表中的下一个条目不匹配不匹配不匹配不匹配否否否否是是是是匹配匹配匹配匹配匹配匹配匹配匹配匹配匹配匹配匹配匹配匹配匹配匹配是是是是否否否否IcmpIcmp消息消息消息消息转发数据包转发数据包转发数据包转发数据包如果在访问控制列表中有的话如果在访问控制列表中有的话如果在访问控制列表中有的话如果在访问控制列表中有的话扩展访问控制列表扩展访问控制列表扩展访问控制列表扩展访问控制列表4-34-3不匹配不匹配不匹配不匹配不匹配不匹配不匹配不匹配不匹配不匹配不匹配不匹配端口号端口号端口号端口号关键字关键字关键字关键字描述描述描述描述TCP/UDPTCP/UDP20FTP-DATA（文件传输协议）（文件传输协议）FTP（数据）（数据）TCP21FTP（文件传输协议）（文件传输协议）FTPTCP23TELNET终端连接终端连接TCP25SMTP简单邮件传输协议简单邮件传输协议TCP42NAMESERVER主机名字服务器主机名字服务器UDP53DOMAIN域名服务器（域名服务器（DNS)TCP/UDP69TFTP普通文件传输协议（普通文件传输协议（TFTP)UDP80WWW万维网万维网TCP扩展访问控制列表扩展访问控制列表扩展访问控制列表扩展访问控制列表4-44-4扩展访问控制列表的配置扩展访问控制列表的配置3-1v第一步，使用第一步，使用access-list命令创建扩展访问控制命令创建扩展访问控制列表列表Router(config)#access-listaccess-list-numberpermit|denyprotocol sourcesource-wildcarddestinationdestination-wildcardoperatorportestablishedlog扩展访问控制列表操作符的含义扩展访问控制列表操作符的含义扩展访问控制列表操作符的含义扩展访问控制列表操作符的含义操作符及语法操作符及语法操作符及语法操作符及语法意义意义意义意义eqportnumber等于端口号等于端口号portnumbergtportnumber大于端口号大于端口号portnumberltportnumber小于端口号小于端口号portnumberneqportnumber不等于端口号不等于端口号portnumber扩展访问控制列表的配置扩展访问控制列表的配置扩展访问控制列表的配置扩展访问控制列表的配置3-23-2扩展访问控制列表的配置扩展访问控制列表的配置3-3v第二步，使用第二步，使用ipaccess-group命令将扩展访问控命令将扩展访问控制列表应用到某接口制列表应用到某接口Router（config-if）#ipaccess-groupaccess-list-numberin|out扩展扩展ACL应用应用1：拒绝：拒绝ftp流量通过流量通过E0v第一步，创建拒绝来自第一步，创建拒绝来自172.16.4.0、去往、去往172.16.3.0、ftp流量的流量的ACLv第二步，应用到接口第二步，应用到接口E0的出方向的出方向Router(config)#access-list101denytcp172.16.4.00.0.0.255172.16.3.00.0.0.255eq21Router(config)#access-list101permitipanyanyRouter(config)#interfacefastthernet0/0Router（config-if）#ipaccess-group101out扩展扩展ACL应用应用2：拒绝拒绝telnet流量通过流量通过E0v第一步，创建拒绝来自第一步，创建拒绝来自172.16.4.0、去往、去往172.16.3.0、telnet流量的流量的ACLv第二步，应用到接口第二步，应用到接口E0的出方向上的出方向上Router(config)#access-list101denytcp172.16.4.00.0.0.255172.16.3.00.0.0.255eq23Router(config)#access-list101permitipanyanyRouter(config)#interfacefastethernet0/0Router（config-if）#ipaccess-group101out命名的访问控制列表命名的访问控制列表命名的访问控制列表命名的访问控制列表2-12-1v标准标准ACL和扩展和扩展ACL中可以使用一个字母数字组中可以使用一个字母数字组合的字符串（名字）代替来表示合的字符串（名字）代替来表示ACL的表号的表号v命名命名IP访问列表允许从指定的访问列表删除单个访问列表允许从指定的访问列表删除单个条目条目v如果添加一个条目到列表中，那么该条目被添加如果添加一个条目到列表中，那么该条目被添加到列表末尾到列表末尾v不能以同一个名字命名多个不能以同一个名字命名多个ACLv在命名的访问控制列表下在命名的访问控制列表下，permit和和deny命令的命令的语法格式与前述有所不同语法格式与前述有所不同命名的访问控制列表命名的访问控制列表命名的访问控制列表命名的访问控制列表2-22-2v第一步，创建名为第一步，创建名为cisco的命名访问控制列表的命名访问控制列表v第二步，指定一个或多个第二步，指定一个或多个permit及及deny条件条件v第三步，应用到接口第三步，应用到接口E0的出方向的出方向Router（config）#interfacefastethernet0/0Router（config-if）#ipaccess-groupciscooutRouter(config)#ipaccess-listextendedciscoRouter（config-ext-nacl）#denytcp172.16.4.00.0.0.255172.16.3.00.0.0.255eq23Router（config-ext-nacl）#permitipanyany查看访问控制列表查看访问控制列表2-1Router#showipinterfacefastethernet0/0FastEthernet0/0isup,lineprotocolisupInternetaddressis172.16.3.1/24Broadcastaddressis255.255.255.255AddressdeterminedbysetupcommandMTUis1500bytesHelperaddressisnotsetDirectedbroadcastforwardingisdisabledOutgoingaccesslistisciscoInboundaccesslistisnotsetProxyARPisenabledLocalProxyARPisdisabledSecuritylevelisdefaultSplithorizonisenabledICMPredirectsarealwayssentICMPunreachablesarealwayssentICMPmaskrepliesareneversentIPfastswitchingisenabledIPfastswitchingonthesameinterfaceisdisabled查看访问控制列表查看访问控制列表2-2Router#showaccess-listExtendedIPaccesslistcisco10denytcp172.16.4.00.0.0.255172.16.3.00.0.0.255eqtelnet20permitipanyany本章总结本章总结访问控制列表访问控制列表访问控制列表的种类访问控制列表的种类访问控制列表的工作原理访问控制列表的工作原理访问控制列表的反码访问控制列表的反码访问控制列表概访问控制列表概述述扩展访问控制列扩展访问控制列表表标准访问控制列标准访问控制列表表什么是扩展访问控制列表什么是扩展访问控制列表扩展访问控制列表的应用与配置扩展访问控制列表的应用与配置命名访问控制列表命名访问控制列表标准访问控制列表的标准访问控制列表的应用与配置应用与配置什么是标准访问控制什么是标准访问控制列表列表访问控制列表访问控制列表（ACLACL）是应用在路）是应用在路由器接口的指令列由器接口的指令列表（规则）表（规则）ACLACL的工作原理：根的工作原理：根据预先定义好的规据预先定义好的规则对包进行过滤，则对包进行过滤，从而达到访问控制从而达到访问控制的目的的目的ACLACL的处理过程：若的处理过程：若第一条不匹配，则第一条不匹配，则依次往下进行判断，依次往下进行判断，直到有任一条语句直到有任一条语句匹配匹配ACLACL使用反码来标志使用反码来标志一个或几个地址是一个或几个地址是被允许还是被拒绝被允许还是被拒绝标准访问控制列表：检查被路由的标准访问控制列表：检查被路由的数据包的源地址。其结果基于源网数据包的源地址。其结果基于源网络络/子网子网/主机主机IPIP地址来决定是允许地址来决定是允许还是拒绝转发数据包。它使用还是拒绝转发数据包。它使用1 1到到9999之间的数字作为表号之间的数字作为表号对数据包的原地址与目标地址均对数据包的原地址与目标地址均进行检查。它也能检查特定的协进行检查。它也能检查特定的协议、端口号以及其它参数。它使议、端口号以及其它参数。它使用用100100到到199199之间的数字作为表号之间的数字作为表号应用访问控制列表首先使用应用访问控制列表首先使用access-listaccess-list命令创建访问控命令创建访问控制列表，再用制列表，再用ip access-ip access-groupgroup命令把该访问控制列表命令把该访问控制列表应用到某一接口应用到某一接口可以使用一个字母数字组合的可以使用一个字母数字组合的字符串（名字）代替前面所使字符串（名字）代替前面所使用的数字（用的数字（11991199）来表示）来表示ACLACL的表号的表号实验实验v实验背景实验背景随着随着BENET公司网络建设的开展，对网络的安全性公司网络建设的开展，对网络的安全性也要求越来越高，需要在路由器上应用访问控制列也要求越来越高，需要在路由器上应用访问控制列表进行控制表进行控制作为网络管理员，需要设计访问控制条件，对通过作为网络管理员，需要设计访问控制条件，对通过路由器的数据包进行过滤路由器的数据包进行过滤一台路由器为外部路由器，一台路由器为公司内部路一台路由器为外部路由器，一台路由器为公司内部路由器，下面连接两个网段：网段由器，下面连接两个网段：网段1（10.10.1.0/24）和）和网段网段2（10.10.2.0/24），对公司内网络和外部网络的），对公司内网络和外部网络的通信进行控制通信进行控制实验拓扑实验拓扑实验拓扑实验拓扑 E1/010.10.1.1/24E1/010.10.1.1/24Fa0/0172.16.1.1/24Fa0/0172.16.1.1/24Fa0/0172.16.5.1/24Fa0/0172.16.5.1/24测试服务器测试服务器测试服务器测试服务器172.16.1.10/24172.16.1.10/24测试服务器测试服务器测试服务器测试服务器172.16.5.10/24172.16.5.10/24网段网段网段网段1 1的测试的测试的测试的测试PCPC10.10.1.10/2410.10.1.10/24Fa0/1192.168.1.1/24Fa0/1192.168.1.1/24Fa0/1192.168.1.5/24Fa0/1192.168.1.5/24Fa0/1192.168.1.10/24Fa0/1192.168.1.10/24网段网段网段网段2 2的测试的测试的测试的测试PCPC10.10.2.10/2410.10.2.10/24E1/110.10.2.1/24E1/110.10.2.1/24一共一共一共一共5 5组组组组公共外部路由器公共外部路由器公共外部路由器公共外部路由器实验路由器实验路由器实验路由器实验路由器1 1实验路由器实验路由器实验路由器实验路由器5 5网段网段网段网段1 1网段网段网段网段2 2实验任务实验任务2-1v任务任务1标准访问控制列表配置标准访问控制列表配置完成标准完成标准在网段在网段1上的上的PC上，上，ping172.16.1.10，测试结果是网络，测试结果是网络连通连通在网段在网段2上的上的PC上，上，ping172.16.1.10，测试结果是网络，测试结果是网络不能到达不能到达实验任务实验任务2-2v任务任务2扩展访问控制列表配置扩展访问控制列表配置完成标准完成标准在网段在网段1的的PC上上ping172.16.1.10，测试结果是网络连通，测试结果是网络连通在网段在网段1的的PC上访问内部服务器的上访问内部服务器的WWW服务，成功服务，成功在网段在网段1的的PC上访问内部服务器的上访问内部服务器的tenet服务，不成功服务，不成功在网段在网段2的的PC上上ping172.16.1.10，测试结果是网络连通，测试结果是网络连通在网段在网段2的的PC上访问内部服务器的上访问内部服务器的WWW服务，不成功服务，不成功在网段在网段2的的PC上访问内部服务器的上访问内部服务器的tenet服务，成功服务，成功结束语结束语谢谢大家聆听！谢谢大家聆听！45