访问控制列表ACL课件

访问访问控制列表控制列表控制列表控制列表ACLACL本章目本章目标标v理解理解访问控制列表的工作原理（控制列表的工作原理（访问控制控制列表的作用，列表的作用，路由器路由器对访问控制列表的控制列表的处理理过程程）v理解理解访问控制列表的反控制列表的反码v掌握掌握访问控制列表的种控制列表的种类v掌握掌握标准和准和扩展展访问控制列表的配置方法控制列表的配置方法v能能够利用利用访问控制列表控制列表对网网络进行控制行控制本章本章结结构构访问控制列表控制列表访问控制列表的种控制列表的种类访问控制列表的工作原理控制列表的工作原理访问控制列表的反控制列表的反码访问控制列表概控制列表概述述扩展展访问控制列控制列表表标准准访问控制列控制列表表什么是什么是扩展展访问控制列表控制列表扩展展访问控制列表的控制列表的应用与配置用与配置命名命名访问控制列表控制列表标准准访问控制列表的控制列表的应用与配置用与配置什么是什么是标准准访问控制控制列表列表什么是什么是什么是什么是访问访问控制列表控制列表控制列表控制列表v访问控制列表（控制列表（ACL）应用于路由器接口的指令列表用于路由器接口的指令列表，用于指定哪些数据，用于指定哪些数据包可以接收包可以接收转发，哪些数据包需要拒，哪些数据包需要拒绝vACL的工作原理的工作原理 读取第三取第三层及第四及第四层包包头中的信息中的信息 根据根据预先定先定义好的好的规则对包包进行行过滤 访问访问控制列表的作用控制列表的作用控制列表的作用控制列表的作用2-12-1v提供网提供网络访问络访问的基本安全手段的基本安全手段v可用于可用于QoS，控制数据流量，控制数据流量v控制通信量控制通信量主机主机A主机主机B人力人力资源网源网络研研发网网络使用使用ACL阻止某指定网阻止某指定网络访问另一指定网另一指定网络 访问访问控制列表的作用控制列表的作用控制列表的作用控制列表的作用2-22-2v实现访问控制列表的核心技控制列表的核心技术是包是包过滤Internet公司公司总部部内部网内部网络未授未授权用用户办事事处访问控制列表控制列表访问访问控制列表工作原理控制列表工作原理控制列表工作原理控制列表工作原理2-12-1v通通过分析分析IP数据包包数据包包头信息，信息，进行判断（行判断（这里里IP所所承承载的上的上层协议为TCP）IPIP报头报头TCPTCP报头报头数据数据数据数据源地址源地址源地址源地址目的地址目的地址目的地址目的地址源源源源端口端口端口端口目的端口目的端口目的端口目的端口访问访问控制列表利用控制列表利用控制列表利用控制列表利用这这4 4个元素个元素个元素个元素定定定定义义的的的的规则规则访问访问控制列表工作原理控制列表工作原理控制列表工作原理控制列表工作原理2-22-2匹配匹配匹配匹配下一步下一步下一步下一步拒拒拒拒绝绝允允允允许许允允允允许许允允允允许许到达到达到达到达访问访问控制控制控制控制组组接口的数据包接口的数据包接口的数据包接口的数据包匹配匹配匹配匹配第一步第一步第一步第一步目的接口目的接口目的接口目的接口隐隐含的含的含的含的拒拒拒拒绝绝丢丢丢弃弃弃弃弃弃Y YY YY YY YYY YY YN NN NNN N路由器路由器路由器路由器对访问对访问控制列表的控制列表的控制列表的控制列表的处处理理理理过过程程程程匹配匹配匹配匹配下一步下一步下一步下一步拒拒拒拒绝绝拒拒拒拒绝绝拒拒拒拒绝绝访问访问控制列表入与出控制列表入与出3-1v使用命令使用命令ip access-group将将ACL应用到某一个用到某一个接口上接口上在接口的一个方向上，只能在接口的一个方向上，只能应用一个用一个access-listRouter(config-if)#ip access-group access-list-number in|out进进入数据包入数据包入数据包入数据包源地址源地址源地址源地址匹配匹配匹配匹配吗吗？有更多有更多有更多有更多 条目条目条目条目吗吗？应应用条件用条件用条件用条件拒拒拒拒绝绝允允允允许许路由到接口路由到接口路由到接口路由到接口查查找路由表找路由表找路由表找路由表是是是是是是是是否否否否是是是是否否否否IcmpIcmp消息消息消息消息转发转发数据包数据包数据包数据包接口上有接口上有接口上有接口上有访问访问控制列表控制列表控制列表控制列表吗吗？列表中的列表中的列表中的列表中的下一个条目下一个条目下一个条目下一个条目否否否否访问访问控制列表入与出控制列表入与出控制列表入与出控制列表入与出3-23-2外出数据包外出数据包外出数据包外出数据包查查找路由表找路由表找路由表找路由表接口上有接口上有接口上有接口上有访问访问控制列表控制列表控制列表控制列表吗吗？源地址匹配源地址匹配源地址匹配源地址匹配吗吗？拒拒拒拒绝绝允允允允许许列表中的列表中的列表中的列表中的下一个条目下一个条目下一个条目下一个条目是是是是是是是是转发转发数据包数据包数据包数据包IcmpIcmp消息消息消息消息否否否否否否否否否否否否 有更多条目有更多条目有更多条目有更多条目吗吗？访问访问控制列表入与出控制列表入与出控制列表入与出控制列表入与出3-33-3应应用条件用条件用条件用条件是是是是DenyDeny和和和和permitpermit命令命令命令命令Router(config)#access-list access-list-number permit|deny test conditions允允许数据包通数据包通过应用了用了访问控制列表控制列表的接口的接口拒拒绝数据包通数据包通过v第一步，第一步，创建建访问控制列表控制列表v第二步，第二步，应用到接口用到接口e0的出方向上的出方向上 Router(config)#access-list 1 deny 172.16.4.13 0.0.0.0Router(config)#access-list 1 deny 172.16.4.13 0.0.0.0Router(config)#access-list 1 permit 172.16.0.0 0.0.255.255Router(config)#access-list 1 permit 172.16.0.0 0.0.255.255Router(config)#access-list 1 permit 0.0.0.0 255.255.255.255Router(config)#access-list 1 permit 0.0.0.0 255.255.255.255Router(config)#interface fastethernet 0/0Router(config)#interface fastethernet 0/0RouterRouter（config-ifconfig-if）#ip access-group 1 out#ip access-group 1 out访问访问控制列表控制列表控制列表控制列表实实例例例例使用通配符使用通配符any和和host 2-1v通配符通配符any可代替可代替0.0.0.0 255.255.255.255 Router(config)#access-list 1 permit 0.0.0.0 Router(config)#access-list 1 permit 0.0.0.0 255.255.255.255255.255.255.255Router(config)#access-list 1 permit anyRouter(config)#access-list 1 permit any使用通配符使用通配符any和和host 2-2vhost表示表示检查IP地址的所有位地址的所有位 Router(config)#access-list 1 permit 172.30.16.29 0.0.0.0Router(config)#access-list 1 permit 172.30.16.29 0.0.0.0Router(config)#access-list 1 permit host 172.30.16.29Router(config)#access-list 1 permit host 172.30.16.29访问访问控制列表的种控制列表的种控制列表的种控制列表的种类类v基本基本类型的型的访问控制列表控制列表标准准访问控制列表控制列表扩展展访问控制列表控制列表 v其他种其他种类的的访问控制列表控制列表基于基于MAC地址的地址的访问控制列表控制列表基于基于时间的的访问控制列表控制列表扩展展acl标准准acl路由器路由器B路由器路由器C路由器路由器D路由器路由器AS0S0S1S1E0E0E1E0E0E1应应用用用用访问访问控制列表控制列表控制列表控制列表源源目的目的标标准准访问访问控制列表控制列表3-1v标准准访问控制列表控制列表根据数据包的源根据数据包的源IP地址来允地址来允许或拒或拒绝数据包数据包访问控制列表号从控制列表号从1到到99标准准访问控制列表控制列表3-2v标准准访问控制列表只使用源地址控制列表只使用源地址进行行过滤，表明，表明是允是允许还是拒是拒绝从从从从172.16.4.0/24172.16.4.0/24来的数据包可以来的数据包可以来的数据包可以来的数据包可以通通通通过过！从从从从172.16.3.0/24172.16.3.0/24来的数据包不能来的数据包不能来的数据包不能来的数据包不能通通通通过过！路由器路由器路由器路由器如果在如果在如果在如果在访问访问控制列表中有的控制列表中有的控制列表中有的控制列表中有的话话应应用条件用条件用条件用条件拒拒拒拒绝绝允允允允许许更多条目？更多条目？更多条目？更多条目？列表中的下一个条目列表中的下一个条目列表中的下一个条目列表中的下一个条目否否否否 有有有有访问访问控制列表控制列表控制列表控制列表吗吗？源地址源地址源地址源地址不匹配不匹配不匹配不匹配是是是是匹配匹配匹配匹配是是是是否否否否IcmpIcmp消息消息消息消息转发转发数据包数据包数据包数据包标标准准准准访问访问控制列表控制列表控制列表控制列表3-33-3标准准访问控制列表的配置控制列表的配置v第一步，使用第一步，使用access-list命令命令创建建访问控制列表控制列表v第二步，使用第二步，使用ip access-group命令把命令把访问控制列表控制列表应用到某接口用到某接口Router(config)#access-list access-list-number permit|deny source source-wildcard logRouter(config-if)#ip access-group access-list-number in|out 标标准准准准ACLACL应应用用用用1 1：允：允：允：允许许特定源的流量特定源的流量特定源的流量特定源的流量2-12-1172.16.3.0172.16.4.0Non-172.16.0.0E0E1S0172.16.4.13标准准ACL应用：允用：允许特定源的流量特定源的流量2-2v第一步，第一步，创创建允建允许许来自来自172.16.0.0的流量的的流量的ACLv第二步，第二步，应应用到接口用到接口E0和和E1的出方向上的出方向上 Router(config)#access-list 1 permit 172.16.0.0 0.0.255.255Router(config)#interface fastethernet 0/0Router(config-if)#ip access-group 1 outRouter(config)#interface fastethernet 0/1Router(config-if)#ip access-group 1 out标准准ACL应用：拒用：拒绝特定主机的通信流量特定主机的通信流量v第一步，第一步，创创建拒建拒绝绝来自来自172.16.4.13的流量的的流量的ACLv第二步，第二步，应应用到接口用到接口E0的出方向的出方向Router(config)#access-list 1 deny host 172.16.4.13 Router(config)#access-list 1 permit 0.0.0.0 255.255.255.255Router(config)#interface fastethernet 0/0Router(config-if)#ip access-group 1 out anyany标准准ACL应用：拒用：拒绝特定子网的流量特定子网的流量v第一步，第一步，创创建拒建拒绝绝来自子网来自子网172.16.4.0的流量的的流量的ACLv第二步，第二步，应应用到接口用到接口E0的出方向的出方向Router(config)#access-list 1 deny 172.16.4.0 0.0.0.255Router(config)#accesslist 1 permit anyRouter(config)#interface fastethernet 0/0Router（config-if）#ip access-group 1 out0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255 扩展展访问控制列表控制列表4-1v扩展展访问控制列表控制列表基于源和目的地址、基于源和目的地址、传输层协议和和应用端口号用端口号进行行过滤每个条件都必每个条件都必须匹配，才会施加允匹配，才会施加允许或拒或拒绝条件条件使用使用扩展展ACL可以可以实现更加精确的流量控制更加精确的流量控制 访问控制列表号从控制列表号从100到到199 扩扩展展访问访问控制列表控制列表4-2v扩展展访问控制列表使用更多的信息描述数据控制列表使用更多的信息描述数据包，表明是允包，表明是允许还是拒是拒绝从从172.16.3.0/24来的来的,到到172.16.4.13的，的，使用使用TCP协议，利用利用HTTP访问的的数据包可以通数据包可以通过！路由器路由器 有有有有访问访问控制列表控制列表控制列表控制列表吗吗？源地址源地址源地址源地址目的地址目的地址目的地址目的地址协议协议协议协议任任任任选项选项应应用条件用条件用条件用条件拒拒拒拒绝绝允允允允许许更多条目？更多条目？更多条目？更多条目？列表中的下一个条目列表中的下一个条目列表中的下一个条目列表中的下一个条目不匹配不匹配不匹配不匹配否否否否是是是是匹配匹配匹配匹配匹配匹配匹配匹配匹配匹配匹配匹配匹配匹配匹配匹配是是是是否否否否IcmpIcmp消息消息消息消息转发转发数据包数据包数据包数据包如果在如果在如果在如果在访问访问控制列表中有的控制列表中有的控制列表中有的控制列表中有的话话扩扩展展展展访问访问控制列表控制列表控制列表控制列表4-34-3不匹配不匹配不匹配不匹配不匹配不匹配不匹配不匹配不匹配不匹配不匹配不匹配端口号端口号端口号端口号关关关关键键字字字字描述描述描述描述TCP/UDPTCP/UDP20FTP-DATA（文件（文件传输协议）FTP（数据）（数据）TCP21FTP（文件（文件传输协议）FTPTCP23TELNET终端端连接接TCP25SMTP简单邮件件传输协议TCP42NAMESERVER主机名字服主机名字服务器器UDP53DOMAIN域名服域名服务器（器（DNS)TCP/UDP69TFTP普通文件普通文件传输协议（TFTP)UDP80WWW万万维网网TCP扩扩展展展展访问访问控制列表控制列表控制列表控制列表4-44-4扩展展访问控制列表的配置控制列表的配置3-1v第一步，使用第一步，使用access-list命令命令创建建扩展展访问控制控制列表列表Router(config)#access-list access-list-number permit|deny protocol source source-wildcard destination destination-wildcard operator port established log扩扩展展展展访问访问控制列表操作符的含控制列表操作符的含控制列表操作符的含控制列表操作符的含义义操作符及操作符及操作符及操作符及语语法法法法意意意意义义eq portnumber等于端口号等于端口号 portnumbergt portnumber大于端口号大于端口号portnumberlt portnumber小于端口号小于端口号portnumberneq portnumber不等于端口号不等于端口号portnumber扩扩扩扩展展展展访问访问访问访问控制列表的配置控制列表的配置控制列表的配置控制列表的配置3-23-2扩扩展展访问访问控制列表的配置控制列表的配置3-3v第二步，使用第二步，使用ip access-group命令将命令将扩展展访问控控制列表制列表应用到某接口用到某接口Router（config-if）#ip access-group access-list-number in|out 扩扩展展ACL应应用用1：拒：拒绝绝ftp流量通流量通过过E0v第一步，第一步，创创建拒建拒绝绝来自来自172.16.4.0、去往、去往172.16.3.0、ftp流量的流量的ACLv第二步，第二步，应应用到接口用到接口E0的出方向的出方向Router(config)#access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 21Router(config)#access-list 101 permit ip any anyRouter(config)#interface fastthernet 0/0Router（config-if）#ip access-group 101 out扩扩展展ACL应应用用2：拒拒绝绝telnet流量通流量通过过E0v第一步，第一步，创创建拒建拒绝绝来自来自172.16.4.0、去往、去往172.16.3.0、telnet流量的流量的ACLv第二步，第二步，应应用到接口用到接口E0的出方向上的出方向上Router(config)#access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 23Router(config)#access-list 101 permit ip any anyRouter(config)#interface fastethernet 0/0Router（config-if）#ip access-group 101 out命名的命名的命名的命名的访问访问控制列表控制列表控制列表控制列表2-12-1v标标准准ACL和和扩扩展展ACL中可以使用一个字母数字中可以使用一个字母数字组组合的字符串（名字）代替来表示合的字符串（名字）代替来表示ACL的表号的表号 v命名命名IP访问访问列表允列表允许许从指定的从指定的访问访问列表列表删删除除单单个个条目条目v如果添加一个条目到列表中，那么如果添加一个条目到列表中，那么该该条目被添加条目被添加到列表末尾到列表末尾 v不能以同一个名字命名多个不能以同一个名字命名多个ACLv在命名的在命名的访问访问控制列表下控制列表下，permit和和deny命令的命令的语语法格式与前述有所不同法格式与前述有所不同 命名的命名的命名的命名的访问访问控制列表控制列表控制列表控制列表2-22-2v第一步，第一步，创建名建名为cisco的命名的命名访问控制列表控制列表v第二步，指定一个或多个第二步，指定一个或多个permit及及deny条件条件 v第三步，第三步，应用到接口用到接口E0的出方向的出方向Router（config）#interface fastethernet 0/0Router（config-if）#ip access-group cisco outRouter(config)#ip access-list extended ciscoRouter（config-ext-nacl）#deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 23Router（config-ext-nacl）#permit ip any any查查看看访问访问控制列表控制列表2-1Router#show ip interface fastethernet 0/0 FastEthernet0/0 is up,line protocol is up Internet address is 172.16.3.1/24 Broadcast address is 255.255.255.255 Address determined by setup command MTU is 1500 bytes Helper address is not set Directed broadcast forwarding is disabled Outgoing access list is cisco Inbound access list is not set Proxy ARP is enabled Local Proxy ARP is disabled Security level is default Split horizon is enabled ICMP redirects are always sent ICMP unreachables are always sent ICMP mask replies are never sent IP fast switching is enabled IP fast switching on the same interface is disabled 查查看看访问访问控制列表控制列表2-2Router#show access-list Extended IP access list cisco 10 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq telnet 20 permit ip any any本章本章总结总结访问控制列表控制列表访问控制列表的种控制列表的种类访问控制列表的工作原理控制列表的工作原理访问控制列表的反控制列表的反码访问控制列表概控制列表概述述扩展展访问控制列控制列表表标准准访问控制列控制列表表什么是什么是扩展展访问控制列表控制列表扩展展访问控制列表的控制列表的应用与配置用与配置命名命名访问控制列表控制列表标准准访问控制列表的控制列表的应用与配置用与配置什么是什么是标准准访问控制控制列表列表访问控制列表控制列表（ACLACL）是）是应用在路用在路由器接口的指令列由器接口的指令列表（表（规则）ACLACL的工作原理：根的工作原理：根据据预先定先定义好的好的规则对包包进行行过滤，从而达到从而达到访问控制控制的目的的目的ACLACL的的处理理过程：若程：若第一条不匹配，第一条不匹配，则依次往下依次往下进行判断，行判断，直到有任一条直到有任一条语句句匹配匹配ACLACL使用反使用反码来来标志志一个或几个地址是一个或几个地址是被允被允许还是被拒是被拒绝标准准访问控制列表：控制列表：检查被路由的被路由的数据包的源地址。其数据包的源地址。其结果基于源网果基于源网络/子网子网/主机主机IPIP地址来决定是允地址来决定是允许还是拒是拒绝转发数据包。它使用数据包。它使用1 1到到9999之之间的数字作的数字作为表号表号对数据包的原地址与目数据包的原地址与目标地址均地址均进行行检查。它也能。它也能检查特定的特定的协议、端口号以及其它参数。它使、端口号以及其它参数。它使用用100100到到199199之之间的数字作的数字作为表号表号应用用访问控制列表首先使用控制列表首先使用access-listaccess-list命令命令创建建访问控控制列表，再用制列表，再用ip access-ip access-groupgroup命令把命令把该访问控制列表控制列表应用到某一接口用到某一接口可以使用一个字母数字可以使用一个字母数字组合的合的字符串（名字）代替前面所使字符串（名字）代替前面所使用的数字（用的数字（11991199）来表示）来表示ACLACL的表号的表号实验实验v实验背景背景随着随着BENET公司网公司网络建建设的开展，的开展，对网网络的安全性的安全性也要求越来越高，需要在路由器上也要求越来越高，需要在路由器上应用用访问控制列控制列表表进行控制行控制作作为网网络管理管理员，需要，需要设计访问控制条件，控制条件，对通通过路由器的数据包路由器的数据包进行行过滤一台路由器一台路由器为外部路由器，一台路由器外部路由器，一台路由器为公司内部路公司内部路由器，下面由器，下面连接两个网段：网段接两个网段：网段1（10.10.1.0/24）和）和网段网段2（10.10.2.0/24），），对公司内网公司内网络和外部网和外部网络的的通信通信进行控制行控制 实验实验实验实验拓扑拓扑拓扑拓扑 E 1/0 10.10.1.1/24E 1/0 10.10.1.1/24Fa0/0 172.16.1.1/24Fa0/0 172.16.1.1/24Fa0/0 172.16.5.1/24Fa0/0 172.16.5.1/24测试测试服服服服务务器器器器172.16.1.10/24172.16.1.10/24测试测试服服服服务务器器器器172.16.5.10/24172.16.5.10/24网段网段网段网段1 1的的的的测试测试PCPC10.10.1.10/2410.10.1.10/24Fa0/1 192.168.1.1/24Fa0/1 192.168.1.1/24Fa0/1 192.168.1.5/24Fa0/1 192.168.1.5/24Fa0/1 192.168.1.10/24Fa0/1 192.168.1.10/24网段网段网段网段2 2的的的的测试测试PC PC 10.10.2.10/2410.10.2.10/24E 1/1 10.10.2.1/24E 1/1 10.10.2.1/24一共一共一共一共5 5组组公共外部路由器公共外部路由器公共外部路由器公共外部路由器实验实验路由器路由器路由器路由器1 1实验实验路由器路由器路由器路由器5 5网段网段网段网段1 1网段网段网段网段2 2实验实验任任务务2-1 v任任务1 标准准访问控制列表配置控制列表配置完成完成标准准 在网段在网段1上的上的PC上，上，ping 172.16.1.10，测试结果是网果是网络连通通在网段在网段2上的上的PC上，上，ping 172.16.1.10，测试结果是网果是网络不能到达不能到达 实验实验任任务务2-2 v任任务2 扩展展访问控制列表配置控制列表配置完成完成标准准在网段在网段1的的PC上上ping 172.16.1.10，测试结果是网果是网络连通通在网段在网段1的的PC上上访问内部服内部服务器的器的WWW服服务，成功，成功在网段在网段1的的PC上上访问内部服内部服务器的器的tenet服服务，不成功，不成功在网段在网段2的的PC上上ping 172.16.1.10，测试结果是网果是网络连通通在网段在网段2的的PC上上访问内部服内部服务器的器的WWW服服务，不成功，不成功在网段在网段2的的PC上上访问内部服内部服务器的器的tenet服服务，成功，成功