资源描述
单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,路由器及路由协议基础配置访问控制列表,计算机科学与工程学院,实验中心 张翔,索引,访问控制列表基础,访问控制列表,2,2024/11/28,什么是访问控制列表,对于数据流控制的需求,作为网络管理者,我们通常需要了解如何去控制非法的网络访问,而允许正常的网络访问。尽管已经存在有多种措施,比如如密码,复查设备(,callback equipment,)等等。,但是,还需要更灵活的基本数据流过滤能力和特定的控制能力。例如,网络管理者可能需要允许用户访问,Internet,,但是却不允许外部的用户登录到局域网中。,路由器提供的数据流过滤功能,路由器提供了基本的数据流过滤能力,比如说 使用“访问控制列表(,ACL,)”,通过,ACL,,我们可以有条件地阻止或发行,Internet,数据流。,3,2024/11/28,什么是访问控制列表,简单讲,访问控制列表,ACL,是运用到路由器端口的指令列表。这些指令告诉路由器接受哪些数据报文而拒绝哪些数据报文。,接受或者拒绝根据一定的规则进行,如源地址,目标地址,端口号等。,ACL,使得用户能够检测特定的数据报文,从而实现数据流的管理。,4,2024/11/28,ACL,的功能,ACL,可以用于执行以下一些功能:,限制网络数据流,增加网络性能。,例如:通过使用,ACL,限制在线视频数据流,可以极大地减轻网络负载,提高网络性能。,提供数据流控制。,例如:,ACL,可以限定或者减少路由更新的内容。如果这些更新在该网络条件下并不是必须的,那么通过对其进行流控可以很好的节约带宽,提高网络性能。,为网络访问提供基本的安全保护。,ACL,可以允许某个主机访问网络的某一部分,而阻止另一台主机访问网络的这个部分。,决定是否在路由器端口转发或者阻止指定类型的数据报文,例如:,ACL,可以允许某一个特定网段的,email,数据流通过路由器进行转发,但是却出于安全的需要阻止所有的,telnet,数据流。,5,2024/11/28,路由器对,ACL,的执行,路由器将根据,ACL,中指定的条件,对经过路由器端口的数据报文逐一进行检查。通常,ACL,执行判断的标准基于源或者目的,IP,地址,协议以及上层协议端口号。,6,2024/11/28,ACL,在路由器上的应用,One list,per port,per direction,per protocol,ACL,应该根据路由器的端口所允许的每一个协议来制定。如果需要控制流经某个端口的所有数据流,就需要为该端口允许的每一个协议分别创建,ACL,。,例如,如果一个端口配置成仅允许,IP,,,AppleTalk,和,IPX,协议的数据流进入,那么就需要创建至少三条,ACL,;如果该路由器需要在两个端口的进出两个方向上仅允许以上三个协议通过,那么则需要应用至少,12,条,ACL,。,7,2024/11/28,ACL,如何工作?,ACL,语句按照逻辑次序顺序执行,如果与某个条件语句相匹配,分组就会根据规则被允许通过或被拒绝通过;,一旦某一条语句匹配,则不会再检查后面的其他规则语句;,如果所有的规则语句都不匹配,最后将强加一条拒绝全局流量的隐式语句。,8,2024/11/28,路由器如何执行选路与,ACL,功能?,无论是否使用,ACL,,路由器处理数据报文最初的过程是相同的。,当一个数据报进入一个端口,路由器检查这个数据报是否可路由。,如果是可以路由的,路由器检查这个端口是否有,ACL,应用。,如果有,根据,ACL,中的条件指令,检查这个数据报文。,如果数据报是被允许的,就查询路由表,决定数据报的目标端口。,路由器检查目标端口是否存在,ACL,控制流出的数据报,不存在,这个数据报就直接发送到目标端口。,如果存在,就再根据,ACL,进行取舍。,9,2024/11/28,路由器执行数据报文处理的流程图,10,2024/11/28,创建与应用,ACL,配置模式,ACL,需要在全局配置模式中创建;,ACL,类型,Cisco,路由器支持多种,ACL,类型,包括标准、扩展、,IPX,、,AppleTalk,等;,配置,ACL,的时候需要为每一个协议的,ACL,指定一个唯一的数字,用以标识这个,ACL,。这个数字必须在有效范围之内(参看下图),11,2024/11/28,创建与应用,ACL,创建,ACL,的步骤,Step1,:在全局配置模式中使用,access-list,命令撰写,ACL,应用规则(仅针对使用数字定义,ACL,的情况);,请特别注意创建,ACL,的顺序!因为路由器在应用,ACL,时是按照顺序依次检查执行的。,ACL,顺序所表现出的逻辑正确性关系到该,ACL,是否能正确实现照管理员的控制意图!,Step2,:在路由器端口配置子模式中使用,access-group,命令将写好的,ACL,应用到该指定端口;,一组,ACL,可以同时应用到多个路由器端口,所有通过这些端口的数据报文都必须接受该组,ACL,的检查。,12,2024/11/28,创建与应用,ACL,创建于应用,ACL,示例,13,2024/11/28,删除、修改,ACL,修改,ACL,对于传统的使用数字编号定义的,ACL,,如果需要增加另外的语句或是语句需要改变,你就必须删掉该,ACL,,然后再重新建立一个带有新语句的,ACL,。,一个好的办法是,使用,PC,上的文本编辑器创建或修改,ACL,,然后再通过简易文件传输协议,(TFTP),或超级终端的发送文本文件将,ACL,传到路由器。,删除,ACL,14,2024/11/28,使用通配符掩码位,什么是通配符掩码?,通配符掩码是一个,32,比特的数字字符串,它被用点号分成,4,个,8,位组,每个,8,位组包含,8,个比特;,通配符掩码跟,IP,地址是成对出现的,在通配符掩码的地址位使用,1,或,0,表明如何处理相应的,IP,地址位,其中,0,表示“检查相应的位”,而,1,表示“不检查相应的位”;,ACL,使用通配符掩码来标志一个或多个地址是被允许,还是被拒绝。术语“,Wildcard”,是“,ACL,掩码位匹配过程”的绰号,它是从纸牌游戏中引伸过来的一个比喻。,15,2024/11/28,使用通配符掩码位,通配符掩码与子网掩码,尽管都是,32,比特的数字字符串,,ACL,通配符掩码跟,IP,子网掩码的在功能上毫不相干,它们用于不同的目的,并且遵循不同的应用规则;,在,IP,子网掩码中数字,1,和,0,用来决定是网络、子网还是相应的主机,IP,地址;,而在,ACL,通配符掩码中,掩码位是,1,还是,0,,用来决定相应的,IP,地址被忽略,还是被检查。,16,2024/11/28,使用通配符掩码位,如何匹配所有的,IP,地址?,使用通配符掩码,255.255.255.255,,代表忽略所有,IP,地址位;,可以使用,ANY,代替该特殊通配符掩码。,17,2024/11/28,使用通配符掩码位,如何匹配单个,IP,地址?,使用通配符掩码,0.0.0.0,,代表,IP,地址位都需要检查;,可以使用,HOST,代替该特殊通配符掩码。,18,2024/11/28,使用通配符掩码位,如何匹配特定,IP,子网?,19,2024/11/28,Address and wildcard mask:,172.30.16.0 0.0.15.255,检查,ACL,配置,使用,show,命令检查,ACL,配置,show ip interface,显示该接口的,IP,信息以及在该接口上是否有,ACL,应用,如果有,可以看见,ACL,名称和应用在接口上的的方向;,show access-lists,查看当前设备上配置的所有,ACL,;,show running-config,查看所有配置的,ACL,的详细信息;,20,2024/11/28,检查,ACL,配置,show ip interface,21,2024/11/28,检查,ACL,配置,show access-list,22,2024/11/28,检查,ACL,配置,show running-config,23,2024/11/28,索引,访问控制列表基础,访问控制列表,24,2024/11/28,标准访问控制列表,什么是标准访问控制列表?,标准访问控制列表仅检查可以路由的,IP,分组的,源地址,并且把它与,ACL,中的条件判断语句相比较;,标准访问控制列表可以允许或禁止整套,IP,协议;,标准,ACL,的数字定义为,1,到,99,,可以提供数据流过滤控制,基于源地址和通配掩码;,标准,ACL,通常应用于靠近目的端的路由器端口。,25,2024/11/28,标准访问控制列表,标准访问控制列表命令的详细语法,Router(config)#access-list,access-list-number,deny|permit,source source-wildcard,log,Router(config)#no access-list,access-list-number,作业:,26,2024/11/28,标准访问控制列表应用示例,1,E0和E1端口只允许来自于网络172.16.0.0的数据报被转发,其余的将被阻止。,27,2024/11/28,标准访问控制列表应用示例,2,E0端口不允许来自于特定地址172.16.4.13的数据流,其它的数据流将被转发。,28,2024/11/28,标准访问控制列表应用示例,3,E0,端口不允许来自于特定子网,172.16.4.0,的数据,而允许其他数据通过。,29,2024/11/28,扩展访问控制列表,什么是扩展访问控制列表?,扩展访问控制列表,即,Extended ACL,,提供了比,S,tandard,ACL,更大范围的控制,因而运用更广。例如,可以使用扩展,ACL,来实现允许,Web,数据流通过,而禁止,FTP,或,Telnet,通过;,扩展,ACL,既可检查分组的源地址和目的地址,也检查协议类型和,TCP,或,UDP,的端口号;,扩展,ACL,的数字定义为,100,到,199,;,扩展,ACL,通常应用部署在靠近源端的路由器端口上。,30,2024/11/28,扩展访问控制列表,扩展访问控制列表命令的详细语法,31,2024/11/28,扩展访问控制列表应用示例,1,在,E0,端口,禁止转出来自,172.16.4.0,子网的,FTP,数据流到,172.16.3.0,子网,其它的数据流将被转发。,32,2024/11/28,扩展访问控制列表应用示例,2,在,E0,端口,禁止转出来自,172.16.4.0,子网的,Telnet,数据流,其它的数据流将被转发。,33,2024/11/28,命名访问控制列表,命名访问控制列表,Cisco IOS,软件,11.2,版本中引入了,IP,命名访问控制列表;命名,ACL,允许在标准,ACL,和扩展,ACL,中,使用字符代替数字来标识,ACL,;,使用命名,ACL,有以下好处:,通过一个字符串组成的名字可以更加直观的表示特定的访问控制列表;,命名,ACL,不受,99,条标准,ACL,和,100,条扩展,ACL,的限制;,命令,ACL,可以使得网络管理员方便的对,ACL,进行修改而无需删除,ACL,之后再对其进行重新配置。,34,2024/11/28,命名访问控制列表,创建命名,ACL,我们使用,ip access-list,命令建命名,ACL,,语法格式如下:,ip access-list extended|standard name,Permit/Deny,语句的语法格式:,35,2024/11/28,命名访问控制列表,命名访问控制列表创建及应用示例,36,2024/11/28,命名访问控制列表,命名访问控制列表修改示例,37,2024/11/28,命名访问控制列表,命名访问控制列表修改示例,续,1,38,2024/11/28,命名访问控制列表,命名访问控制列表修改示例,续,2,3
展开阅读全文