acl访问控制技术
第9章 ACL访问控制技术,2,本章学习内容,9.1 ACL概述 9.1.1 什么是ACL 9.1.2 ACL的访问顺序(难点) 9.1.3 ACL的分类 9.2 ACL的基本配置举例 9.2.1 标准ACL配置举例(重点) 9.2.3 扩展ACL配置举例(重难点) 9.3 本章命令汇总,要求:PC1所在网络能访问PC3,PC2所在网络不能访问PC3。,要求:PC1所在网络仅能访问PC2的WWW服务器,PC3所在网络仅能访问PC2的FTP服务器,其他计算机都不能访问PC2服务器。,5,9.1 ACL 概 述,访问控制列表(Access Control List,简称ACL)网络操作系统所提供的一种访问控制技术。 ACL原理ACL使用包过滤技术,在路由器上读取第三层及第四层包头中的信息如源地址、目的地址、源端口、目的端口等,根据预先定义好的规则对包进行过滤,从而达到访问控制的目的。 功能保护资源、阻止非法用户对资源的访问;限制特定用户对资源的访问权限。 使用范围路由器、三层交换机、部分最新的二层交换机都提供ACL支持。,ACL语句举例:,RA(config)#access-list 1 permit 192.168.0.0 0.0.0.255 RA(config)#access-list 1 permit 10.0.0.0 0.0.0.255,ip access-list extend server-protect Peimit tcp host 10.1.6.33 host 10.1.2.21 eq 1521 Deny tcp 10.1.6.0 0.0.0.255 host 10.1.2.21 eq 1521 Peimit tcp 10.1.0.0 0.0.255.255 host 10.1.2.21 eq 1521 Permit tcp 10.1.0.0 0.0.255.255 host 10.1.2.20 eq 80 Peimit tcp 10.1.0.0 0.0.255.255 host 10.1.2.22 eq 21,7,配置ACL的基本原则:,(1)最小特权原则:只给受控对象完成任务所必需的最小的权限; (2)最靠近受控对象原则:所有的网络层访问权限控制尽可能离受控对象最近。,8,ACL语句的增加与删除,ACL由一系列访问控制语句组成。 当创建一个ACL列表后,新增加的语句总是放到列表最后。 无法删除某一条ACL语句,只能删除整个ACL列表。,9,ACL的访问顺序,按照语句顺序,根据判定条件对数据包进行检查。一旦找到了匹配条件就结束比较过程,不再检查后面的判断条件。 如果所有条件语句都不匹配,则在最后强加一条拒绝全部流量的隐含语句,即总是拒绝所有流量。,10,ACL访问顺序 示例,ip access-list extend server-protect Permit tcp 10.1.0.0 0.0.255.255 host 10.1.2.20 eq 80 Peimit tcp 10.1.0.0 0.0.255.255 host 10.1.2.22 ep 21 Peimit tcp 10.1.0.0 0.0.255.255 host 10.1.2.21 eq 1521 Deny tcp 10.1.6.0 0.0.0.255 host 10.1.2.21 eq 1521 Peimit tcp host 10.1.6.33 host 10.1.2.21 eq 1521 Deny ip 10.1.0.0 0.0.255.255 any,能否拒绝10.1.6.0网络中主机访问主机10.1.2.21:1521?,ip access-list extend server-protect Peimit tcp host 10.1.6.33 host 10.1.2.21 eq 1521 Deny tcp 10.1.6.0 0.0.0.255 host 10.1.2.21 eq 1521 Peimit tcp 10.1.0.0 0.0.255.255 host 10.1.2.21 eq 1521 Permit tcp 10.1.0.0 0.0.255.255 host 10.1.2.20 eq 80 Peimit tcp 10.1.0.0 0.0.255.255 host 10.1.2.22 eq 21,ACL语句定义顺序: 先小范围精确匹配,再大范围匹配。,13,ACL的分类,1标准ACL(standard ACL) 2扩展ACL(extended ACL) 3命名ACL 4基于时间的访问控制列表,14,1. 标准ACL,标准ACL: 使用IP包中的源IP地址进行过滤。 在思科的路由器上使用的ACL编号为199以及13001999。,15,1.标准ACL的配置,第一步,定义访问控制列表,命令如下:Router(config)# access-list access-list-number permit | deny source source-wildcard log第二步,把标准 ACL应用到一个具体接口。,16,1.标准ACL的配置,第一步,定义访问控制列表,命令如下:Router(config)# access-list access-list-number permit | deny source source-wildcard log,标准ACL编号199,13001999,源地址,通配符掩码。 0检查相应位;1不检查相应位。 Any表示0.0.0.0 255.255.255.255 Host 172.30.16.29 表示172.30.16.29 0.0.0.0,源地址,通配符掩码。 0检查相应位;1不检查相应位。 Any表示0.0.0.0 255.255.255.255 Host 172.30.16.29 表示172.30.16.29 0.0.0.0,源地址,通配符掩码。 0检查相应位;1不检查相应位。 Any表示0.0.0.0 255.255.255.255 Host 172.30.16.29 表示172.30.16.29 0.0.0.0,17,1.标准ACL的配置,第一步,定义访问控制列表,命令如下:Router(config)# access-list access-list-number permit | deny source source-wildcard log,生成日志文件,18,1.标准ACL的配置,第二步,把标准 ACL应用到一个具体接口:Router(config)# int interfaceRouter(config-if)# protocol access-group access-list-number in | out,例如:,Router(config)# access-list 1 permit 10.0.0.0 0.255.255.255 /允许源地址为10.0.0.0网段的数据通过 Router(config)# int s1/1 Router(config-if)# ip access-group 1 out,19,2. 扩展ACL,扩展ACL: 可以控制源IP,目的IP,源端口,目的端口等。 在思科路由器上,扩展ACL的编号为100199以及20002699。 缺点在没有硬件ACL加速的情况下,消耗大量的路由器CPU资源。中低档路由器上尽量减少扩展ACL的条目数。,20,2.扩展ACL的配置,第一步,定义访问控制列表,命令: Router(config)# access-list access-list-number permit | deny protocol source source-wildcard operator operand destination destination-wildcard operator operand established log 第二步,把扩展 ACL应用到一个具体接口:,21,2.扩展ACL的配置,第一步,定义访问控制列表,命令: Router(config)# access-list access-list-number permit | deny protocol source source-wildcard operator operand destination destination-wildcard operator operand established log,扩展ACL编号100199,20002699,22,2.扩展ACL的配置,第一步,定义访问控制列表,命令: Router(config)# access-list access-list-number permit | deny protocol source source-wildcard operator operand destination destination-wildcard operator operand established log,指定协议类型IP, TCP, UDP, ICMP等,23,2.扩展ACL的配置,第一步,定义访问控制列表,命令: Router(config)# access-list access-list-number permit | deny protocol source source-wildcard operator operand destination destination-wildcard operator operand established log,源地址 及 通配符掩码。 0检查相应位;1不检查相应位。 Any表示0.0.0.0 255.255.255.255 Host 172.30.16.29 表示172.30.16.29 0.0.0.0,24,2.扩展ACL的配置第一步,第一步,定义访问控制列表,命令: Router(config)# access-list access-list-number permit | deny protocol source source-wildcard operator operand destination destination-wildcard operator operand established log 第二步,把扩展 ACL应用到一个具体接口:,目的地址 ,通配符掩码, 0检查,1不检查,25,2.扩展ACL的配置第一步,第一步,定义访问控制列表,命令: Router(config)# access-list access-list-number permit | deny protocol source source-wildcard operator operand destination destination-wildcard operator operand established log 第二步,把扩展 ACL应用到一个具体接口:,lt, gt, eq, neq (小于, 大于, 等于, 不等于),一个端口号或应用名称,26,2.扩展ACL的配置第一步,第一步,定义访问控制列表,命令: Router(config)# access-list access-list-number permit | deny protocol source source-wildcard operator operand destination destination-wildcard operator operand established log 第二步,把扩展 ACL应用到一个具体接口:,