网络互联及路由器技术(第2版)电子教案09访问控制列表的配置.ppt

第9章 访问控制列表的配置 访问控制列表的配置 学习目的与要求： 互联网的开放性决定了网络上的数据可以任意流动， 但有时候需要对数据进行控制通过设置访问控制列表来 控制和过滤通过路由器的信息流是的一种方法 本章主要讲述使用标准访问控制列表和扩展访问控制 列表控制网络流量的方法，同时提供了标准访问控制列表 和扩展访问控制列表以及在路由接口应用ACL的例子 完成本章的学习，你将能够： v描述访问控制列表的分类及其工作过程 v会根据应用需求配置各种访问控制列表 访问控制列表的配置 n9.1 访问控制列表n9.2 配置标准访问控制列表n9.3 配置扩展访问控制列表n9.4 命名的访问列表n本章小结n本章习题n本章实训 访问控制列表访问控制列表简称ACL(Access Control Lists)，配置路由器的访问控制列表是网络 管理员一件经常性的工作 本节介绍ACL的概念、功能及其工作原理 ACL概述n访问控制列表(ACL) 使用包过滤技术，在路由器上读取第3 层或第4层包头中的信息，如源地址、目的地址、源端口、目的 端口以及上层协议等，根据预先定义的规则决定哪些数据包可 以接收、哪些数据包需要拒绝，从而达到访问控制的目的。

Ø检查和过滤数据包ACL通过将访问控制列表应用 到路由器接口来管理流量和检查特定的数据包任何经过该接 口的流量都要接受ACL中规则的检测，以此决定被路由的分组是 被转发还是被丢掉，从而过滤网络流量例如，可以允许E- mail流量被路由，但同时阻塞所有Telnet流量 Ø限制网络流量，提高网络性能ACL能够按照优 先级或用户队列处理数据包通过排队确保路由器不去处理那 些不需要的分组排队限制了网络流量，减少了网络拥塞 Ø限制或减少路由更新的内容ACL能够限定或简 化路由器选择更新的内容，这些限定常用于限定关于特定网络 的信息通过网络传播 Ø提供网络访问的基本安全级别通过在路由器上 配置ACL，可以允许一个主机访问网络的一部分，而阻止其他主 机访问相同的区域 Ø顺序处理原则对ACL表项的检查是按照自上而下的 顺序进行的，从第一行起，直到找到第一个符合条件的行为止 ，其余的行不再继续比较因此必须考虑在访问控制列表中放 入语句的次序，比如测试性的语句最好放在ACL的最顶部 Ø最小特权原则对ACL表项的设置应只给受控对象完 成任务所必须的最小的权限如果没有ACL，则等于permit any。

一旦添加了ACL，默认在每个ACL中最后一行为隐含的拒绝 (deny any)如果之前没找到一条许可(permit)语句，意味着 包将被丢弃所以每个ACL必须至少有一行permit语句，除非用 户想将所有数据包丢弃 Ø最靠近受控对象原则尽量考虑将扩展的ACL放在 靠近源地址的位置上这样创建的过滤器就不会反过来影响其 他接口上的数据流另外，尽量使标准的ACL靠近目的地址，由 于标准ACL只使用源地址，如果将其靠近源会阻止报文流向其他 端口 ACL的工作原理图9-2 ACL匹配性检查 配置标准访问控制列表最广泛使用的访问控制列表是IP访问控制列表 ，IP访问控制列表工作于TCP/IP协议组按照访问控 制列表检查IP数据包参数的不同，可以将其分成标准 ACL和扩展ACL两种类型此外Cisco IOS 11.2版本中 还引入了IP命名ACL类型从本节开始分别介绍各种 ACL的配置方法 标准ACL的工作过程图9-3 标准ACL的工作过程 配置标准ACL1. 定义标准ACL Router(config)# access-list access-list- number {deny | permit} source [source- wildcard] [log] 其中的参数见表9.1 2．将标准ACL应用到某一接口上 Router(config-if)# ip access-group access-list-number { in | out } 其中，参数in和out表示ACL作用在接口上的方向，两者都 是以路由器作为参照物的，如果in和out都没有指定，那么默认为 out。

注意：在每个接口、每个协议、每个方向上只能有一个访 问控制列表 3. 删除已建立的标准ACL Router(config)#no access-list access- list-number 标准ACL参数及描述参 数描 述access-list- number访问控制列表表号，用来指定入口属于哪一个访问控制列表对于标 准ACL来说，是一个从1到99或1300到1999之间的数字deny如果满足测试条件，则拒绝从该入口来的通信流量permit如果满足测试条件，则允许从该入口来的通信流量source数据包的源地址，可以是网络地址或是主机IP地址source-wildcard(可选项)通配符掩码，又称反掩码，用来跟源地址一起决定哪些位需 要匹配 log(可选项)生成相应的日志消息，用来记录经过ACL入口的数据包的情况 略)相应的位”n比如，源地址和通配符掩码为172.16.30.0 0.0.0.255，表示路由器 前3个8位组必须精确匹配，最后1个8位组的值可以任意n再如，如要指定IP地址为从172.16.16.0到172.16.31.0之间的所有子 网，则通配符掩码为0.0.15.255 (31-16=15)。

nany可以表示任何IP地址，例如：Router(config)# access-list 10 permit any nhost表示一台主机，例如：Router(config)# access-list 10 permit host 172. 16. 30.22 RTB相连，整个网络配置RIPv2路由协议，保证网络正常通信要求在RTB上 配置标准ACL，允许销售部的主机PC1访问路由器RTB，但拒绝销售部的其他 主机访问RTB，允许销售部、市场部网络上所有其他流量访问RTB 图9-4 标准ACL配置 配置标准ACL 在路由器上RTB上配置如下： RTB(config)#access-list 1 permit host 172.16.10.10 RTB(config)#access-list 1 deny 172.16.10.0 0.0.0.255 RTB(config)#access-list 1 permit any RTB(config)#interface s0/0/0 RTB(config-if)#ip access-group 1 in(2) 验证标准ACL ① show access-lists命令 RTB# show access-lists② show ip interface命令 RTB# show ip interface 访问控制列表，只允许网络192.168.1.0/24中的主机 192.168.1.100 telnet路由器RTA。

图9-5 用标准ACL限制Telnet访问 access-list 10 permit host 192.168.1.100 RTA(config)# line vty 0 4 RTA(config-line)# password cisco RTA(config-line)# login RTA(config-line)# access-class 10 in注意：•在配置接口的访问时可以使用数字表号的或者命名的ACL •只有数字的访问列表才可以应用到虚拟连接中 •用户可以连接所有的VTY，因此所有的VTY连接都应用相同的ACL 配置扩展的ACLn扩展ACL比标准ACL功能更强大，使用得更广泛， 因为它可以基于分组的源地址、目的地址、协议类型 、端口号和应用来决定访问是被允许或者拒绝，因而 扩展ACL比标准ACL提供了更广阔的控制范围和更多的 处理方法 扩展ACL的工作过程图9-6 扩展ACL的工作过程 配置扩展ACL1．定义扩展ACL Router(config)# access-list access-list-number {deny | permit} protocol source [source-wildcard destination destination-wildcard] [operator operand] [established] 其中的参数说明见表9.2。

2. 将扩展ACL应用到某一接口上 Router(config-if)# ip access-group access-list- number { in | out } 3. 删除扩展ACL Router(config)# no access-list access-list- number 扩展ACL参数及描述参 数描 述access-list-number访问控制列表表号，使用一个100到199或2000到2699之间的数字来标识一个扩展访 问控制列表 deny如果条件符合就拒绝后面指定的特定地址的通信流量permit如果条件符合就允许后面指定的特定地址的通信流量protocol用来指定协议类型，如IP、ICMP、TCP或UDP等source和destination数据包的源地址和目的地址，可以是网络地址或是主机IP地址source-wildcard应用于源地址的通配符掩码destination-wildcard应用与目的地的通配符掩码位operator(可选项)比较源和目的端口，可用的操作符包括lt(小于)、gt(大于)、eq(等于)、neq( 不等于)和range(包括的范围) operand如果操作符位于源地址和源地址通配符之后，那么它必须匹配源端口。

如果操作符 位于目的地址和目的地址通配符之后，那么它必须匹配目的端口range操作符需要 两个端口号，其他操作符。