ACL访问控制列表解析课件.ppt

1、1ISP什么是访问列表 为什么要使用访问列表可以是路由器或三层交换机或防火墙访问列表的组成 访问列表规则的应用 经某接口进入设备内部的数据包进行安全规则过滤 设备从某接口向外发送数据时进行安全规则过滤访问列表的入栈应用NY是否允许是否允许?Y是否应用是否应用访问列表访问列表?N查找路由表查找路由表进行选路转发进行选路转发以ICMP信息通知源发送方以ICMP信息通知源发送方NY选择出口选择出口S0路由表中是否路由表中是否存在记录存在记录?NY查看访问列表查看访问列表的陈述的陈述是否允许是否允许?Y是否应用是否应用访问列表访问列表?NS0S0 访问列表的出栈应用IP ACL的基本准则Y拒绝拒绝Y是

2、否匹配是否匹配测试条件测试条件1?允许允许N拒绝拒绝允许允许是否匹配是否匹配测试条件测试条件2?拒绝拒绝是否匹配是否匹配最后一个最后一个测试条件测试条件?YYNYY允许允许被系统隐被系统隐含拒绝含拒绝N 一个访问列表多个测试条件访问列表规则的定义ACL的基本用途是限制访问网络的用户，保护网络的安全。ACL一般只在以下路由器上配置：1、内部网和外部网的边界路由器。2、两个功能网络交界的路由器。限制的内容通常包括：1、允许那些用户访问网络。（根据用户的IP地址进行限制）2、允许用户访问的类型，如允许http和ftp的访问，但拒绝Telnet的访问。（根据用户使用的上层协议进行限制）ACL的工作过程

3、访问控制列表(ACL)由多条判断语句组成。每条语句给出一个条件和处理方式（通过或拒绝）。路由器对收到的数据包按照判断语句的书写次序进行检查，当遇到相匹配的条件时，就按照指定的处理方式进行处理。ACL中各语句的书写次序非常重要，如果一个数据包和某判断语句的条件相匹配时，该数据包的匹配过程就结束了，剩下的条件语句被忽略。8.2 ACL语句一个访问控制列表(ACL)可由多条语句组成，每条ACL语句的形式为：Router(config)#access-list 表号 处理方式 条件ACL表号：用于区分各访问控制列表。一台路由器中可定义多个ACL，每个ACL使用一个表号。其中针对IP数据报的ACL可使用

4、的表号为：标准访问控制列表：199。扩展访问控制列表：100199。同一个ACL中各语句的表号相同。处理方式：取值有permit（允许）和deny（拒绝）两种。当数据包与该语句的条件相匹配时，用给定的处理方式进行处理。条件：每条ACL语句只能定义一个条件。例：access-list 1 permit 10.0.0.0 0.255.255.255access-list 1 deny 20.0.0.0 0.255.255.255第1句表示允许地址为10.*.*.*的数据包通过。第2句表示拒绝地址为20.*.*.*的数据包通过。这里的地址指数据包的源地址。应用ACL如果只是定义了ACL，它还不会起到

5、任何作用，必须把ACL应用到一个接口上才能起作用。应用ACL：Router(config)#interface 接口号Router(config-if)#ip access-group 表号 in|outin：表示在数据包进入此接口时使用ACL进行过滤。out：表示在数据包离开此接口时使用ACL进行过滤。通常，使用出站接口检查的数据包数量较少，效率要高一些。例：Router(config)#interface e0Router(config-if)#ip access-group 1 out表示在e0口上使用表号为1的ACL对出站数据包进行过滤。通配符掩码在ACL语句中，当使用地址作为条件时，

6、它的一般格式为：地址 通配符掩码。通配符掩码决定了地址中的哪些位需要精确匹配，哪些为不需要匹配。通配符掩码是一个32位数，采用点分十进制方式书写。匹配时，“0”表示检查的位，“1”表示不检查的位。如：192.168.1.1 0.0.255.255表示检查前16位，忽略后16位，所以这个条件表示的地址是 192.168.*.*。any条件：当条件为所有地址时，如果使用通配符掩码应写为：0.0.0.0 255.255.255.255这时可以用“any”表示这个条件。如：Router(config)#access-list 1 permit 0.0.0.0 255.255.255.255Router

7、(config)#access-list 1 permit any上面两个语句是等价的。host关键字：当条件为单一IP地址时，如果使用通配符掩码应写为：IP地址 0.0.0.0这时可以用“host”关键字定义这个条件。如：Router(config)#access-list 1 permit 200.1.1.5 0.0.0.0Router(config)#access-list 1 permit host 200.1.1.5上面两个语句是等价的。源地址源地址TCP/UDP数据数据IPeg.HDLC1-99 号列表号列表 IP标准访问列表目的地址目的地址源地址源地址协议协议端口号端口号100-

8、199号列表号列表 TCP/UDP数据数据IPeg.HDLC IP扩展访问列表00111111128643216842100000000000011111111110011111111 反掩码（通配符）思考题 IP标准访问列表的配置access-list 1 permit 172.16.3.0 0.0.0.255(access-list 1 deny 0.0.0.0 255.255.255.255)interface serial 0ip access-group 1 out172.16.3.0172.16.4.0F0S0F1172.17.0.0 IP标准访问列表配置实例标准ACL配置举例1R

9、1E0一个局域网连接在路由器R1的E0口，这个局域网要求只有来自10.0.0.0/8、192.168.0.0/24、192.168.1.0/24的用户能够访问。R1(config)#access-list 1 permit 10.0.0.0 0.255.255.255R1(config)#access-list 1 permit 192.168.0.0 0.0.0.255R1(config)#access-list 1 permit 192.168.1.0 0.0.0.255R1(config)#interface e0R1(config-if)#ip access-group 1 out配置

10、完成后，可以用命令查看ACL：R1#show access-lists说明：1、在每个ACL中都隐含着一个语句：access-list list-num deny any它位于ACL的最后，表示拒绝所有。所以任何一个与前面各语句都不匹配的数据包都会被拒绝。2、在ip access-group语句中，用in或out表示入站时匹配或出站时匹配，如果没有指定这个值，默认为out。3、在每个接口、每个方向上只能应用一个ACL。4、一个ACL可以应用到多个接口上。标准ACL配置举例2R1E0一个局域网连接在路由器R1的E0口，这个局域网要求拒绝来自192.168.10.0/24的用户访问，其它用户都可以

11、访问。R1(config)#access-list 1 deny 192.168.10.0 0.0.0.255R1(config)#access-list 1 permit anyR1(config)#interface e0R1(config-if)#ip access-group 1 out注意：access-list 1 permit any语句不能省略，如果省略该语句，则所有和语句1不匹配的数据包都会被隐含的access-list 1 deny any语句拒绝。标准ACL配置举例3R1E0一个局域网连接在路由器R1的E0口，这个局域网只允许来自192.168.20.0/24的用户访问，

12、但其中192.168.20.1和192.168.20.5两台主机除外。R1(config)#access-list 1 deny host 192.168.20.1R1(config)#access-list 1 deny host 192.168.20.5R1(config)#access-list 1 permit 192.168.20.0 0.0.0.255R1(config)#interface e0R1(config-if)#ip access-group 1 out注意：access-list 1 permit 192.168.20 0.0.0.255语句不能写在另两条语句的前面，

13、如果把它写在第1句，则192.168.20.1和192.168.20.5因已经满足了条件，不会再进行后面的匹配。标准ACL配置举例4R1E0一个局域网连接在路由器R1的E0口，这个局域网要求拒绝来自的用户访问，其它用户都可以访问。说明：定义ACL时，每条语句都按输入的次序加入到ACL的末尾，如果想要更改某条语句，或者更改语句的顺序，只能先删除整个ACL，再重新输入。比如删除表号为1的ACL：Router(config)#no access-list 1在实际应用中，我们往往把路由器的配置文件导出到TFTP服务器中，用文本编辑工具修改ACL，然后再把配置文件装回到路由器中。扩展访问控制列表扩展A

14、CL可以使用地址作为条件，也可以用上层协议作为条件。扩展ACL既可以测试数据包的源地址，也可以测试数据包的目的地址。定义扩展ACL时，可使用的表号为100199。（针对IP数据报）扩展ACL的语句：access-list 表号 处理方式 条件表号：取值100199。处理方式：permit（允许）或deny（拒绝）。条件：协议 源地址 目的地址 运算符 端口号 established协议：用于匹配数据包使用的网络层或传输层协议，如IP、TCP、UDP、ICMP等。源地址、目的地址：使用“地址 通配符掩码”的形式，也可以使用any、host关键字。运算符 端口号：用于匹配TCP、UDP数据包中的端

15、口号。运算符包括lt(小于)、gt(大于)、eq(等于)、neq(不等于)。端口号用于对应一种应用，如21FTP、23Telnet、25SMTP、53DNS、80HTTP等。“运算符 端口号”可匹配数据包的用途。如：“eq 80”可匹配那些访问Web网站的数据包。在扩展ACL语句中，“运算符 端口号”可以没有。例：access-list 100 permit tcp 192.168.0.0 0.0.255.255 10.0.0.0 0.255.255.255 eq 80表示允许来自192.168.*.*的用户访问位于10.*.*.*的Web站点。扩展ACL定义后，也需要使用 ip access

16、-group 命令应用在指定接口上才能起作用。如：Router(config)#interface e0Router(config-if)#ip access-group 100 out在每个扩展ACL末尾也有一条默认语句：access-list list-num deny ip any any它会拒绝所有与前面语句不匹配的数据包。扩展ACL配置举例1R1E0一个局域网连接在路由器R1的E0口，这个局域网只允许Web通信流量和Ftp通信流量，其它都拒绝。R1(config)#access-list 100 permit tcp any any eq 80R1(config)#access-li

17、st 100 permit tcp any any eq 20R1(config)#access-list 100 permit tcp any any eq 21R1(config)#interface e0R1(config-if)#ip access-group 100 out说明：标准FTP协议使用了两个端口，21用于建立FTP连接，20用于数据传输。说明：例1的配置将会极大限制局域网和外网间的应用，它会拒绝除Web和Ftp外的所有应用（包括ICMP、DNS、电子邮件等），也会拒绝那些没有使用标准端口的Web和Ftp应用。在实际应用中，我们通常只对那些可能有害的访问作出拒绝限制，或者限

18、制用户访问某些有害的站点或服务。扩展ACL配置举例2R1E0R1是局域网和外网的边界路由器，禁止外网用户用Telnet远程登录本路由器。S0192.168.*.*192.168.0.1/24200.1.1.1/24R1(config)#access-list 100 deny tcp any host 200.1.1.1 eq 23R1(config)#access-list 100 deny tcp any host 192.168.0.1 eq 23R1(config)#access-list 100 permit ip any anyR1(config)#interface s0R1(c

19、onfig-if)#ip access-group 100 in说明：这里使用了禁止对两个接口进行Telnet的数据包进入S0口的方法阻断来自外网的Telnet请求。由于对E0口没有限制，所以它不影响来自内网的Telnet请求。扩展ACL配置举例3R1E0R1是局域网和外网的边界路由器，60.54.145.21是一个有害的Web网站，禁止内网用户访问该网站。S0192.168.*.*192.168.0.1/24200.1.1.1/24R1(config)#access-list 100 deny tcp 192.168.0.0 0.0.255.255 host 60.54.145.21 eq

20、80R1(config)#access-list 100 permit ip any anyR1(config)#interface e0R1(config-if)#ip access-group 100 in扩展ACL配置举例4R1E0R1是局域网和外网的边界路由器，禁止对S0口的ping操作。S0192.168.*.*192.168.0.1/24200.1.1.1/24R1(config)#access-list 100 deny icmp any host 200.1.1.1R1(config)#access-list 100 permit ip any anyR1(config)#in

21、terface s0R1(config-if)#ip access-group 100 in说明：ping命令使用的是ICMP协议，但ICMP除了具有网络探查功能外，还需要用它传输各种错误信息，所以在路由器上不应该禁止该协议。如果想要禁止ping，最好使用专用的防火墙。8.5 命名访问控制列表命名ACL是新版路由器操作系统(11.2以后的版本)增加的一种定义ACL的方法。命名ACL使用一个符号串作为ACL的名字，不再使用表号。命名ACL也有标准ACL和扩展ACL两种，一个命名ACL只能是其中的一种。命名ACL配置方法Router(config)#ip access-list standard|

22、extended namestandard：定义标准命名ACL。extended：定义扩展命名ACL。name：ACL的名字，可自定义。该命令执行后，提示符变为Router(config-std-nacl)#或Router(config-ext-nacl)#。在此提示符下可输入ACL语句。命名ACL语句格式：处理方式 条件。它只比以前的ACL少了前面的“access-list 表号”部分，其它都相同。例1 配置标准命名ACLR1E0要求拒绝来自200.1.1.0/24的数据包通过S0口进入路由器，其它都允许。S0R1(config)#ip access-list standard list1R

23、1(config-std-nacl)#deny 200.1.1.0 0.0.0.255R1(config-std-nacl)#permit anyR1(config-std-nacl)#exitR1(config)#interface s0R1(config-if)#ip access-group list1 inlist1是访问控制列表的名字。命名ACL在修改上略好于一般的ACL，进入一个ACL的模式后，我们可以使用“no”命令删除某一个表项。但如果想要调整各表项的次序，还是需要删除整个ACL，再重新输入。例2 配置扩展命名ACLR1E0S0192.168.*.*192.168.0.1/24

24、200.1.1.1/24禁止内网用户访问地址为60.54.145.21的Web网站。R1(config)#ip access-list extended list2R1(config-ext-nacl)#deny tcp 192.168.0.0 0.0.255.255 host 60.54.145.21 eq 80R1(config-ext-nacl)#permit anyR1(config-ext-nacl)#exitR1(config)#interface e0R1(config-if)#ip access-group list2 in8.6 正确放置访问控制列表ACL应用在不同接口、不同方向上会有不同效果。标准ACL不能指定目的地址，一般应放置在离目的地最近的接口上。扩展ACL一般应放置在离被拒绝的流量来源最近的地方。由于一般的通信都需要双向传输信号，所以使用入站检测和出站检测在效果上往往一样，通常使用出站检测时被检查的数据包数量要少一些。访问列表的验证