Download
1 / 26
260 likes | 418 Views
使用访问控制列表控制网络通讯. 主讲人:孟庆宝. 使用访问控制列表控制网络通讯. 学习目的与要求: 互联网的开放性决定了网络上的数据可以任意流动,但有时候需要对数据进行控制。通过设置访问控制列表来控制和过滤通过路由器的信息流是的一种方法。 本项目主要讲述使用标准访问控制列表和扩展访问控制列表控制网络流量的方法,同时提供了标准访问控制列表和扩展访问控制列表以及在路由接口应用 ACL 的例子。 完成本项目的学习,你将能够: 描述访问控制列表的分类及其工作过程 会根据应用需求配置访问控制列表. 访问控制列表( ACL ).
E N D
使用访问控制列表控制网络通讯 主讲人:孟庆宝
使用访问控制列表控制网络通讯 学习目的与要求: 互联网的开放性决定了网络上的数据可以任意流动,但有时候需要对数据进行控制。通过设置访问控制列表来控制和过滤通过路由器的信息流是的一种方法。 本项目主要讲述使用标准访问控制列表和扩展访问控制列表控制网络流量的方法,同时提供了标准访问控制列表和扩展访问控制列表以及在路由接口应用ACL的例子。 完成本项目的学习,你将能够: 描述访问控制列表的分类及其工作过程 会根据应用需求配置访问控制列表
访问控制列表(ACL) 访问控制列表ACL(Access Control Lists),是网络管理员手工配置的,放置在路由器接口中的一组含有允许(permit)或拒绝(deny)语句条目序列,在数据包流经路由器的入方向(in)或出方向(out)进行匹配检查,最终决定数据包通过(forwarding)或丢弃(discarding)。
ACL的功能 • 检查和过滤数据包。ACL通过将访问控制列表应用到路由器接口来管理流量和检查特定的数据包。例如,可以允许E-mail流量被路由,但同时阻塞所有Telnet流量。 • 限制或减少路由更新的内容。ACL能够限定或简化路由器选择更新的内容,这些限定常用于限定关于特定网络的信息通过网络传播。 • 提供网络访问的基本安全级别。通过在路由器上配置ACL,可以允许一个主机访问网络的一部分,而阻止其他主机访问相同的区域。 • 作为高级功能的基础配置。为网络地址转换功能、拨号访问功能提供基础配置。 • ACL分类及编号 标准访问控制列表(Standard ACL):可以根据源地址作访问控制,编号范围:1-99 扩展访问控制列表(Extended ACL):可以根据源地址、目的地址和网络应用作访问控制,编号范围:100-199
ACL的工作原理 • 顺序查找,匹配后不再检索 • 隐式拒绝处理
ACL在路由器中的工作过程 注:ACL在路由查找后进行处理
任务:使用标准访问控制列表限制网络访问 • 案例1: • 192.168.12.0网络不能访问192.168.14.0网络 • 其他网络可以访问192.168.14.0
参 数 描 述 access-list-number 访问控制列表表号,用来指定入口属于哪一个访问控制列表。对于标准ACL来说,是一个从1到99或1300到1999之间的数字 deny 如果满足测试条件,则拒绝从该入口来的通信流量 permit 如果满足测试条件,则允许从该入口来的通信流量 source 数据包的源地址,可以是网络地址或是主机IP地址 source-wildcard (可选项)通配符掩码,又称反掩码,用来跟源地址一起决定哪些位需要匹配 log (可选项)生成相应的日志消息,用来记录经过ACL入口的数据包的情况 配置标准ACL 步骤1. 定义标准ACL • Router(config)# access-list access-list-number {deny | permit} source [source-wildcard] [log]
E0 Access List Processes Source and Destination 流出方向 Protocol 进入方向 Permit? S0 配置标准ACL 步骤2.将标准ACL应用到某一接口上 • Router(config-if)# ip access-group access-list-number { in | out } • 其中,参数in和out表示ACL作用在接口上的方向,两者都是以路由器作为参照物的,如果in和out都没有指定,那么默认为out。 • 注意:1、在每个接口、每个协议、每个方向上只能有一个访问控制列表。 • 2、标准访问控制列表放置在离目的网络近的路由器中
配置标准ACL • 删除已建立的标准ACL • Router(config)#no access-list access-list-number • Router(config-if)#ip access-group access-list-number { in | out }
关于通配符掩码的使用说明 • 表示成4位点分十进制形式。默认的通配符掩码为0.0.0.0。 • 在通配符掩码位中,0表示“检查相应的位”,而1表示“不检查(忽略)相应的位”。 • 比如,源地址和通配符掩码为172.16.30.0 0.0.0.255,表示路由器前3个8位组必须精确匹配,最后1个8位组的值可以任意。 • 再如,如要指定IP地址为从172.16.16.0到172.16.31.0之间的所有子网,则通配符掩码为0.0.15.255 (31-16=15)。 • any可以表示任何IP地址,例如: Router(config)# access-list 10 permit any • host表示一台主机,例如: Router(config)# access-list 10 permit host 172. 16. 30.22
标准ACL配置示例一 某企业销售部、市场部的网络和财务部的网络通过路由器RTA和RTB相连,整个网络配置RIPv2路由协议,保证网络正常通信。要求在RTB上配置标准ACL,允许销售部的主机PC1访问路由器RTB,但拒绝销售部的其他主机访问RTB,允许销售部、市场部网络上所有其他流量访问RTB。 图9-4 标准ACL配置
配置步骤如下: (1) 配置标准ACL 在路由器上RTB上配置如下: RTB(config)#access-list 1 permit host 172.16.10.10 RTB(config)#access-list 1 deny 172.16.10.0 0.0.0.255 RTB(config)#access-list 1 permit any RTB(config)#interface s0/0/0 RTB(config-if)#ip access-group 1 in (2) 验证标准ACL ① show access-lists命令 RTB# show access-lists ② show ip interface命令 RTB# show ip interface
标准ACL配置示例二 利用标准ACL限制虚拟终端访问的问题。配置一个VTY访问控制列表,只允许网络192.168.1.0/24中的主机192.168.1.100 telnet路由器RTA。 图9-5 用标准ACL限制Telnet访问
配置方法如下: RTA(config)# access-list 10 permit host 192.168.1.100 RTA(config)# line vty 0 4 RTA(config-line)# password cisco RTA(config-line)# login RTA(config-line)# access-class 10 in • 注意: • 在配置接口的访问时可以使用数字表号的或者命名的ACL • 只有数字的访问列表才可以应用到虚拟连接中 • 用户可以连接所有的VTY,因此所有的VTY连接都应用相同的ACL
配置扩展ACL • 扩展ACL比标准ACL功能更强大,使用得更广泛,因为它可以基于分组的源地址、目的地址、协议类型和应用来决定访问是被允许或者拒绝,因而扩展ACL比标准ACL提供了更广阔的控制范围和更多的处理方法。 • 扩展ACL编号:100-199 或 2000-2699 • 扩展ACL放置在靠近源端近的路由器接口中是最佳的。
扩展ACL的工作过程 扩展ACL的工作过程
ACL配置实例 某公司网络如图所示,S0服务器中开放了文件传输和网页浏览服务,请根据以下要求完成配置: 1、PC0所在网络,除PC0以外,都不可以访问S0中的文件传输服务,其他应用不受影响。 2、PC1所在网络,只有PC1可以使用S0中的文件传输和网页浏览服务,其他机器只能使用S0中 的网页浏览服务,其他通讯均不可以访问。
配置扩展ACL 1.定义扩展ACL Router(config)# access-list access-list-number {deny | permit} protocol source [source-wildcard destination destination-wildcard] [operator operand] [established]
端 口 号 关 键 字 描 述 110 POP3 邮件接收协议 20 FTP-DATA 文件传输协议(数据) 21 FTP 文件传输协议(控制) 23 TELNET 远程登录 25 SMTP 简单邮件传输协议(邮件发送) 53 DOMAIN 域名服务器(DNS) 69 TFTP 简单文件传输协议 80 HTTP 超文本传输协议(WWW) 一些保留的TCP端口号
配置扩展ACL 2. 将扩展ACL应用到某一接口上 Router(config-if)# ip access-group access-list-number { in | out } 3. 删除扩展ACL Router(config)# no access-list access-list-number 4.查看访问控制列表条目 Router# show access-list access-list-number 5.查看访问控制列表放置端口情况 Router# show interface interface-name
扩展ACL配置示例 某企业销售部的网络和财务部的网络通过路由器RTA和RTB相连,整个网络配置RIPv2路由协议,保证网络正常通信。要求在RTA上配置扩展ACL,实现以下4个功能: (1)允许销售部网络172.16.10.0的主机访问WWW Server 192.168.1.10; (2)拒绝销售部网络172.16.10.0的主机访问FTP Server 192.168.1.10; (3)拒绝销售部网络172.16.10.0的主机Telnet路由器RTB; (4)拒绝销售部主机172.16.10.10Ping路由器RTB。 图9-7 扩展ACL的配置
配置方法如下: RTA(config)# access-list 100 permit tcp 172.16.10.0 0.0.0.255 host 192.168.1.10 eq 80 RTA(config)# access-list 100 deny tcp 172.16.10.0 0.0.0.255 host 192.168.1.10 eq 20 RTA(config)# access-list 100 deny tcp 172.16.10.0 0.0.0.255 host 192.168.1.10 eq 21 RTA(config)# access-list 100 deny tcp 172.16.10.0 0.0.0.255 host 12.12.12.2 eq 23 RTA(config)# access-list 100 deny tcp 172.16.10.0 0.0.0.255 host 192.168.1.2 eq 23 RTA(config)# access-list 100 deny icmp host 172.16.10.10 host 12.12.12.2 RTA(config)# access-list 100 deny icmp host 172.16.10.10 host 192.168.1.2 RTA(config)# access-list 100 permit ip any any RTA(config)# interface f0/0 RTA(config-if)# ip access-group 100 in
本章小结 • 访问控制列表使用包过滤技术,在路由器上读取第3层或第4层包头中的信息,如源地址、目的地址、源端口、目的端口以及上层协议等,根据预先定义的规则决定哪些数据包可以接收、哪些数据包需要拒绝,从而达到访问控制的目的。 • 在路由器上实现的访问控制列表是一个连续的条件判断语句的集合,这些语句对数据包的地址或上层协议进行网络通信流量的控制,从而提供基本的网络通信流量过滤的能力,对网络安全起到很好的保护作用。 • 标准ACL只检查可以被路由的数据包的源地址,从而允许或拒绝基于网络、子网或主机IP地址的某一协议通过路由器出口。 • 扩展ACL可以基于分组的源地址、目的地址、协议类型、端口号和应用来决定访问是被允许或者拒绝。它比标准ACL功能更强大,使用得更广泛。
本章习题 一、填空题 1.ACL分为和两种类型。 2.当应用ACL时,以为参照物区分in 和out的方向。 3.ACL最后一条隐含。 4.标准ACL的编号范围是,扩展ACL的编号范围是。 5.any的含义是,它与语句等同。 6.host的含义是,它与语句等同。 7.如果用户想指定IP地址为从192.168.10.0到192.168.35.0之间的所有子网,则通配符掩码为。 8.利用标准ACL可以控制Telnet会话,把ACL应用到虚拟端口上使用的命令是。
本章习题 二、简答题 1.如何理解ACL的工作过程? 2.标准ACL和扩展ACL的有何区别和联系? 3.配置标准ACL和扩展ACL的一般过程是什么? 4.如何配置标准ACL以控制Telnet会话?
