第9章访问控制列表.ppt

1、单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,计算机网络工程,信电工程学院鲍蓉,第,9,章访问控制列表,9.1,访问控制列表（,ACL,）概述,9.2,定义访问控制列表,9.3,声明访问控制列表,9.4,基于时间的访问控制列表,9.5,实验项目分析,什么是访问控制列表（,IP ACL,）,应用在路由器或三层交换机接口的,指令列表,，通过定义一些准则对通过网络设备的所有,数据包,进行,过滤,，禁止或允许数据通过。,ISP,9.1,访问控制列表（,ACL,）概述,为什么使用访问控制列表,可以是路由器或三层交换机或防火墙,网络安全性,财务部,VLAN10,接

2、入层交换机,RG-S2126,核心交换机,RG-S3512G/RG-S4009,服务器群,路由器,RG-NBR1000,Internet,交换机堆叠,接入层交换机,RG-S2126,1,2,2,2,1,1,1,2,技术部,VLAN20,隔离病毒源,隔离外网病毒,WWW,EMAIL,FTP,定义访问列表的步骤,第一步，定义规则,允许（,permit,）哪些数据通过,;,拒绝（,deny,）哪些数据通过,第二步，将规则应用在路由器（或交换机）的接口上,访问列表的分类,1.,标准访问控制列表,（,standard IP ACL,）,根据数据包源,IP,地址进行规则定义,2.,扩展访问控制列表（,ex

3、tended IP ACL,）,根据数据包中源,IP,、目的,IP,、源端口、目的端口、协议进行规则定义,源,IP,、目的,IP,、源端口、目的端口、协议,访问控制列表规则元素,访问控制列表规则的应用,路由器应用访问列表对流经接口的数据包进行控制,入栈应用（,in,）,经某接口进入设备内部的数据包进行安全规则过滤,出栈应用（,out,）,从设备某接口向外发送数据时进行安全规则过滤,F1/0,F1/1,IN,OUT,访问列表的入栈应用,N,Y,是否允许,?,Y,是否应用访问列表,?,N,查找路由表,进行选路转发,以,ICMP,信息通知源发送方,以,ICMP,信息通知源发送方,N,Y,选择出口,S

4、0,路由表中是,否存在记录,?,N,Y,查看访问列表的陈述,是否允许,?,Y,是否应用访问列表,?,N,S0,S0,访问列表的出栈应用,IP ACL,的基本准则,一切未被允许的就是禁止的,定义访问控制列表规则时，最终的缺省规则是拒绝所有数据包通过,按规则链来进行匹配,使用源地址、目的地址、源端口、目的端口、协议、时间段进行匹配,规则匹配原则,从头到尾，至顶向下的匹配方式,匹配成功马上停止,立刻使用该规则的“允许,/,拒绝,”,ACL,执行过程,Y,拒绝,Y,是否匹配规则条件,1,?,允许,N,拒绝,允许,是否匹配规则条件,2,?,拒绝,是否匹配最后一个条件,?,Y,Y,N,Y,Y,允许,隐含拒

5、绝,N,一个访问列表多条过滤规则,9.2,定义访问控制列表,一、,IP,标准访问列表,根据数据包,源,IP,地址,进行规则定义,TCP/UDP,数据,IP,eg.HDLC,定义,标准编号,访问列表,Router(config,)#,access-list ,permit|deny,源地址,反掩码,反掩码（通配符掩码）,：,32,位，二进制位,0,表示数据包中相应的地址位必须与访问列表规定的地址相匹配；二进制位,1,则表示无需匹配。,通配符掩码为,255.255.255.255,时，表示不需要匹配地址，表示对任何,IP,地址都执行规则操作。,地址反掩码,可用关键字,any,替代。,若通配符掩码为

6、0.0.0.0,，表示,IP,地址的,32,位都要匹配，这样只表示一个,IP,地址，可以用,host,表示。,示例：,配置一个标准访问列表，拒绝来自特定主机,192.168.1.2,的数据包，允许其他所有的流量。,R1(config)#,access-list 1 deny 1,92.168.1.2,0.0.0.0,R1(config)#,access-list 1 permit 0.0.0.0 255.255.255.255,或：,R1(config)#,access-list 1 deny,host,192.168.1.2,R1(config)#,access-list 1 permit

7、any,二、,IP,扩展访问列表,根据数据包中源,IP,、目的,IP,、源端口、目的端口、协议进行规则定义,目的地址,源地址,协议,端口号,TCP/UDP,数据,IP,eg.HDLC,定义扩展编号访问列表,Router(config,)#,access-list permit/deny,协议 源地址 反掩码,源端口,目的地址 反掩码,目的端口,比较以下两条语句有何不同：,access-list 101 deny,tcp,host 192.168.3.100,eq,80 any,access-list 101 deny,tcp,host 192.168.3.100 any,eq,80,例,1,

8、配置一个扩展访问列表,101,，拒绝,IP,地址为,192.168.1.2,的主机,telnet,到整个,192.168.2.0/24,网络。,R1(config)#,access-list 101,deny,tcp,host 192.168.1.2,192.168.2.0 0.0.0.255,eq,23,R1(config)#,access-list 101 permit,ip,any,any,例,2,：,配置一个扩展访问列表,103,，允许指定网络,192.168.0.0,的所有主机以,HTTP,访问服务器,172.168.12.3,，但拒绝其它所有主机的访问。,Router(,con

9、fig,)#,access-list 103 permit,tcp,192.168.0.0 0.0.255.255 host 172.168.12.3,eq,www,三、定义命名的访问列表,命名访问列表,：,用字母、数字、下划线等符号组成的字符串来标识访问列表。,特点：,不受数目的限制，能够定义更多的访问列表。,解决编号访问列表号码不足的问题。,允许删除个别访问控制项。,1.,定义标准命名访问列表,switch(config,)#,ip,access-list,standard,switch(config-std-nacl,)#,permit|deny,源地址,反掩码,2.,定义扩展命名访问列

10、表,switch(config,)#,ip,access-list,extended,switch(config-ext-nacl,)#,permit/deny,协议 源地址 反掩码,源端口,目的地址 反掩码,目的端口,四、查看访问控制列表,显示全部的访问列表,Router#,show access-lists,显示指定的访问列表,Router#,show access-lists/,显示接口的访问列表应用,Router#,show ip interface,接口名称 接口编号,9.3,声明访问控制列表,Router(config,-if)#,ip,access-group/in|out,17

11、2.16.3.0,172.16.4.0,F1/0,S1/2,F1/1,172.17.0.0,access-list 1 permit 172.16.3.0 0.0.0.255,(access-list 1 deny any),interface serial 1/2,ip,access-group 1 out,示例：,配置：,（,1,）定义访问控制列表,ip,access-list standard,abc,permit host 192.168.2.8,deny 192.168.2.0 0.0.0.255,案例,1,：,财务,192.168.1.0,教师,192.168.2.0,192.16

12、8.2.8,F0/1,F0/2,F0/5,F0/6,F0/8,F0/9,F0/10,校长,需求：,配置访问控制列表,允许校长可以访问财务的主机，但教师机不可以访问。,（,2,）在接口声明控制列表,interface,fa,0/2,ip,access-group,abc,in,案例,2,：,门诊部,192.168.1.0,财务办公室,192.168.2.0,192.168.2.8,F0/1,F0/2,F0/5,F0/6,F0/8,F0/9,F0/10,收银服务器,门诊部的主机需要正常划价收费，可以访问收银服务器,192.168.2.8,但不能访问财务部的其他主机。,应用实例：,利用,ACL,隔离

13、冲击波病毒,access-list 115 deny,udp,any any,eq,69,access-list 115 deny,tcp,any any,eq,135,access-list 115 deny,udp,any any,eq,135,access-list 115 deny,udp,any any,eq,137,access-list 115 deny,udp,any any,eq,138,access-list 115 deny,tcp,any any,eq,139,access-list 115 deny,udp,any any,eq,139,access-list 115

14、 deny,tcp,any any,eq,445,access-list 115 deny,tcp,any any,eq,593,access-list 115 deny,tcp,any,any,eq,4444,access-list 115 permit ip any any,interface ,ip access-group 115 in,ip access-group 115 out,9.4,基于时间的访问控制列表,步骤,1,确认路由器提供可靠的实时时钟,（,1,）全局配置模式下用,show clock,命令查看路由器中现有默认时间是否正确。,（,2,）如果不对，校正路由器系统时钟,R

15、ed-Giant#,clock set,hh:mm:ss,date month year,！设置路由器本地时间,Red-Giant#,clock update-calendar,！保存时间设置,步骤,2,创建并定义时间范围接口,time-range,（,1,）,Red-Giant(,config,)#,time-range,time-range-name,！定义时间范围接口,（,2,）,Red-Giant(,config,-time-range)#,absolute,start time date end time date,！指定绝对时间范围，,time,要以,24,小时制,hh:mm,（小

16、时：分钟）表示，,date,要按照日,/,月,/,年来表示。,例如：,每天的早,8,点到晚,8,点：,absolute start 8:00 end 20:00,2007,年,12,月,1,日早,5,点到,2007,年,12,月,31,日晚,24,点：,absolute start 5:00 1 December 2007 end 23:59 31 December 2007,（,3,）,Red-Giant(,config,-time-range)#,periodic,days-of-the-week,hh:mm,to,days-of-the-week,hh:mm,！以星期为单位指定周期性时间

17、段。,主要参数,：,Monday,、,Tuesday,、,Wednesday,、,Thursday,、,Friday,、,Saturday,、,Sunday,；,daily,（每天）、,weekday,（周一到周五）或,weekend,（周末周六周日）。,例如：,表示每周一到周五的早,9,点到晚,10,点半：,periodic weekday 9:00 to 22:30,每周一早,7,点到周二的晚,8,点：,periodic Monday 7:00 to Tuesday 20:00,步骤,3,关联,ACL,与时间范围接口,time-range,Red-,Giant(config,)#,acce

18、ss-list access-list-number deny,permit protocol source,src,-wildcard destination,desti,-wildcard,time-range time-range-name,或者,Red-,Giant(config,)#,ip,access-list access-list-name deny,permit protocol source,src,-wildcard destination,desti,-wildcard,time-range time-range-name,步骤,4,在接口上声明基于时间的,ACL,9.

19、5,实验项目分析,R1,R2,fa1/1,fa1/1,1762,1762,fa1/0,fa1/0,PC1:172.16.1.1/24,PC2:172.16.3.1/24,行政办公网,学生网,172.16.1.2/24,172.16.3.2/24,172.16.2.1/24,172.16.2.2/24,项目,1,：隔离行政办公网和学生网，学生网不能访问行政办公网,（,1,）,R1,配置：,端口,IP,地址,interface,ip,address,no shutdown,启动,RIP,路由,router rip,network 172.16.1.0,network 172.16.2.0,（,2,

20、R2,配置：,（,3,）,PC1,、,PC2,配置：,IP,地址，网关,（,4,）测试,PC1,、,PC2,的连通性,（,5,）配置,ACL,限制一个网络的访问,标准,ACL,在离目标网络近的设备上配置,R1,R1,上定义标准,ACL,access-list 10 deny 172.16.3.0 0.0.0.255,access-list 10 permit any,在,R1,的,fa1/0,端口的输出方向应用,ACL 10,interface fa1/0,ip,access-group 10 out,（,6,）测试,PC1,和,PC2,的连通性,项目,2,：禁止学生网访问行政办公网的,F

21、TP,服务器,禁止访问目标网络的某种服务,扩展,ACL,在离源网络近的设备上配置，从而减少无效数据流占用网络带宽,R2,R2,上定义扩展,ACL,access-list 101 deny,tcp,172.16.3.0 0.0.0.255,172.16.1.0 0.0.0.255,eq,ftp,access-list 101 permit,ip,any,any,在,R2,的,fa1/0,端口的输入方向应用,ACL 101,interface fa1/0,ip,access-group 101 in,S3760,S2126,PC1:172.16.1.1/24,PC2:172.16.3.1/24,教

22、师机,学生机,Fa0/10,Fa0/20,172.16.1.2/24,172.16.3.2/24,项目,3,：禁止学生机访问教师机,（,1,）三层交换机配置：,interface,fa0/10,ip,address 172.16.1.2 255.255.255.0,no,switchport,！三层交换机默认端口为交换端口，此命令将端口转换为路由端口,no shutdown,interface,fa0/20,no,switchport,ip,address 172.16.3.2 255.255.255.0,no shutdown,在同一台三层交换机上，为不同的接口配置不同的地址，通过直连路由，网络中的设备是互相连通的。,（,2,）定义,ACL,规则,三层交换机不支持编号,ACL,，要定义命名的,ACL,ip,access-list extended,deny_student,deny,ip,host 172.16.3.1 host 172.16.1.1,Permit,ip,any,any,（,3,）在三层交换机端口应用规则,三层交换机物理端口只支持,in,方向的数据流控制，但,VLAN,虚接口可以支持两个方向上的数据流控制,interface,fa0/20,ip,access-group,deny_student,in,