20_ACL流量控制

©2009,蓝狐网络版权所有，未经授权不得使用与传播. 7
包过滤工作原理分析
入方向过滤规则案例： 1.不允许源IP为10.1.1.0/24网段的报文通过 2.不允许源IP为10.2.2.0/24网段，目标IP为10.3.3.0/24网段 的telnet报文通过 3.其他的均允许。
IP报头
TCP/UDP报头
▪ 在出口路由器上用访问控制列表来允许办公的业 务流量访问Internet，拒绝其它业务访问Internet, 配置如下： 创建access-list 1，允
许Vlan21的流量 Router(config)#access-list 1 permit 192.168.21.0 0.0.0.255 Router(config)#interface fastEthernet 2/0 Router(config-if)#ip access-group 1 in 将access-list 1应用在 路由器接口的in方向
©2009,蓝狐网络版权所有，未经授权不得使用与传播.
28
命名的访问控制列表
命名ACL中可以使用一个字母或字母数字组合的字符串
ACL的应用 – 包过滤防火墙功能 – NAT（Network Address Translation，网络地址转换） – QoS（Quality of Service，服务质量）的数据分类 – 路由策略和过滤 – 按需拨号
©2009,蓝狐网络版权所有，未经授权不得使用与传播.
4
ACL的作用
ACL的主要作用 – 进行数据包过滤，增加网络的安全性 – 区分数据流，为其它工具服务 基于特定数据流的特征来区分数据 – 源、目标IP地址 – 源、目标端口号 – 协议号或其他一些信息
到某接口的某方向上
允许或拒绝匹配的流量 源地址 通配符掩码
Router(config)#access-list 1 permit 172.16.0.0 0.0.255.255 Router(config)#interface fastEthernet 0/0 将访问控制列表应用 Router(config-if)#ip access-group 1 in 在接口的入方向上 Router#show access-lists 查看访问控制列表
©2009,蓝狐网络版权所有，未经授权不得使用与传播.
25
扩展访问列表案例分析
Area 0
生产：172.16.16.0/20 办公：172.17.16.0/20
为实现业务安全： 1.办公与生产业务不允许 相互访问 2.办公网段能访问internet
RT1
RT2
Area 1
生产：172.16.32.0/24 办公：172.17.32.0/24
©2009,蓝狐网络版权所有，未经授权不得使用与传播. 27
扩展ACL应用实例（2）配置
▪ 在三层交换机通过使用访问控制列表，拒绝办公 网内主机访问OA服务器的telnet流量，而允许其 它流量。配置如下：
创建ACL拒绝办公业务对OA的telnet流量 Switch(config)# access-list 101 deny tcp 192.168.21.0 0.0.0.255 192.168.1.1 0.0.0.0 eq 23 Switch(config)# access-list 101 permit ip 192.168.21.0 0.0.0.255 host 192.168.1.1 允许办公业务对OA的其他流量 Switch(config)# interface Vlan 10 将ACL应用在SVI Switch(config-if)#ip access-group 101 in 接口的in方向
控制层面
RIP进程 OSPF进程1 OSPF进程2 BGP进程
形成和维护 全局路由表
全局路由表
IP转发进程
使用全局路由表 进行数据包转发
转发层面
©2009,蓝狐网络版权所有，未经授权不得使用与传播. 3
访问控制列表概述
访问控制列表ACL – 访问控制列表（Access Control List，ACL） 是路由器和交换 机接口的指令列表，用来控制端口进出的数据包。
TELNET SMTP
NAMESERVER DOMAIN TFTP
终端连接 简单邮件传输协议
主机名字服务器 域名服务器（DNS) 普通文件传输协议（TFTP) 万维网
©2009,蓝狐网络版权所有，未经授权不得使用与传播.
TCP TCP
UDP TCP/UDP UDP TCP
24
WWW
扩展ACL的配置
第一步，使用access-list命令创建访问控制列表 第二步，使用ip access-group命令把访问控制列表应用
到某接口的某方向上
源地址及目标地址
协议
Router(config)#access-list 101 deny tcp 172.16.4.0 0.0.0.255 协议对应的端口号 172.16.3.0 0.0.0.255 eq 21 Router(config)#interface fastEthernet 0/0 Router(config-if)#ip access-group 101 in 将访问控制列表 应用在接口下
–
– –
针对网络中更细化的地址或子网的列表语句要在更笼统的语句前面， 将经常用到的条件放在不常用的条件前面 后续增加的语句总是放在列表的最后面，但在隐含拒绝语句的前面 在使用序号访问列表时，不能选择性的增加或移除访问列表语句， 但使用命名访问列表时可以这样做
©2009,蓝狐网络版权所有，未经授权不得使用与传播.
0.255.255.255
只比较前22位
只比较前8位
©2009,蓝狐网络版权所有，未经授权不得使用与传播.
18
通配符掩码的应用示例
IP地址
192.168.0.1
192.168.0.1
通配符掩码
0.0.0.255
0.0.3.255
表示的地址范围
192.168.0.0/24
192.168.0.0/22
192.168.0.1
192.168.0.1 —— 192.168.0.1
0.255.255.255
0.0.0.0（host）
192.0.0.0/8
192.168.0.1 0.0.0.0/0 192.168.0.0/24和 192.168.2.0/24
255.255.255.255
(any) 0.0.2.255
©2009,蓝狐网络版权所有，未经授权不得使用与传播.
19
标准ACL应用实例
▪ 某公司按业务的不同划分了多个Vlan，现要求只 有办公业务网段的主机能访问Internet，其它业务 网段主机不能访问Internet，要如何实现？
©2009,蓝狐网络版权所有，未经授权不得使用与传播. 20
标准ACL应用实例配置
RT3
RT4
RT3(config)#access-list 101 permit IP 172.16.32.0 0.0.0.255 172.16.0.0 0.0.255.255 RT3(config)#access-list 102 deny IP 172.17.32.0 0.0.0.255 172.16.0.0 0.0.255.255
–
思考： – 主机10.1.2.5/24能否实现访问？ – 主机10.1.3.5/24能否实现访问？ – 主机10.2.1.5/24能否实现访问？
©2009,蓝狐网络版权所有，未经授权不得使用与传播.
16
标准ACL的配置
第一步，使用access-list命令创建访问控制列表
第二步，使用ip access-group命令把访问控制列表应用
©2009,蓝狐网络版权所有，未经授权不得使用与传播.
14
标准ACL工作流程
末尾隐含拒绝
©2009,蓝狐网络版权所有，未经授权不得使用与传播.
15
标准ACL工作流程
– – – –
拒绝源IP网段为10.1.1.0/24的数据包 拒绝源IP网段为10.1.2.0/24的数据包 允许源IP网段为10.1.0.0/16的数据包 拒绝源IP网段为其他网段的数据包（默认拒绝）
©2009,蓝狐网络版权所有，未经授权不得使用与传播.
6
数据包过滤工作原理
在路由器上使用访问控制列表（ACL）可以控制特定的数据流。 ACL应用于接口上，每个接口的出入双向分别应用对某方向上 进出的数据包逐个过滤，丢弃或允许通过 仅当数据包经过一个接口时，才能被此接口的此方向的ACL过 滤
–
其他种类的访问控制列表
• • • • • 基于MAC地址的访问控制列表 基于时间的访问控制列表 动态访问控制列表 基于协议的访问控制列表 基于子网的访问控制列表
©2009,蓝狐网络版权所有，未经授权不得使用与传播.
13
标准ACL
标准访问控制列表 – 根据数据包的源IP地址来允许或拒绝数据包通过 – 访问控制列表号从1到99，1300到1999
注：在access-list 1的最后隐蔽了deny any语句， 因此过滤了其它业务网段的流量。
©2009,蓝狐网络版权所有，未经授权不得使用与传播. 21
扩展ACL
扩展访问控制列表 – 基于源和目的地址、传输层协议和应用端口号进行过滤 – 每个条件都必须匹配，才会施加允许或拒绝条件 – 使用扩展ACL可以实现更加精确的流量控制 – 访问控制列表号从100到199，2000到2699
RT3(config)#access-list 102 permit IP any any
©2009,蓝狐网络版权所有，未经授权不得使用与传播.
26
扩展ACL应用实例（2）
▪ 某公司按业务的不同划分了多个Vlan， 为保证 OA服务器的安全，现要求拒绝办公网内所有主机 访问OA服务器的telnet流量，要如何实现？
19_ACL流量控制
©2009,蓝狐网络版权所有，未经授权不得使用与传播.
本节大纲
ACL概述 ACL包过滤工作原理 ACL分类及工程应用
ACL常见故障分析
©2009,蓝狐网络版权所有，未经授权不得使用与传播.
2
功能层面的控制
功能层面的控制 – 控制层面：针对于路由协议的控制（路由过滤、路由属性操作） – 数据平面：针对于数据报文的控制（数据包过滤，数据报文字段）
IP报头
TCP/UDP报头
数据
协议号 源IP地址 目的IP地址
源端口 目的端口
对于TCP/UDP来说，访问 控制列表就是利用这5个 元素定义的规则。
©2009,蓝狐网络版权所有，未经授权不得使用与传播.
5
本节大纲
ACL概述 ACL包过滤工作原理 ACL分类及工程应用
ACL常见故障分析
数据
©2009,蓝狐网络版权所有，未经授权不得使用与传播.
8
入站包过滤工作流程
©2009,蓝狐网络版权所有，未经授权不得使用与传播.
9
出站包过滤工作流程
©2009,蓝狐网络版权所有，未经授权不得使用与传播.
10
ACL包过滤的基本原则
一个访问列表可以应用于多个路由器接口，然而，在每个
接口下，每个方向只允许应用一个访问列表。 ACL由ACL号绑定多条语句组成 ； Cisco ACL语句最后隐含deny any 语句 ACL匹配顺序，遵循自上而下的处理原则：
11
本节大纲
ACL概述 ACL包过滤工作原理 ACL分类及工程应用
ACL常见故障分析
©2009,蓝狐网络版权所有，未经授权不得使用与传播.
12
ACL的分类
–
基本类型的访问控制列表
• 标准访问控制列表
– 只基于源IP地址特征进行匹配
• 扩展访问控制列表
– 可以基于源、目IP，源目端口，协议进行匹配
©2009,蓝狐网络版权所有，未经授权不得使用与传播.
22
扩展ACL的工作流程
©2009,蓝狐网络版权所有，未经授权不得使用与传播.
23
常见协议及端口号
端口号
20 21
关键字
FTP-DATA FTP
描述
（文件传输协议）FTP（数据） （文件传输协议）FTP
TCP/UDP
TCP TCP
23 25
42 53 69 80
©2009,蓝狐网络版权所有，未经授权不得使用与传播.
17
通配符掩码
通配符掩码和IP地址结合使用以描述一个地址范围 通配符掩码和子网掩码相似，但含义不同（子网掩码必须
ห้องสมุดไป่ตู้
连续，通配符可以不连续）
– –
0表示对应位须比较 1表示对应位不比较
通配符掩码
0.0.0.255
含义
只比较前24位
0.0.3.255