第4讲ACL详解

Router(config)# no access-list access_list_number
二、ALC的配置

标准访问列表 扩展ACL控制 基于端口和VLAN的ACL访问控制
2.1、标准访问列表
在某一接口上启用访问列表 指明访问列表是用于出站还是进站业务量 缺省是用于出站业务量
二、ALC的配置

创建一个ACL访问控制
Router(config)# access-list access_list_number

将访问控制绑定到接口上
关闭访问控制列表
access_list_number {in|out}
{permit|deny} {test_conditions}
Router(config-if)# {protocol} access-group
2.1、标准访问列表

例3：允许所有IP的访问：
Switch#access-list 1 permit 0.0.0.0 255.255.255.255
2.1、标准访问列表

例4：禁止192.168.1.33主机的通信：
Switch#access-list 3 deny 192.168.1.33 0.0.0.0
40
实例2：禁止来自特定地址的数据


Packet filter Ip access-list standard 2 deny 172.16.4.13 0.0.0.0 Ip access-list standard 2 permit 0.0.0.0 255.255.255.255 ! interface ethernet 0 ip access-group 2 out
1.5.3、通配符掩码

匹配任何一个IP地址
检测条件: 匹配所有的地址位
0.0.0.0 255.255.255.255表示忽略所有位，
即匹配任何IP地址 缩写为any

1.5.3、通配符掩码

匹配一个子网
匹配 172.30.16.0/24 到 172.30.31.0/24 地址和通配符：172.30.16.0 0.0.15.255

access-list 1 deny 172.16.4.13 0.0.0.0 access-list 1 permit 0.0.0.0 255.255.255.255 (implicit deny all) (access-list 1 deny 0.0.0.0 255.255.255.255) interface ethernet 0 ip access-group 1 out
1.2、功能

决定那种类型的通信流量被转发，那种通信类型 的流量被阻塞。
1.2、功能

限制网络流量、提高 网络性能。

提供网络访问的基本 安全手段
1.2、功能


局限性： 由于ACL过滤的依据又仅仅只是第三层和第 四ห้องสมุดไป่ตู้包头中的部分信息，这种技术具有一些 固有的局限性，如无法识别到具体的人，无 法识别到应用内部的权限级别等。因此，要 达到end to end的权限控制目的，需要和系 统级及应用级的访问权限控制结合使用。
Non172.16.0.0
172.16.4.0
172.16.4.13
S0 E0 E1
38
实例1的禁止一个协议簇


Packet filter Ip access-list standard 1 permit 172.16.0.0 0.0.255.255 (隐含拒绝所有其它数 据包) ! interface ethernet 0 ip access-group 1 out interface ethernet 1 ip access-group 1 out
1.4.1、标准访问控制列表
– 检查源地址
– 允许或拒绝整个协议族
标准ACL（数字1到99），可以提供数据流过滤控制。
它是基于源地址和通配掩码。标准ACL可以允许或禁 止整套IP协议。
fa0/0
Incoming Packet
Access List Processes
Source Permit?
1.4.5、扩展IPX访问控制列表

扩展IPX访问控制列表在标准IPX访问控制列 表的基础上，增加了对IPX报头中以下几个 宇段的检查，它们是协议类型、源Socket、 目标Socket。扩展IPX访问控制列表的编号 范围是900-999。
1.4.6、命名的IPX访问控制列表

与命名的IP访问控制列表一样，命名的IPX 访问控制列表是使用列表名取代列表编号。 从而方便定义和引用列表，同样有标准和扩 展之分。

acl是cisco IOS所提供的一种访问控制技术， 初期仅在路由器上支持，近些年来已经扩展 到三层交换机，部分最新的二层交换机如 2950之类也开始提供ACL的支持。
1.1、概述


ACL：Access control list，即为“访问控制 列表”，它是一个永久性的列表，列示出了 各个主体（如用户和用户组）访问资源的权 限，通常用在文件系统的描述中，由文件系 统维护这样的一个永久性的列表，以定义用 户和组对文件和目录访问的许可权限. 是一系列运用网络地址或者上层协议上的允 许或拒绝指令的集合

只允许172.16.0.0的网 络互相访问
39
实例1的禁止一个协议簇


第一个ACL命令用“permit”允许来自于此指 定网络的数据流，通配掩码0.0.255.255表明 要检查匹配IP地址中的网络位（前16位）。 最后将ACL关联到端口E0和E1。
access-list 1 permit 172.16.0.0 0.0.255.255 (implicit deny all - not visible in the list) (access-list 1 deny 0.0.0.0 255.255.255.255) interface ethernet 0 ip access-group 1 out interface ethernet 1 ip access-group 1 out
实例分析

实例1：E0和E1端口只允许来自于网络172.16.0.0的数据报 被转发，其余的将被阻止。 实例2：E0端口不允许来自于特定地址172.16.4.13的数据流， 其它的数据流将被转发。 实例3：E0端口不允许来自于特定子网172.16.4.0的数据， 而转发其它的数据。
172.16.3.0
1.1、概述

基本原理：
使用包过滤技术，在路由器上读取第三层及第
四层包头中的信息如源地址、目的地址、源端 口、目的端口等，根据预先定义好的规则对包 进行过滤，从而达到访问控制的目的。
1.1、概述

局限性：
使用包过滤技术，在路由器上读取第三层及第
四层包头中的信息如源地址、目的地址、源端 口、目的端口等，根据预先定义好的规则对包 进行过滤，从而达到访问控制的目的。
第4讲 ACL
傅老师
本课内容


什么是ALC ALC的配置 ALC的布署
一、什么是ALC




1、概述 2、功能 3、工作流程 4、分类 5、参数知识
1.1、概述
为什么产生?
随着网络增大，需要对
网络流量作控制 由于某种原因，需要过 滤通过路由器的某些数 据包
1.1、概述
900-999
1000-1099
1.5.3、通配符掩码

是一个32比特位的数字字符串 0表示“检查相应的位”,1表示“不检查 （忽略）相应的位”
1.5.3、通配符掩码

匹配一个具体主机
检测条件: 匹配所有的地址位
172.30.16.29 0.0.0.0 表示检测所有位， 即匹配整个IP地址 缩写为 host 172.30.16.29

所谓命名的IP访问控制列表是以列表名代替 列表编号来定义IP访问控制列表，同样包括 标准和扩展两种列表，定义过滤的语句与编 号方式中相似。
1.4.4、标准IPX访问控制列表

标准IPX访问控制列表的编号范围是800-899， 它检查IPX源网络号和目的网络号，同样可 以检查源地址和目的地址的节点号部分。
Outgoing Packet
S0/0
1.4.1、标准访问控制列表

一个标准IP访问控制列表匹配IP包中的源地址或源地址中 的一部分，可对匹配的包采取拒绝或允许两个操作。编号 范围是从1到99的访问控制列表是标准IP访问控制列表。
1.4.2、扩展访问控制列表
– 检查源和目的地址
– 通常允许或拒绝特定的协议 为了更加精确的数据流过滤，需要扩展ACL。扩展ACL检
查源地址和目标地址，以及TCP或UDP端口号。还可以指 定扩展ACL针对特定的协议的进行操作。 扩展ACL使用的数字范围是：100-199。
Fa0/0
Incoming Packet
Access List Processes
Source and Destination Protocol Permit?
Outgoing Packet
s0/0
1.4.2、扩展访问控制列表

扩展IP访问控制列表比标准IP访问控制列表具有更多的匹配项，包括 协议类型、源地址、目的地址、源端口、目的端口、建立连接的和IP 优先级等。编号范围是从100到199的访问控制列表是扩展IP访问控制 列表。
1.4.3、命名的IP访问控制列表

例1：允许192.168.3.0网络上的主机进行访 问： Switch#access-list 1 permit 192.168.3.0 0.0.0.255
2.1、标准访问列表

例2：禁止172.10.0.0网络上的主机访问：
Switch#access-list 2 deny 172.10.0.0 0.0.255.255

2.1、标准访问列表

Switch#access-list access-list-number（1~99) {permit|deny}{anyA|source[source-wildcardmask]}{any|destination[destination-mask]}
2.1、标准访问列表
1.5、参数知识


常见端口号 ACL表号 通配符掩码
1.5.1、常见端口号
端口号(Port Number) 20 21 文件传输协议（FTP）数据 文件传输协议（FTP）程序
23
25 69
远程登录（Telnet）
简单邮件传输协议（SMTP） 普通文件传送协议（TFTP）
80
53
超文本传输协议(HTTP)
1.3、工作流程

无论是否使用ACL，开始的通信过程是相同的。 当一个数据报进入一个端口，路由器检查这个数据报 是否可路由。
如果是可以路由的，路由器检查这个端口是否有ACL控制进

路由器检查目标端口是否存在ACL控制流出的数据报
不存在，这个数据报就直接发送到目标端口。 如果存在，就再根据ACL进行取舍。
入数据报。 如果有，根据ACL中的条件指令，检查这个数据报。 如果数据报是被允许的，就查询路由表，决定数据报的目标 端口。
1.3、工作流程
1.4、分类




标准IP访问控制列表 扩展IP访问控制列表 命名的IP访问控制列表 标准IPX访问控制列表 扩展IPX访问控制列表 命名的IPX访问控制列表

只拒绝具体的一个主 机172.16.4.13
41
实例2：禁止来自特定地址的数据
第一个ACL命令用“deny”禁止来自于此指定主机的数据流， 通配掩码0.0.0.0表明要检查匹配地址中的所有的位。 第二个ACL命令中，“0.0.0.0 255.255.255.255”IP地址和通 配掩码组合，表示允许来自于任何源的数据流。这个组合， 也可以用关键字“any”替代。 最后将ACL关联到端口E0。
域名服务系统（DNS）
1.5.2、ACL表号
协议（Protocol） ACL表号的取值范 围（ACL Range） 1-99 600-699 800-899
IP（Internet协议）
AppleTalk IPX（互联网数据包交换）
Extended IP(扩展Internet协议) 100-199
Extended IPX(扩展互联网数据 包交换) IPX service Advertising Protocol(IPX服务通告协议)