访问控制列表

允许
隐含拒绝
计算机网络实验
标准访问列表
eg.HDLC IP TCP/UDP 数据
源地址
1-99 号列表
根据数据包源IP地址进行规则定义 根据数据包源 地址进行规则定义
计算机网络实验
扩展访问列表
eg.HDLC IP TCP/UDP 端口号 协议 源地址 目的地址 数据
100-199 号列表
根据数据包中源IP、目的 、源端口、 根据数据包中源 、目的IP、源端口、目的 端口、 端口、协议进行规则定义
同一条(组 规则应用在不同的端口和方向 其作用完全不同。 规则应用在不同的端口和方向， 同一条 组)规则应用在不同的端口和方向，其作用完全不同。
计算机网络实验
IP扩展访问列表的配置 扩展访问列表的配置
1.定义扩展的 定义扩展的ACL 定义扩展的
编号的扩展ACL 编号的扩展 Router(config)#access-list <100-199> { permit /deny } 协议 源地址 反掩码 [源端口 目的地址 反掩码 [ 目的端口 ] 源端口] 源端口 命名的扩展ACL 命名的扩展 ip access-list extended {name} { permit /deny } 协议 反掩码[源端口 源端口] 源地址 反掩码 源端口 目的地址 反掩码 [ 目的端口 ]
实现功能
实现网段间相互访问的安全控制与规则设定。 实现网段间相互访问的安全控制与规则设定。
计算机网络实验
什么是访问列表
√
ISP
IP Access-list：IP访问列表或访问控制列表，简称 ACL 访问列表或访问控制列表， ： 访问列表或访问控制列表 简称IP ACL就是对经过网络设备的数据包根据一定的规则进行数 就是对经过网络设备的数据包根据一定的规则进行数 据包的过滤
计算机网络实验
实验思考
在本实验中， 能否相互PING通，在 在本实验中，PC1和PC2能否相互 和 能否相互 通 PC1主机 主机PING PC2和PC2主机 主机PING PC1时，提 主机 和 主机 时 示信息有何不同，为什么？ 示信息有何不同，为什么？ 的最后设定DENY规则有没有实际意义， 规则有没有实际意义， 在ACL的最后设定 的最后设定 规则有没有实际意义 为什么？ 为什么？
计算机网络实验
访问列表的验证
显示全部的访问列表 Router#show access-lists 显示指定的访问列表 Router#show access-lists <1-199> 显示接口的访问列表应用 Router#show ip interface 接口名称 接口编号
计算机网络实验
IP访问列表配置注意事项 访问列表配置注意事项
有一条ACE，用于允许指定网络 该ACL有一条 有一条 ，用于允许指定网络(192.168.x.x) 的所有主机以HTTP访问服务器 访问服务器172.168.12.3，但拒 的所有主机以 访问服务器 ， 绝其它所有主机使用网络
Router (config)# access-list 103 permit tcp 192.168.0.0 0.0.255.255 host 172.168.12.3 eq www Router # show access-lists 103
一个端口在一个方向上只能应用一组ACL 一个端口在一个方向上只能应用一组 锐捷全系列交换机可针对物理接口和SVI接口应 接口应 锐捷全系列交换机可针对物理接口和 用ACL
针对物理接口，只能配置入栈应用 针对物理接口，只能配置入栈应用(In) 针对SVI（虚拟 针对 （虚拟VLAN）接口，可以配置入栈（In） ）接口，可以配置入栈（ ） 和出栈（ 和出栈（Out）应用 ）
一个接口在一个方向只能应用一组访问控制列表
IN F1/0
OUT F1/1
计算机网络实验
访问列表的入栈应用
查找路由表 进行选路转发 是否应用 访问列表 ?
Y N
是否允许 Y ?
N
以ICMP信息通知源发送方 ICMP信息通知源发送方
计算机网络实验
访问列表的出栈应用
Y 路由表中是 否存在记录
选择出口 S0 查看访问列表 的规则
S0
S0 是否应用 N 访问列表 ?
Y
?
N
是否允许 ?
N
Y
以ICMP信息通知源发送方 ICMP信息通知源发送方
计算机网络实验
IP ACL的基本准则 的基本准则
一切未被允许的就是禁止的
定义访问控制列表规则时， 定义访问控制列表规则时，最终的缺省规则是拒绝所有数 据包通过
按规则链来进行匹配
使用源地址、目的地址、源端口、目的端口、协议、 使用源地址、目的地址、源端口、目的端口、协议、时间 段进行匹配(扩展访问列表 扩展访问列表) 段进行匹配 扩展访问列表
计算机网络实验
访问控制列表的作用
内网布署安全策略， 内网布署安全策略，保证内网安全权限的 资源访问 内网访问外网时， 内网访问外网时，进行安全的数据过滤 防止常见病毒、木马、攻击对用户的破坏 防止常见病毒、木马、
计算机网络实验
访问列表的形成
规则的定义
哪些数据允许通过， 哪些数据允许通过，哪些数据不允许通过
计算机网络实验
反掩码（通配符） 反掩码（通配符）
128 64 32 16 8 4 2 1
0 0 0 1 0 0 0 1 0 0 1 1 0 0 1 1 0 1 1 1 0 1 1 1 0 1 1 1 0 1 1 1
0:表示检查相应的地址比特 表示检查相应的地址比特 1:表示不检查相应的地址比特 表示不检查相应的地址比特
2.应用 应用ACL到接口 应用 到接口
Router(config-if)#ip access-group <1-99> { in | out } Router(config-if)#ip access-group < name > { in | out }
计算机网络实验
IP标准访问列表配置实例 标准访问列表配置实例
计算机网络实验
6 访问控制列表
实验目的
掌握标准访问控制列表的配置；了解扩展访问控制列表。 掌握标准访问控制列表的配置；了解扩展访问控制列表。
工程背景
某公司有经理部、销售部和财务部，部门之间通过路由器 某公司有经理部、销售部和财务部， 通信。现要求经理部能访问财务部， 通信。现要求经理部能访问财务部，而销售部不能访问财 务部，请你实现客户这个需求。 务部，请你实现客户这个需求。
计算机网络实验
实验步骤
按网络拓朴要求连接好设备； 按网络拓朴要求连接好设备； 配置各路由器端口IP地址、时钟频率并激活； 配置各路由器端口 地址、时钟频率并激活； 地址 配置静态路由或启用动态路由协议； 配置静态路由或启用动态路由协议； 测试1 (PC1、PC2和PC3能相互 能相互PING通 测试1 (PC1、PC2和PC3能相互PING通); 配置访问控制列表； 配置访问控制列表； access-list 1 deny 172.16.4.0 0.0.0.255 access-list 1 permit any interface F1/0 ip access-group 1 out 测试2 不能PING通PC1， PC3 和PC1能相互 能相互PING通) 测试 (PC2 不能 通 ， 能相互 通
2.应用 应用ACL到接口 应用 到接口
Router(config-if)#ip access-group <100-199> { in | out } Router(config-if)#ip access-group < name > { in | out }
计算机网络实验
IP扩展访问列表配置实例 扩展访问列表配置实例
规则匹配原则
从头到尾， 从头到尾，至顶向下的匹配方式 匹配成功马上停止 立刻使用该规则的“允许/拒绝 拒绝……” 立刻使用该规则的“允许 拒绝
计算机网络实验
一个访问列表多条过滤规则
是否匹配 规则条件1 规则条件 ? Y Y N
拒绝 拒绝
Y
是否匹配 Y 规则条件2 规则条件 ? N
允许 允许
wk.baidu.com
拒绝
Y 是否匹配 Y 最后一个 条件 N?
计算机网络实验
IP标准访问列表的配置 标准访问列表的配置
1.定义标准 定义标准ACL 定义标准
编号的标准访问列表 Router(config)#access-list <1-99> {permit|deny} 源地 反掩码] 址 [反掩码 反掩码 命名的标准访问列表 switch(config)# ip access-list standard < name > switch(config-std-nacl)#{permit|deny} 源地址 [反掩码 反掩码] 反掩码
计算机网络实验
参考配置
B 路由器的配置： 路由器的配置： B(config)#interface serial 1/0 B(config-if)#ip address 172.16.1.1 255.255.255.0 B(config-if)#no shutdown B(config-if)clock rate 64000 (DCE端) 端 B(config)#interface fastethernet 1/0 B(config-if)#ip address 172.16.2.1 255.255.255.0 B(config-if)#no shutdown B(config)#ip route 172.16.4.0 255.255.255.0 172.16.1.2 B(config)#ip route 172.16.3.0 255.255.255.0 172.16.1.2 B(config)#access-list 1 deny 172.16.4.0 0.0.0.255 B(config)#access-list 1 permit any B(config)#interface fastethernet 1/0 B(config-if)#ip access-group 1 out A路由器的配置： 路由器的配置： 路由器的配置 A(config)#interface serial 1/0 A(config-if)#ip address 172.16.1.2 255.255.255.0 A(config)#interface fastethernet 1/0 A(config-if)#ip address 172.16.4.1 255.255.255.0 A(config)#ip route 172.16.2.0 255.255.255.0 172.16.1.1 A(config)#interface fastethernet 1/1 A(config-if)#ip address 172.16.3.1 255.255.255.0
访问列表的缺省规则是：拒绝所有 访问列表的缺省规则是：
计算机网络实验
网络拓朴
172.16.3.0/24 经理部(PC3) 经理部
F1 F0
172.16.1.0/24
F0 A
S0 S0 B
F0
172.16.2.0/24
172.16.4.0/24
销售部(PC2) 销售部
财务部(PC1) 财务部
要求经理部能访问财务部， 要求经理部能访问财务部，而销售部不能访问财务部
172.16.2.0 172.17.3.0 172.18.4.0 S1/2 F1/0 F1/1
access-list 1 permit 172.16.2.0 0.0.0.255 (access-list 1 deny any) interface S1/2 (F1/1 ) (F1/0 ) ip access-group 1 out (out) (in)
规则的应用
将规则应用在路由器（或交换机） 将规则应用在路由器（或交换机）的接口上
访问控制列表规则的分类： 访问控制列表规则的分类：
标准访问控制列表 扩展访问控制列表
计算机网络实验
访问列表规则的应用
路由器应用访问列表对流经接口的数据包进行控制
入栈应用（ ） 入栈应用（in） 经某接口进入设备内部的数据包进行安全规则过滤 出栈应用（out） 出栈应用（ ） 设备从某接口向外发送数据时进行安全规则过滤