访问控制列表

规则匹配原则
从头到尾， 从头到尾，至顶向下的匹配方式 匹配成功马上停止 立刻使用该规则的“允许/拒绝 拒绝……” 立刻使用该规则的“允许 拒绝
计算机网络实验
一个访问列表多条过滤规则
是否匹配 规则条件1 规则条件 ? Y Y N
拒绝 拒绝
Y
是否匹配 Y 规则条件2 规则条件 ? N
允许 允许
拒绝
Y 是否匹配 Y 最后一个 条件 N?
访问列表的缺省规则是：拒绝所有 访问列表的缺省规则是：
计算机网络实验
网络拓朴
172.16.3.0/24 经理部(PC3) 经理部
F1 F0
172.16.1.0/24
F0 A
S0 S0 B
F0
172.16.2.0/24
172.16.4.0/24
销售部(PC2) 销售部
财务部(PC1) 财务部
要求经理部能访问财务部， 要求经理部能访问财务部，而销售部不能访问财务部
计算机网络实验
6 访问控制列表
实验目的
掌握标准访问控制列表的配置；了解扩展访问控制列表。 掌握标准访问控制列表的配置；了解扩展访问控制列表。
工程背景
某公司有经理部、销售部和财务部，部门之间通过路由器 某公司有经理部、销售部和财务部， 通信。现要求经理部能访问财务部， 通信。现要求经理部能访问财务部，而销售部不能访问财 务部，请你实现客户这个需求。 务部，请你实现客户这个需求。
172.16.2.0 172.17.3.0 172.18.4.0 S1/2 F1/0 F1/1
access-list 1 permit 172.16.2.0 0.0.0.255 (access-list 1 deny any) interface S1/2 (F1/1 ) (F1/0 ) ip access-group 1 out (out) (in)
有一条ACE，用于允许指定网络 该ACL有一条 有一条 ，用于允许指定网络(192.168.x.x) 的所有主机以HTTP访问服务器 访问服务器172.168.12.3，但拒 的所有主机以 访问服务器 ， 绝其它所有主机使用网络
Router (config)# access-list 103 permit tcp 192.168.0.0 0.0.255.255 host 172.168.12.3 eq www Router # show access-lists 103
S0
S0 是否应用 N 访问列表 ?
Y
?
N
是否允许 ?
N
Y
以ICMP信息通知源发送方 ICMP信息通知源发送方
计算机网络实验
IP ACL的基本准则 的基本准则
一切未被允许的就是禁止的
定义访问控制列表规则时， 定义访问控制列表规则时，最终的缺省规则是拒绝所有数 据包通过
按规则链来进行匹配
使用源地址、目的地址、源端口、目的端口、协议、 使用源地址、目的地址、源端口、目的端口、协议、时间 段进行匹配(扩展访问列表 扩展访问列表) 段进行匹配 扩展访问列表
计算机网络实验
反掩码（通配符） 反掩码（通配符）
128 64 32 16 8 4 2 1
0 0 0 1 0 0 0 1 0 0 1 1 0 0 1 1 0 1 1 1 0 1 1 1 0 1 1 1 0 1 1 1
0:表示检查相应的地址比特 表示检查相应的地址比特 1:表示不检查相应的地址比特 表示不检查相应的地址比特
计算机网络实验
实验思考
在本实验中， 能否相互PING通，在 在本实验中，PC1和PC2能否相互 和 能否相互 通 PC1主机 主机PING PC2和PC2主机 主机PING PC1时，提 主机 和 主机 时 示信息有何不同，为什么？ 示信息有何不同，为什么？ 的最后设定DENY规则有没有实际意义， 规则有没有实际意义， 在ACL的最后设定 的最后设定 规则有没有实际意义 为什么？ 为什么？
2.应用 应用ACL到接口 应用 到接口
Router(config-if)#ip access-group <100-199> { in | out } Router(config-if)#ip access-group < name > { in | out }
计算机网络实验
IP扩展访问列表配置实例 扩展访问列表配置实例
计算机网络实验
参考配置
B 路由器的配置： 路由器的配置： B(config)#interface serial 1/0 B(config-if)#ip address 172.16.1.1 255.255.255.0 B(config-if)#no shutdown B(config-if)clock rate 64000 (DCE端) 端 B(config)#interface fastethernet 1/0 B(config-if)#ip address 172.16.2.1 255.255.255.0 B(config-if)#no shutdown B(config)#ip route 172.16.4.0 255.255.255.0 172.16.1.2 B(config)#ip route 172.16.3.0 255.255.255.0 172.16.1.2 B(config)#access-list 1 deny 172.16.4.0 0.0.0.255 B(config)#access-list 1 permit any B(config)#interface fastethernet 1/0 B(config-if)#ip access-group 1 out A路由器的配置： 路由器的配置： 路由器的配置 A(config)#interface serial 1/0 A(config-if)#ip address 172.16.1.2 255.255.255.0 A(config)#interface fastethernet 1/0 A(config-if)#ip address 172.16.4.1 255.255.255.0 A(config)#ip route 172.16.2.0 255.255.255.0 172.16.1.1 A(config)#interface fastethernet 1/1 A(config-if)#ip address 172.16.3.1 255.255.255.0
同一条(组 规则应用在不同的端口和方向 其作用完全不同。 规则应用在不同的端口和方向， 同一条 组)规则应用在不同的端口和方向，其作用完全不同。
计算机网络实验
IP扩展访问列表的配置 扩展访问列表的配置
1.定义扩展的 定义扩展的ACL 定义扩展的
编号的扩展ACL 编号的扩展 Router(config)#access-list <100-199> { permit /deny } 协议 源地址 反掩码 [源端口 目的地址 反掩码 [ 目的端口 ] 源端口] 源端口 命名的扩展ACL 命名的扩展 ip access-list extended {name} { permit /deny } 协议 反掩码[源端口 源端口] 源地址 反掩码 源端口 目的地址 反掩码 [ 目的端口 ]
计算机网络实验
访问控制列表的作用
内网布署安全策略， 内网布署安全策略，保证内网安全权限的 资源访问 内网访问外网时， 内网访问外网时，进行安全的数据过滤 防止常见病毒、木马、攻击对用户的破坏 防止常见病毒、木马、
计算机网络实验
访问列表的形成
规则的定义
哪些数据允许通过， 哪些数据允许通过，哪些数据不允许通过

规则的应用
将规则应用在路由器（或交换机） 将规则应用在路由器（或交换机）的接口上
访问控制列表规则的分类： 访问控制列表规则的分类：
标准访问控制列表 扩展访问控制列表
计算机网络实验
访问列表规则的应用
路由器应用访问列表对流经接口的数据包进行控制
入栈应用（ ） 入栈应用（in） 经某接口进入设备内部的数据包进行安全规则过滤 出栈应用（out） 出栈应用（ ） 设备从某接口向外发送数据时进行安全规则过滤
一个端口在一个方向上只能应用一组ACL 一个端口在一个方向上只能应用一组 锐捷全系列交换机可针对物理接口和SVI接口应 接口应 锐捷全系列交换机可针对物理接口和 用ACL
针对物理接口，只能配置入栈应用 针对物理接口，只能配置入栈应用(In) 针对SVI（虚拟 针对 （虚拟VLAN）接口，可以配置入栈（In） ）接口，可以配置入栈（ ） 和出栈（ 和出栈（Out）应用 ）
一个接口在一个方向只能应用一组访问控制列表
IN F1/0
OUT F1/1
计算机网络实验
访问列表的入栈应用
查找路由表 进行选路转发 是否应用 访问列表 ?
Y N
是否允许 Y ?
N
以ICMP信息通知源发送方 ICMP信息通知源发送方
计算机网络实验
访问列表的出栈应用
Y 路由表中是 否存在记录
选择出口 S0 查看访问列表 的规则
计算机网络实验
实验步骤
按网络拓朴要求连接好设备； 按网络拓朴要求连接好设备； 配置各路由器端口IP地址、时钟频率并激活； 配置各路由器端口 地址、时钟频率并激活； 地址 配置静态路由或启用动态路由协议； 配置静态路由或启用动态路由协议； 测试1 (PC1、PC2和PC3能相互 能相互PING通 测试1 (PC1、PC2和PC3能相互PING通); 配置访问控制列表； 配置访问控制列表； access-list 1 deny 172.16.4.0 0.0.0.255 access-list 1 permit any interface F1/0 ip access-group 1 out 测试2 不能PING通PC1， PC3 和PC1能相互 能相互PING通) 测试 (PC2 不能 通 ， 能相互 通
允许
隐含拒绝
计算机网络实验
标准访问列表
eg.HDLC IP TCP/UDP 数据
源地址
1-99 号列表
根据数据包源IP地址进行规则定义 根据数据包源 地址进行规则定义
计算机网络实验
扩展访问列表
eg.HDLC IP TCP/UDP 端口号 协议 源地址 目的地址 数据
100-199 号列表
根据数据包中源IP、目的 、源端口、 根据数据包中源 、目的IP、源端口、目的 端口、 端口、协议进行规则定义
实现功能
实现网段间相互访问的安全控制与规则设定。 实现网段间相互访问的安全控制与规则设定。
计算机网络实验
什么是访问列表
√
ISP
IP Access-list：IP访问列表或访问控制列表，简称 ACL 访问列表或访问控制列表， ： 访问列表或访问控制列表 简称IP ACL就是对经过网络设备的数据包根据一定的规则进行数 就是对经过网络设备的数据包根据一定的规则进行数 据包的过滤
计算机网络实验
访问列表的验证
显示全部的访问列表 Router#show access-lists 显示指定的访问列表 Router#show access-lists <1-199> 显示接口的访问列表应用 Router#show ip interface 接口名称 接口编号
计算机网络实验
IP访问列表配置注意事项 访问列表配置注意事项
计算机网络实验
IP标准访问列表的配置 标准访问列表的配置
1.定义标准 定义标准ACL 定义标准
编号的标准访问列表 Router(config)#access-list <1-99> {permit|deny} 源地 反掩码] 址 [反掩码 反掩码 命名的标准访问列表 switch(config)# ip access-list standard < name > switch(config-std-nacl)#{permit|deny} 源地址 [反掩码 反掩码] 反掩码
2.应用 应用ACL到接口 应用 到接口
Router(config-if)#ip access-group <1-99> { in | out } Router(config-if)#ip access-group < name > { in | out }
计算机网络实验
IP标准访问列表配置实例 标准访问列表配置实例