ACL与网络管理员.doc

ACL与网络管理员 前言 本文是关于ACL实际应用的一些介绍，简要介绍了ACL概要，基本配置，执行顺序，基于时间的ACL和单向访问控制等ACL相关的基础知识，可以作为初学者的入门读物。读者如果需要了解更多的相关知识，可参考相关文档。本文非原创，源于赛迪网上的一篇文档，整理去掉了部分和我司无关的内容，本文中可能存在不完全符合实际和标准的地方，如遇到此种情况，请遵循相关协议和实际标准。  目 录 Table of Contents 1 、ACL概要 5 1.1 基本原理 6 1.2 功能 6 1.3 配置ACL的基本原则 6 1.4 局限性 6 2 、ACL基本配置 6 2.1 ACL基础 6 2.2 扩展的IP ACL的配置 8 2.3 对网络设备自身的访问如何进行控制的技术 9 3 、ACL执行顺序 10 3.1 命名的IP ACL 10 3.2 进一步完善对服务器数据的保护――ACL执行顺序再探讨 11 4 、基于时间的ACL 13 5 、单向访问控制 15 ACL 与网络管理员 网络中常说的 ACL（Access Control List 访问控制表。用户和设备可以访问的那些现有服务和信息的列表。）是一种访问控制技术，初期仅在路由器上支持，近些年来已经扩展到三层交换机，部分最新的二层交换机也开始提供 ACL 的支持只不过支持的特性不是那么完善而已。本文所有的配置实例均基于 Cisco IOS 的 ACL 进行编写。 ACL 概要 技术从来都是一把双刃剑，网络应用与互联网的普及在大幅提高企业的生产经营效率的同时，也带来了诸如数据的安全性，员工利用互联网做与工作不相干事等负面影响。如何将一个网络有效的管理起来，尽可能的降低网络所带来的负面影响就成了摆在网络管理员面前的一个重要课题。A 公司的某位可怜的网管目前就面临了一堆这样的问题。A 公司建设了一个企业网，并通过一台路由器接入到互联网。在网络核心使用一台基于 IOS 的多层交换机，所有的二层交换机也为可管理的基于 IOS 的交换机，在公司内部使用了 VLAN 技术，按照功能的不同分为了 6 个 VLAN。分别是网络设备与网管(VLAN1，/24)、内部服务器(VLAN2)、Internet 连接(VLAN3)、财务部（VLAN4）、市场部(VLAN5)、研发部门（VLAN6），出口路由器上 Fa0/0 接公司内部网，通过 s0/0 连接到 Internet。每个网段的三层设备（也就是客户机上的缺省网关）地址都从高位向下分配，所有的其它节点地址均从低位向上分配。自从网络建成后麻烦就一直没断过，一会儿有人试图登录网络设备要捣乱；一会儿领导又在抱怨说互联网开通后，员工成天就知道泡网；一会儿财务的人又说研发部门的员工看了不该看的数据。这些抱怨都找这位可怜的网管，搞得他头都大了。那有什么办法能够解决这些问题呢？答案就是使用网络层的访问限制控制技术――访问控制列表（下文简称 ACL）。那么，什么是 ACL 呢？ACL 是种什么样的技术，它能做什么，又存在一些什么样的局限性呢？ACL 的基本原理、功能与局限性基本原理ACL 使用包过滤技术，在路由器上读取第三层及第四层包头中的信息如源地址、目的地址、源端口、目的端口等，根据预先定义好的规则对包进行过滤，从而达到访问控制的目的。功能网络中的节点资源节点和用户节点两大类，其中资源节点提供服务数据，用户节点访问资源节点所提供的服务与数据。ACL 的主要功能就是一方面保护资源节点，阻止非法用户对资源节点的访问，另一方面限制特定的用户节点所能具备的访问权限。配置 ACL 的基本原则在实施 ACL 的过程中，应当遵循如下两个基本原则：? 最小特权原则：只给受控对象完成任务所必须的最小的权限? 最靠近受控对象原则：所有的网络层访问权限控制局限性由于 ACL 是使用包过滤技术来实现的，过滤的依据又仅仅只是第三层和第四层包头中的部分信息，这种技术具有一些固有的局限性，如无法识别到具体的人，无法识别到应用内部的权限级别等。因此，要达到 end to end 的权限控制目的，需要和系统级及应用级的访问权限控制结合使用。ACL 的基本配置“说那么多废话做什么，赶快开始进行配置吧。”，A 公司的网管说。呵呵，并不是我想说那么多废话，因为理解这些基础的概念与简单的原理对后续的配置和排错都是相当有用的。说说看，你的第一个需求是什么。 ACL 基础 “补充一点，要求能够从我现在的机器(研发 VLAN 的6)上 telnet 到网络设备上去。”让我们分析一下，在 A 公司的网络中，除出口路由器外，其它所有的网络设备段的是放在 Vlan1 中，那我只需要在到 VLAN 1 的路由器接口上配置只允许源地址为 6 的包通过，其它的包通通过滤掉。这只源 IP 地址的