ACL.docVIP

ACL 随着大规模开放式网络的开发，网络面临的威胁也就越来越多。网络安全问题成为网络管理员最为头疼的问题。一方面，为了业务的发展，必须允许对网络资源的开发访问，另一方面，又必须确保数据和资源的尽可能安全。网络安全采用的技术很多，而通过访问控制列表（ACL）可以对数据流进行过滤，是实现基本的网络安全手段之一。本章只研究基于IP的ACL。 ACL 概述 访问控制列表简称为ACL，它使用包过滤技术，在路由器上读取第三层及第四层包头中的信息如源地址、目的地址、源端口、目的端口等，根据预先定义好的规则对包进行过滤，从而达到访问控制的目的。ACL 分很多种，不同场合应用不同种类的ACL。 1. 标准ACL 标准ACL 最简单，是通过使用IP 包中的源IP 地址进行过滤，表号范围1-99 或 1300-1999； 2. 扩展ACL 扩展ACL 比标准ACL 具有更多的匹配项，功能更加强大和细化，可以针对包括协议类型、源地址、目的地址、源端口、目的端口、TCP 连接建立等进行过滤，表号范围100-199 或2000-2699； 3. 命名ACL 以列表名称代替列表编号来定义ACL，同样包括标准和扩展两种列表。在访问控制列表的学习中，要特别注意以下两个术语。 1. 通配符掩码：一个32 比特位的数字字符串,它规定了当一个IP 地址与其他的IP 地址进行比较时，该IP 地址中哪些位应该被忽略。通配符掩码中的“1”表示忽略IP 地址中对应的位，而“0”则表示该位必须匹配。两种特殊的通配符掩码是“55”和“”，前者等价于关键字“any”，而后者等价于关键字“host”； 2. Inbound 和outbound：当在接口上应用访问控制列表时，用户要指明访问控制列表是应用于流入数据还是流出数据。 总之，ACL 的应用非常广泛，它可以实现如下的功能： 1. 拒绝或允许流入（或流出）的数据流通过特定的接口； 2. 为DDR 应用定义感兴趣的数据流； 3. 过滤路由更新的内容； 4. 控制对虚拟终端的访问； 5. 提供流量控制。 实验1：标准ACL 1.实验目的 通过本实验可以掌握： （1）ACL 设计原则和工作过程 （2）定义标准ACL （3）应用ACL （4）标准ACL 调试 2.拓扑结构 实验拓扑如图所示。 本实验拒绝PC2 所在网段访问路由器R2,同时只允许主机PC3 访问路由器R2 的TELNET服务。整个网络配置EIGRP 保证IP 的连通性。 3.实验步骤 （1）步骤1：配置路由器R1 R1(config)#router eigrp 1 R1(config-router)#network 55 R1(config-router)#network 55 R1(config-router)#network R1(config-router)#no auto-summary （2）步骤2：配置路由器R2 R2(config)#router eigrp 1 R2(config-router)#network 55 R2(config-router)#network R2(config-router)#network R2(config-router)#no auto-summary R2(config)#access-list 1 deny 55 //定义ACL R2(config)#access-list 1 permit any R2(config)#interface Serial0/0 R2(config-if)#ip access-group 1 in //在接口下应用ACL R2(config)#access-list 2 permit R2(config)#line vty 0 4 R2(config-line)#access-class 2 in //在vty 下应用ACL R2(config-line)#password cisco R2(config-line)#login （3）步骤3：配置路由器R3 R3(config)#router eigrp 1 R3(config-router)#network 55 R3(config-router)#network R3(config-router)#no auto-summary 【技术要点】 （1）ACL 定义好，可以在很多地方应用，接口上应用只是其中之一，其它的常用应用包括在route map 中的match 应用和在vty 下用“access-class”命令调用，来控制telnet 的访问； （2）访问控制列表表项的检查按自上而下的顺序进行，并且从第一个表项开始，所以必须考虑在访问控制列表中定义语句的次序； （3）路由器不对自身产生的IP 数据包进