第9章访问控制列表.pptVIP

计算机网络工程 信电工程学院　鲍蓉 第9章　访问控制列表 9.1　访问控制列表（ACL）概述 9.2　定义访问控制列表 9.3　声明访问控制列表 9.4　基于时间的访问控制列表 9.5　实验项目分析 * * 什么是访问控制列表（IP ACL） 　　应用在路由器或三层交换机接口的指令列表，通过定义一些准则对通过网络设备的所有数据包进行过滤，禁止或允许数据通过。 ISP √ 9.1 访问控制列表（ACL）概述 为什么使用访问控制列表 可以是路由器或三层交换机或防火墙 网络安全性 财务部 VLAN10 接入层交换机 RG-S2126 核心交换机 RG-S3512G /RG-S4009 服务器群 路由器 RG-NBR1000 Internet 交换机堆叠 接入层交换机 RG-S2126 1 2 2 2 1 1 1 2 技术部 VLAN20 隔离病毒源 隔离外网病毒 WWW EMAIL FTP 定义访问列表的步骤 第一步，定义规则 　　　允许（permit）哪些数据通过; 　　　拒绝 （deny）哪些数据通过 第二步，将规则应用在路由器（或交换机）的接口上 访问列表的分类 1. 标准访问控制列表（standard IP ACL） 根据数据包源IP地址进行规则定义 2. 扩展访问控制列表（extended IP ACL） 　　根据数据包中源IP、目的IP、源端口、目的端口、协议进行规则定义 源IP、目的IP、源端口、目的端口、协议 访问控制列表规则元素 访问控制列表规则的应用 路由器应用访问列表对流经接口的数据包进行控制 入栈应用（in） 　　经某接口进入设备内部的数据包进行安全规则过滤 出栈应用（out） 　　从设备某接口向外发送数据时进行安全规则过滤 F1/0 F1/1 IN OUT 访问列表的入栈应用 N Y 是否允许? Y 是否应用访问列表? N 查找路由表 进行选路转发 以ICMP信息通知源发送方 以ICMP信息通知源发送方 N Y 选择出口S0 路由表中是 否存在记录? N Y 查看访问列表的陈述 是否允许? Y 是否应用访问列表? N S0 S0 访问列表的出栈应用 IP ACL的基本准则 一切未被允许的就是禁止的 定义访问控制列表规则时，最终的缺省规则是拒绝所有数据包通过 按规则链来进行匹配 使用源地址、目的地址、源端口、目的端口、协议、时间段进行匹配 规则匹配原则 从头到尾，至顶向下的匹配方式 匹配成功马上停止 立刻使用该规则的“允许/拒绝……” ACL执行过程 Y 拒绝 Y 是否匹配规则条件1 ? 允许 N 拒绝 允许 是否匹配规则条件2 ? 拒绝 是否匹配最后一个条件? Y Y N Y Y 允许 隐含拒绝 N 一个访问列表多条过滤规则 9.2 定义访问控制列表 一、IP标准访问列表 根据数据包源IP地址进行规则定义 TCP/UDP 数据 IP eg.HDLC 定义标准编号访问列表Router(config)# access-list 1-99 {permit|deny} 源地址 [反掩码] 反掩码（通配符掩码）：32位，二进制位0表示数据包中相应的地址位必须与访问列表规定的地址相匹配；二进制位1则表示无需匹配。 　通配符掩码为55时，表示不需要匹配地址，表示对任何IP地址都执行规则操作。 　[地址＋反掩码]可用关键字any替代。 　若通配符掩码为，表示IP地址的32位都要匹配，这样只表示一个IP地址，可以用host表示。 示例：配置一个标准访问列表，拒绝来自特定主机的数据包，允许其他所有的流量。 R1(config)#　access-list 1 deny R1(config)#　access-list 1 permit 55 或： R1(config)#　access-list 1 deny host R1(config)#　access-list 1 permit any 二、 IP扩展访问列表 根据数据包中源IP、目的IP、源端口、目的端口、协议进行规则定义 目的地址 源地址 协议 端口号 TCP/UDP 数据 IP eg.HDLC 定义扩展编号访问列表 Router(config)#　access-list 100-199 { permit /deny } 协议 源地址 反掩码 [源端口] 目的地址 反掩码 [ 目的端口 ] 比较以下两条语句有何不同： access-list 101 deny tcp host 00 eq 80 any access-list 101 deny tcp host 00 any eq 80 例1：配置一个扩展访问列表101，拒绝IP地址为的主机telnet到整个/24网络。 R1(config