1、ACL網絡訪問控制網絡訪問控制項目六項目六教學目標教學目標知識內容與要求知識內容與要求了解訪問控制的基本原理；了解訪問控制的基本原理；掌握訪問控制列表的基本概念和作用掌握訪問控制列表的基本概念和作用; 掌握訪問控制列表的分類和工作原理；掌握訪問控制列表的分類和工作原理；掌握訪問控制列表使用的基本規則；掌握訪問控制列表使用的基本規則；掌握標準訪問控制列表與擴展訪問控制列表的配置。掌握標準訪問控制列表與擴展訪問控制列表的配置。技能目標與要求技能目標與要求能夠熟練進行能夠熟練進行ACL配置；配置；能夠運用能夠運用ACL解決實際問題；解決實際問題；能夠使用基于時間段的訪問控制列表進行訪問控制。能夠使用

2、基于時間段的訪問控制列表進行訪問控制。項目描述與分析項目描述與分析 項目背景項目背景 某重點中學的校園網絡拓撲結構圖如圖所示。校園網建成后，某重點中學的校園網絡拓撲結構圖如圖所示。校園網建成后，滿足了校區師生對信息化的需求，實現了校園網絡資源的共享滿足了校區師生對信息化的需求，實現了校園網絡資源的共享。但由于在建設初期僅僅實現了互聯互通，沒有對網絡進行安。但由于在建設初期僅僅實現了互聯互通，沒有對網絡進行安全加固，給網絡的使用和維護帶來了很多問題。例如，行政辦全加固，給網絡的使用和維護帶來了很多問題。例如，行政辦公子網被學生經常訪問，有部分學生登錄到教務管理系統，也公子網被學生經常訪問，有部分

3、學生登錄到教務管理系統，也有學生在上課期間登錄媒體服務器影響正常學習。為了保證校有學生在上課期間登錄媒體服務器影響正常學習。為了保證校園網的安全，必須對校園網重新進行一系列的規劃，希望能夠園網的安全，必須對校園網重新進行一系列的規劃，希望能夠達到以下功能：達到以下功能： 1）禁止學生子網訪問行政子網和教學子網；禁止學生子網訪問行政子網和教學子網； 2）禁止學生子網訪問財務系統和教務管理系統；禁止學生子網訪問財務系統和教務管理系統； 3）禁止學生子網在上課時間訪問媒體服務器；禁止學生子網在上課時間訪問媒體服務器； 4）教務管理系統僅允許教學管理人員和教師子網訪問；教務管理系統僅允許教學管理人員和

4、教師子網訪問； 5）財務系統僅允許行政子網訪問。財務系統僅允許行政子網訪問。 網絡拓撲設計與分析網絡拓撲設計與分析三層交換機三層交換機三層交換機三層交換機目錄目錄基礎知識：基礎知識：ACL原理及應用原理及應用n 要增強網絡安全性，網絡設備需要具備控制某些訪要增強網絡安全性，網絡設備需要具備控制某些訪問或某些數據的能力。問或某些數據的能力。n 包過濾技術是一種被廣泛使用的網絡安全技術。它包過濾技術是一種被廣泛使用的網絡安全技術。它使用使用ACL來（訪問控制列表）實現數據識別，并決來（訪問控制列表）實現數據識別，并決定是轉發還是丟棄這些數據包。定是轉發還是丟棄這些數據包。n 由由ACL定義的報文匹

5、配規則，還可以被其它需要對定義的報文匹配規則，還可以被其它需要對數據進行區分的場合引用。數據進行區分的場合引用。引入引入IP包過濾技術介紹包過濾技術介紹 對路由器需要轉發的數據包，先獲取包頭信息，然后和設定的規對路由器需要轉發的數據包，先獲取包頭信息，然后和設定的規則進行比較，根據比較的結果對數據包進行轉發或者丟棄。而實則進行比較，根據比較的結果對數據包進行轉發或者丟棄。而實現包過濾的核心技術是訪問控制列表?，F包過濾的核心技術是訪問控制列表。RInternet公司總部公司總部內部網絡內部網絡未授權用戶未授權用戶辦事處辦事處FDDITokenRingInt

6、ernet 訪問控制列表簡稱為訪問控制列表簡稱為ACL ACL （Access Control ListAccess Control List），），它是對數據包進行管理和限制的方法。它是對數據包進行管理和限制的方法。什么是訪問控制列表什么是訪問控制列表?哪些場合需要使用哪些場合需要使用ACLACL？允許或禁止對路由器或來自路由器的某些訪問允許或禁止對路由器或來自路由器的某些訪問QOSQOS與隊列技術與隊列技術策略路由策略路由數據速率限制數據速率限制端口流鏡像端口流鏡像NATNATACL的使用場合的使用場合目的目的IP地址地址源源IP地址地址協議號協議號目的端口目的端口段段(如如TCP報頭報頭

7、)數據數據數據包數據包(IP報頭報頭 )幀報頭幀報頭(如如HDLC) 使用使用ACL檢測數據包檢測數據包 拒絕拒絕允許允許ACL的判別依據五元組的判別依據五元組源端口源端口 標準標準ACL 僅以僅以作為過濾標準作為過濾標準 只能粗略的限制某一大類協議只能粗略的限制某一大類協議 擴展擴展ACL以以、作為過濾標準，可以精確的限制到某一種具體的協作為過濾標準，可以精確的限制到某一種具體的協議議 Inbound 或或 Outbound基于時間的基于時間的ACL 在標準和擴展在標準和擴展ACL基礎上加上時間限制?；A上加上時間限制。ACL的分類的分類數據包出接口數據包出接口數據包入接口數據包入接口 AC

8、L處理過程處理過程允許允許?源地址、源地址、目的地址目的地址協議協議標準標準ACL標準訪問控制列表只根據報文的標準訪問控制列表只根據報文的源源IPIP地址地址信息制定規則信息制定規則接口接口接口接口從從/24來的數據包來的數據包不能通過不能通過從從/28來的數據包來的數據包可以通過可以通過DA= SA=DA= SA=分組分組分組分組擴展擴展ACL 擴展訪問控制列表根據報文的擴展訪問控制列表根據報文的源源IPIP地址、目的地址、目的IPIP地址、地址、IPIP承載的協議類型、協議特性承載的協議類型、協議特性等三、

9、四層信息制定規則等三、四層信息制定規則接口接口接口接口從從/24來，到來，到的的TCP端口端口80去的數據包去的數據包不能不能通過通過從從/24來，到來，到的的TCP端口端口23去的數據包去的數據包可以可以通過通過DA=, SA=TCP, DP=80, SP=2032DA=, SA=TCP, DP=23, SP=3176分組分組分組分組ACL具有方向性具有方向性 在路由器中使用訪問控制列表時，訪問控制列表是在路由器中使用訪問控制列表時，訪問控制列表是部署在路由器的某個接口的某個方向上

10、。因此，對于部署在路由器的某個接口的某個方向上。因此，對于路由器來說存在入口方向（路由器來說存在入口方向（InboundInbound）和出口方向（）和出口方向（OutboundOutbound）兩個方向。）兩個方向。 否否是是丟棄處理丟棄處理選擇出接口選擇出接口否否ACL?路由表路由表?數據包出接口數據包出接口ACL如何工作如何工作 數據包入接口數據包入接口通信工程系 交換與路由技術精品課程數據包出接口數據包出接口否否是是丟棄處理丟棄處理選擇接口選擇接口路由表路由表?否否ACL匹配控制匹配控制允許允許?是是ACL如何工作如何工作ACL?是是數據包入接口數據包入接口數據包出接口數據包出接口否否

11、是是丟棄處理丟棄處理選擇接口選擇接口路由表路由表?否否ACL匹配控制匹配控制允許允許?是是ACL如何工作如何工作ACL?是是數據包入接口數據包入接口否否ACL的匹配順序的匹配順序ACL內部處理具體過程：內部處理具體過程：丟棄處理丟棄處理是是目的接口目的接口拒絕拒絕拒絕拒絕是是匹配匹配第一條規則第一條規則?允許允許ACL的匹配順序的匹配順序ACL內部處理具體過程：內部處理具體過程：丟棄處理丟棄處理是是目的接口目的接口是是匹配匹配第一條規則第一條規則?否否下一條下一條?是是是是拒絕拒絕拒絕拒絕拒絕拒絕允許允許允許允許ACL的匹配順序的匹配順序ACL內部處理具體過程：內部處理具體過程：丟棄處理丟棄處

12、理是是目的接口目的接口是是匹配匹配第一條規則第一條規則?否否匹配匹配下一條下一條?匹配匹配最后一條最后一條?是是是是否否是是是是拒絕拒絕拒絕拒絕拒絕拒絕拒絕拒絕允許允許允許允許允許允許ACL的匹配順序的匹配順序ACL內部處理具體過程：內部處理具體過程：丟棄處理丟棄處理是是目的接口目的接口是是匹配匹配第一條規則第一條規則?否否匹配匹配下一條下一條?匹配匹配最后一條最后一條?是是是是否否是是是是*說明：當說明：當ACL的最后一條的最后一條不匹配時，系統使用隱含不匹配時，系統使用隱含的的進行處理！進行處理！拒絕拒絕拒絕拒絕拒絕拒絕拒絕拒絕允許允許允許允許允許允許否否ACL的使用位置的使用位置p 對于

13、標準對于標準ACLACL，由于它只能過濾源，由于它只能過濾源IPIP。為了不影響源。為了不影響源主機的通信，一般我們將標準主機的通信，一般我們將標準ACLACL放在離目的端比較放在離目的端比較近的地方。近的地方。p 擴展擴展ACLACL可以精確的定位某一類的數據流。為了不讓可以精確的定位某一類的數據流。為了不讓無用的流量占據網絡帶寬，一般我們將擴展無用的流量占據網絡帶寬，一般我們將擴展ACLACL放在放在離源端比較近的地方。離源端比較近的地方。 ACL的規則總結的規則總結p 按照由按照由上到下的順序執行上到下的順序執行，找到第一個匹配后既執行，找到第一個匹配后既執行相應的操作（相應的操作（然后

14、跳出然后跳出ACLACL）p 每條每條ACLACL的末尾的末尾隱含一條隱含一條deny anydeny any 的規則的規則p ACLACL可應用于某個具體的可應用于某個具體的IPIP接口的接口的出方向出方向或或入方向入方向p 在引用在引用ACLACL之前，要首先創建好之前，要首先創建好ACLACL目錄目錄ALC配置步驟配置步驟1：創建：創建ACL列表列表2：設置：設置ACL規則規則ACL配置步驟配置步驟3：將：將ACL應用到接口上應用到接口上 目錄目錄標準訪問控制列表標準訪問控制列表配置配置標準訪問控制列表標準訪問控制列表 標準訪問控制列表：標準訪問控制列表：根據數據包的源根據數據包的源IP

15、地址來允許或拒絕數據包；地址來允許或拒絕數據包；訪問控制列表號從訪問控制列表號從1到到99。標準訪問控制列表標準訪問控制列表 標準訪問控制列表只使用源地址進行過濾，標準訪問控制列表只使用源地址進行過濾，表明是允許還是拒絕表明是允許還是拒絕 標準訪問控制列表標準訪問控制列表標準訪問控制列表的配置標準訪問控制列表的配置第一步，使用第一步，使用access-list命令創建訪問控制列表命令創建訪問控制列表第二步，使用第二步，使用ip access-group命令把訪問控制列表應命令把訪問控制列表應用到某接口用到某接口Router(config)#access-list access-list-num

16、ber permit | deny source source- wildcard logRouter(config-if)#ip access-group access-list-number in | out 第三步，測試第三步，測試1顯示所有或指定表號的顯示所有或指定表號的ACL 的內容的內容Show access-listsacl-number/name 2查看某物理端口是否應用了查看某物理端口是否應用了ACLshow ip interface任務一：標準任務一：標準ACL應用應用1（允許特定源的流量）（允許特定源的流量）F

17、a0/0Fa1/0S0 loopback3PC1PC2接口接口ip地址地址Router(config)# inte loopback 0Router(config-if)#ip addr Router(config-if)#no shutRouter(config)# inte fa0/0Router(config-if)#ip addr Router(config-if)#no shutRouter(config)#

18、 inte fa1/0Router(config-if)#ip addr Router(config-if)#no shut標準標準ACL應用（允許特定源的流量）應用（允許特定源的流量）第一步，創建允許來自第一步，創建允許來自的流量的的流量的ACL第二步，應用到接口第二步，應用到接口fa0/0和和fa1/0的出方向上的出方向上 Router(config)#access-list 1 permit 55Router(config)#interface fastethernet 0/

19、0Router(config-if)#ip access-group 1 outRouter(config)#interface fastethernet 1/0Router(config-if)#ip access-group 1 out測試測試p在路由器上在路由器上ping兩臺兩臺PC機。機。pPing pPing p均能均能ping 通通注意注意p取消訪問控制列表的應用，兩個步驟取消訪問控制列表的應用，兩個步驟p首先取消其應用在某個端口，如：首先取消其應用在某個端口，如：no ip access-group 1 outp其次，還可以刪除訪問控制列表

20、，如其次，還可以刪除訪問控制列表，如access-list 1 p可用命令可用命令Show access-listsshow ip interface進行驗證配置的正確性進行驗證配置的正確性任務二：任務二：標準標準ACL應用（拒絕特定主機的通信流量）應用（拒絕特定主機的通信流量）Fa0/0Fa1/0S0 loopback3PC1PC2標準標準ACL應用：拒絕特定主機的通信流量應用：拒絕特定主機的通信流量第一步，創建拒絕來自第一步，創建拒絕來自172.16

21、.4.13的流量的的流量的ACL第二步，應用到接口第二步，應用到接口fa1/0的入方向的入方向Router(config)#access-list 1 deny host 3 Router(config)#access-list 1 permit 55Router(config)#interface fastethernet 1/0Router(config-if)#ip access-group 1 in測試測試p在在PC2上測試上測試PC1與與FA0/0端口端口p不通不通任務三：任務三：標準標準ACL應用（拒絕特定子網的流量）應

22、用（拒絕特定子網的流量）Fa0/0Fa1/0S0 loopback3PC1PC2標準標準ACL應用：拒絕特定子網的流量應用：拒絕特定子網的流量第一步，創建拒絕來自子網第一步，創建拒絕來自子網的流量的的流量的ACL第二步，應用到接口第二步，應用到接口fa0/0的出方向的出方向Router(config)#access-list 1 deny 55Router(config)#accesslist 1

23、permit anyRouter(config)#interface fastethernet 0/0Router（config-if）#ip access-group 1 out測試測試p在在pc2上上ping fa0/0,pc1p能能ping 通通fa0/0,不能不能ping 通通pc1，為什么？為什么？p在在pc1上上ping fa1/0,pc2p能能ping 通通fa1/0,不能不能ping 通通pc2，為什么？為什么？目錄目錄擴展訪問控制列表的配置擴展訪問控制列表的配置擴展訪問控制列表的配置擴展訪問控制列表的配置p第一步，使用第一步，使用access-list命令創建擴展訪問控命令創

24、建擴展訪問控制列表制列表Router(config)#access-list access-list-number permit | deny protocol source source-wildcard destination destination-wildcard operator port established logeq portnumber等于端口號 portnumbergt portnumber大于端口號portnumberlt portnumber小于端口號portnumberneq portnumber不等于端口號portnumber擴展訪問控制列表的配置擴展訪問控制列表

25、的配置擴展訪問控制列表的配置擴展訪問控制列表的配置p第二步，使用第二步，使用ip access-group命令將擴展訪命令將擴展訪問控制列表應用到某接口問控制列表應用到某接口Router（config-if）#ip access-group access-list-number in | out 任務一：擴展任務一：擴展標準標準ACL應用（拒絕特定源、目的子應用（拒絕特定源、目的子網的網的ftp流量）流量）Fa0/0Fa1/0S0 loopback3PC

26、1PC2擴展擴展ACL應用應用1：拒絕：拒絕ftp流量通過流量通過E0p第一步，創建拒絕來自第一步，創建拒絕來自、去往、去往、ftp流量的流量的ACLp第二步，應用到接口第二步，應用到接口fa0/0的出方向的出方向Router(config)#access-list 101 deny tcp 55 55 eq 21Router(config)#access-list 101 permit ip any anyRouter(config)#interface fastthernet 0

27、/0Router（config-if）#ip access-group 101 out擴展擴展ACL應用應用2： 拒絕拒絕telnet流量通過流量通過E0p第一步，創建拒絕來自第一步，創建拒絕來自、去往、去往、telnet流量的流量的ACLp第二步，應用到接口第二步，應用到接口fa0/0的出方向上的出方向上Router(config)#access-list 101 deny tcp 55 55 eq 23Router(config)#access-list 101 permit i

28、p any anyRouter(config)#interface fastethernet 0/0Router（config-if）#ip access-group 101 outp思考：如何測試？思考：如何測試？p思考：架設思考：架設ftp服務器，在服務器，在PC機上，執行機上，執行命令：命令：FTP 服務器服務器IP地址即可。地址即可。命名的訪問控制列表命名的訪問控制列表p標準標準ACL和擴展和擴展ACL中可以使用一個字母數字中可以使用一個字母數字組合的字符串（名字）代替來表示組合的字符串（名字）代替來表示ACL的表號的表號 p命名命名IP訪問列表允許從指定的訪問列表刪除單訪問列表允許從

29、指定的訪問列表刪除單個條目個條目p如果添加一個條目到列表中，那么該條目被添如果添加一個條目到列表中，那么該條目被添加到列表末尾加到列表末尾 p不能以同一個名字命名多個不能以同一個名字命名多個ACLp在命名的訪問控制列表下在命名的訪問控制列表下 ，permit和和deny命命令的語法格式與前述有所不同令的語法格式與前述有所不同 命名的訪問控制列表命名的訪問控制列表p第一步，創建名為第一步，創建名為cisco的命名訪問控制列表的命名訪問控制列表p第二步，指定一個或多個第二步，指定一個或多個permit及及deny條件條件 p第三步，應用到接口第三步，應用到接口E0的出方向的出方向Router（co

30、nfig）#interface fastethernet 0/0Router（config-if）#ip access-group cisco outRouter(config)#ip access-list extended ciscoRouter（config-ext-nacl）# deny tcp 55 55 eq 23Router（config-ext-nacl）# permit ip any any查看訪問控制列表查看訪問控制列表Router#show ip interface fastethernet 0/0

31、FastEthernet0/0 is up, line protocol is up Internet address is /24 Broadcast address is 55 Address determined by setup command MTU is 1500 bytes Helper address is not set Directed broadcast forwarding is disabled Outgoing access list is cisco Inbound access list is not set Pro

32、xy ARP is enabled Local Proxy ARP is disabled Security level is default Split horizon is enabled ICMP redirects are always sent ICMP unreachables are always sent ICMP mask replies are never sent IP fast switching is enabled IP fast switching on the same interface is disabled 查看訪問控制列表查看訪問控制列表Router#s

33、how access-list Extended IP access list cisco 10 deny tcp 55 55 eq telnet 20 permit ip any anyZXR10(config)# acl standard number | name ZXR10(config-std-acl)# rule permit|deny |any time-range ZXR10(config)# IP 標準標準ACL使用列表號使用列表號 1 至至 99 缺省通配符為缺省通配符為 “no acl

34、 standard number ” 刪除整個刪除整個ACLv 在接口上應用在接口上應用ACLv 設置進入或外出方向設置進入或外出方向v “no ip access-group acl-number” 去掉接口上的去掉接口上的ACL設置設置ZXR10(config-if)#ip access-group acl-number in | out 配置標準配置標準ACL（中興中興）3S0Fei_1/1非非網段網段只允許兩邊的網絡互相訪問只允許兩邊的網絡互相訪問acl standard number 1rule 1 pe

35、rmit 55(rule 1 deny 55)隱含拒絕全部隱含拒絕全部acl standard number 2rule 1 permit 55interface Fei_1/2ip access-group 1 outinterface Fei_1/1ip access-group 2 outFei_1/2標準標準ACL配置示例配置示例1（中興中興）acl standard number 1rule 1 deny 3 rule 2 permit

36、 any(access-list 1 deny 55)隱含拒絕全部隱含拒絕全部interface fei_1/2ip access-group 1 outS0拒絕特定主機拒絕特定主機3對對網段的訪問網段的訪問非非網段網段Fei_1/1Fei_1/2標準標準ACL配置示例配置示例2（中興中興）3拒絕特定子網對拒絕特定子網對網段的訪問網段的訪問3S0非非172

37、.16.0.0網段網段acl standard number 1 rule 1 deny 55rule 2 permit any(access-list 1 deny 55)interface fei_1/2ip access-group 1 outFei_1/1Fei_1/2標準標準ACL配置示例配置示例3（中興中興）擴展擴展ACL的配置的配置（中興中興）ZXR10(config)#l 設置擴展設置擴展ACLZXR10(config)# acl extend number |name ZXR10(config-ex

38、t-acl)# rule permit|deny |any |any icmp-code ZXR10(config)# ip access-group acl-number in | out l 應用到接口應用到接口說明：說明：1）可以是關鍵字可以是關鍵字icmp，ip，tcp，udp 之一，或者代表之一，或者代表 IP 協議協議號的從號的從0 到到254 的一個整數；的一個整數；2）表示端口操作符，可以是表示端口操作符，可以是le（小于等于）、（小于等于）、ge（大于等于）、（大于等于）、eq（等于）之一，端口操作符只對（等于）之一，端口操作符只對TCP和和UDP協議有效；協議有效； acl

39、 extend number 101rule 1 deny tcp 55 55 eq 21rule 2 deny tcp 55 55 eq 20rule 3 permit ip any any interface fei_2/1ip access-group 101 out拒絕從子網拒絕從子網 到子網到子網 通過通過fei_ 2/1口出去的口出去的FTP訪問訪問 允許其他所有流量允許其他所有流量擴展擴展ACL

40、的配置實例的配置實例1（中興中興）3S0非非網段網段Fei_1/1Fei_2/1acl extend number 101rule 1 deny tcp 55 any eq 23rule 2 permit ip any anyinterface fei_ 2/1ip access-group 101 out擴展擴展ACL的配置實例的配置實例2（中興中興）3S0v僅拒絕從子網僅拒絕從子網 通過通過 fei_ 2/1口外出的口外出的Telnet v允許其他所有流量允許其他所有流量非非網段網段Fei_1/1Fei_2/1基于時間的基于時間的ACL配置配置（中興中興）（1 1）創建）創建time-rangetime-range列表列表 （2 2）設置時間段）設置時間段1 1）配置絕對時間段，）配置絕對時間段， 2 2）配置相對時間段）配置相對時間段ZXR10(config)#time