使用訪問列表管理網絡

本章主要講述使用標準訪問控制列表和擴展訪問控制列表控制網絡流量的方法。本章同時提供了標準訪問控制列表和擴展訪問控制列表以及在路由接口應用ACL的例子。要求掌握內容：(1)標準ACL和擴展ACL；(2)命名ACL；(3)應用ACL控制和管理通信流量。使用訪問列表管理網絡本章主要講述使用標準訪問章節內容1訪問列表簡介2標準的訪問列表3擴展的IP訪問列表4命名的訪問列表5應用和驗證訪問控制列表章節內容1訪問列表簡介是一系列運用網絡地址或者上層協議上的允許或拒絕指令的集合。10.1訪問列表簡介是一系列運用網絡地址或者上層協議上的允許或拒絕指令的集合。1訪問控制列表ACL網絡管理者需要了解怎樣控制非法的網絡訪問，允許正常的網絡訪問。ACL具有靈活的基本數據流過濾能力和特定的控制能力。例如，網絡管理者可能允許用戶訪問Internet，而不允許外部的用戶登錄到局域網中。路由器提供了基本的數據流過濾能力。如使用訪問控制列表（ACL），可以有條件地阻止Internet數據流。ACL，是一系列的允許或拒絕指令的集合，這些指令將運用到網絡地址或者上層協議上。訪問控制列表ACL網絡管理者需要了解怎樣控制非法的網絡訪問，ACL需求 有多種原因需要創建ACL：限制網絡數據流，增加網絡性能。例如：根據不同的協議，ACL可以指定路由器優先處理哪些數據報。這叫做隊列管理，路由器可以不處理不需要的數據報。隊列管理限制了網絡數據流，減少了網絡擁塞。提供數據流控制。例如：ACL可以限定或者減少路由更新的內容。這些限定，可以用于限制關于某個特定網絡的信息傳播到整個網絡。ACL需求 有多種原因需要創建ACL：ACL需求 有多種原因需要創建ACL：為網絡訪問提供基本的安全層。ACL可以允許某個主機訪問網絡的某一部分，而阻止另一臺主機訪問網絡的這個部分。決定轉發或者阻止哪些類型的數據流。例如：可以允許路由email數據流，而阻止telnet數據流。ACL需求 有多種原因需要創建ACL：ACL的定義訪問控制列表（ACL）是運用到路由器接口的指令列表。這些指令告訴路由器接受哪些數據報而拒絕哪些數據報。接受或者拒絕根據一定的規則進行，如源地址，目標地址，端口號等。ACL使得用戶能夠管理數據流，檢測特定的數據報。路由器將根據ACL中指定的條件，對經過路由器端口的數據報進行檢查。ACL可以基于所有的RoutedProtocols，如IP，IPX，對經過路由器的數據報進行過濾。ACL的定義訪問控制列表（ACL）是運用到路由器接口的指令列ACL的定義ACL在路由器的端口過濾網絡數據流，決定是否轉發或者阻止數據報。ACL應該根據路由器的端口所允許的每個協議來制定。如果需要控制流經某個端口的所有數據流，就需要為該端口允許的每一個協議分別創建ACL。例如，如果端口配置成允許IP,Appletalk和IPX協議的數據流，那么就需要創建至少三個ACL。ACL可以用作控制和過濾流經路由器端口的數據報的工具。ACL的定義ACL在路由器的端口過濾網絡數據流，決定是否轉發ACL指令ACL指令的放置順序是很重要的。當路由器在決定是否轉發或者阻止數據報的時候，Cisco的IOS軟件，按照ACL中指令的順序依次檢查數據報是否滿足某一個指令條件。當檢測到某個指令條件滿足的時候，就不會再檢測后面的指令條件。在每一個路由器的端口，可以為每一個支持的RoutedProtocols創建ACL。對于某些協議，可以創建多個ACL：一個用于過濾進入端口的數據流inbound，一個用于過濾流出端口的數據流outbound。ACL指令ACL指令的放置順序是很重要的。當路由器在決定是否InboundorOutboundInboundorOutbound進入路由器的Inbound，離開路由器的outboundOutgoingPacketE0S0IncomingPacketAccessListProcessesPermit?Sourceand

DestinationProtocolInboundorOutboundInboundorACL指令一個ACL就是一組指令，規定數據報如何：進入路由器的某個端口在路由器內的轉送離開路由器的某個端口ACL允許控制哪些客戶端可以訪問的網絡。在ACL中的條件可以是：篩選某些主機允許或者禁止訪問的部分網絡允許或者禁止用戶訪問某一類協議，如FTP，HTTP等。ACL指令一個ACL就是一組指令，規定數據報如何：ACL的工作流程無論是否使用ACL，開始的通信過程是相同的。當一個數據報進入一個端口，路由器檢查這個數據報是否可路由。如果是可以路由的，路由器檢查這個端口是否有ACL控制進入數據報。如果有，根據ACL中的條件指令，檢查這個數據報。如果數據報是被允許的，就查詢路由表，決定數據報的目標端口。路由器檢查目標端口是否存在ACL控制流出的數據報不存在，這個數據報就直接發送到目標端口。如果存在，就再根據ACL進行取舍。ACL的工作流程無論是否使用ACL，開始的通信過程是相同的。ACL的工作流程ACL的工作流程ACL的配置創建一個ACL訪問控制Router(config)#access-listaccess_list_number{permit|deny}{test_conditions}將訪問控制綁定到接口上Router(config-if)#{protocol}access-groupaccess_list_number{in|out}關閉訪問控制列表Router(config)#noaccess-listaccess_list_numberACL的配置創建一個ACL訪問控制為每個ACL分配一個唯一標識 配置ACL的時候需要為每一個協議的ACL指定一個唯一的數字，用以標識這個ACL。這個數字必須在有效范圍之內。為一個ACL指定了數字后，需要把它關聯到一個端口。假如需要修改，只需要利用命令："noaccess-listlist-number"，就可以刪除這個ACL的指令。為每個ACL分配一個唯一標識 配置ACL的時候需要為每一個協ACL綁定到接口ACL可以指定到一個或者多個端口。根據配置，可以過濾進入或流出的數據流。對流出的數據流使用ACL更有效，因此也更常使用。如果是針對進入數據流的ACL，路由器將檢查每一個數據報，看是否滿足ACL的條件，然后才將允許的數據報發送到送出端口。ACL綁定到接口ACL可以指定到一個或者多個端口。根據配置，標準ACL和擴展ACL標準ACL檢查源地址可以允許或者拒絕整套協議棧標準ACL（數字1到99），可以提供數據流過濾控制。它是基于源地址和通配掩碼。標準ACL可以允許或禁止整套IP協議。擴展ACL檢查源地址和目的地址可以允許或者拒絕指定協議為了更加精確的數據流過濾，需要擴展ACL。擴展ACL檢查源地址和目標地址，以及TCP或UDP端口號。還可以指定擴展ACL針對特定的協議的進行操作。擴展ACL使用的數字范圍是：100-199。標準ACL和擴展ACL標準ACL10.2標準的訪問列表如果想允許或者禁止來自于某各個網絡的所有數據流，或者禁止某一套協議的數據流，可以使用標準ACL。標準ACL檢查數據報的源地址，即根據地址中的網絡、子網和主機位，來允許或者拒絕來自于整套協議的數據報。例如，來自于E0端口的數據報，將檢查它的源地址和協議，如果被允許，將輸出到相應的端口。如果被禁止，數據報將被丟棄。10.2標準的訪問列表如果想允許或者禁止來自于某各個網絡的標準ACL指令使用標準版本的access-list全局配置命令來定義一個帶有數字的標準ACL。這個命令用在全局配置模式下Router(config)#access-listaccess-list-number{deny|permit}source[source-wildcard][log]例如：access-list1permit55使用這個命令的no形式，可以刪除一個標準ACL。語法是：Router(config)#noaccess-listaccess-list-number例如：noaccess-list1標準ACL指令使用標準版本的access-list全局配置命標準ACL舉例以下圖的結構為例，介紹標準ACL的使用。實例1：E0和E1端口只允許來自于網絡的數據報被轉發，其余的將被阻止。實例2：E0端口不允許來自于特定地址3的數據流，其它的數據流將被轉發。實例3：E0端口不允許來自于特定子網的數據，而轉發其它的數據。3E0S0E1Non-標準ACL舉例以下圖的結構為例，介紹標準ACL的使用。172實例1：只允許指定的網絡數據E0和E1端口只允許來自于網絡的數據報被轉發，其余的將被阻止。第一個ACL命令用“permit”允許來自于此指定網絡的數據流，通配掩碼55表明要檢查匹配IP地址中的網絡位（前16位）。最后將ACL關聯到端口E0和E1。access-list1permit55(implicitdenyall-notvisibleinthelist)(access-list1deny55)interfaceethernet0ipaccess-group1outinterfaceethernet1ipaccess-group1out實例1：只允許指定的網絡數據E0和E1端口只允許來自于網絡1實例2：禁止來自特定地址的數據E0端口不允許來自于特定地址3的數據流，其它的數據流將被轉發。第一個ACL命令用“deny”禁止來自于此指定主機的數據流，通配掩碼表明要檢查匹配地址中的所有的位。第二個ACL命令中，“55”IP地址和通配掩碼組合，表示允許來自于任何源的數據流。這個組合，也可以用關鍵字“any”替代。最后將ACL關聯到端口E0。access-list1deny3access-list1permit55(implicitdenyall)(access-list1deny55)interfaceethernet0ipaccess-group1out實例2：禁止來自特定地址的數據E0端口不允許來自于特定地址1實例3：禁止來自特定子網的數據E0端口不允許來自于特定的子網的數據，而轉發其它的數據。第一個ACL命令用“deny”禁止來自子網的數據流，通配掩碼55，前三個字節表示IP地址中的前三個字節將被檢測。而最后一個字節全1，表明將不關心IP地址的主機部分。第二個ACL命令表示在之前沒有匹配的時候允許任何的源IP地址。最后將ACL關聯到端口E0。access-list1deny55access-list1permitany(implicitdenyall)

(access-list1deny55)interfaceethernet0ipaccess-group1out實例3：禁止來自特定子網的數據E0端口不允許來自于特定的子網10.3擴展的IP訪問列表擴展ACL提供了比標準ACL更大范圍的控制，因而運用更廣。例如，可以使用擴展ACL來實現允許Web數據流，而禁止FTP或Telnet。擴展ACL可以檢查源地址和目標地址，特定的協議，端口號，以及其它的參數。一個數據報，可以根據它的源或者目標地址，而被允許或者禁止。例如，擴展ACL可以允許來自于E0而到S0的e-mail數據，而禁止遠程登錄或者文件傳輸。假設端口E0與一個擴展ACL相關聯。可以使用精確的邏輯指令，來創建ACL。在一個數據報進入這個端口前，相應的ACL將對其進行檢查。10.3擴展的IP訪問列表擴展ACL提供了比標準ACL更大基于擴展ACL檢查，數據報將被允許或禁止。對于進入端口的數據，允許的數據報將被繼續處理。對于發出端口的數據，允許的數據報將被轉發到端口。拒絕的數據報將被丟棄，某些協議還會向發端發送數據報，說明目標不可到達。一個ACL中可以包含任意多條指令。每一條指令，應該具有相同的標識名或者數字。ACL中的指令越多，就越難理解和管理。所以，為ACL做好文檔可以防止混淆。基于擴展ACL檢查，數據報將被允許或禁止。對于進入端口的數據擴展ACL擴展ACL擴展ACL配置完全形式的access-list命令為：Router(config)#access-list

access_list_number

{permit|deny}

protocolsource[source_mask

destination

destination_maskoperatoroperand

[established]

命令"ipaccess-group"將一個存在的擴展ACL和一個端口關聯。記住：一個端口的一個方向的某套協議，只允許存在一個ACL。Router(config-if)#{protocol}

access-group

access_list_number

{in|out}

擴展ACL配置完全形式的access-list命令為：擴展ACL舉例以下圖的結構為例，介紹擴展ACL的使用。實例1：在E0端口，禁止轉出來自子網的FTP數據流到子網，其它的數據流將被轉發。實例2：在E0端口，禁止轉出來自子網的Telnet數據流，其它的數據流將被轉發。3E0S0E1Non-擴展ACL舉例以下圖的結構為例，介紹擴展ACL的使用。172實例1：禁止轉出FTP數據在E0端口，禁止轉出來自子網的FTP數據流到子網，其它的數據流將被轉發。第一個ACL命令用“deny”禁止來自子網的FTP-DATA（port=20）數據流到子網。第二個ACL命令用“deny”禁止來自子網的FTP（port=21）數據流到子網。第三個ACL命令表示允許任何的數據流。最后將此ACL101關聯到端口E0。access-list101denytcp5555eq21access-list101denytcp5555eq20access-list101permitipanyany(implicitdenyall)(access-list101denyip5555)interfaceethernet0ipaccess-group101out實例1：禁止轉出FTP數據在E0端口，禁止轉出來自172.1實例2：禁止轉出Telnet數據在E0端口，禁止轉出來自子網的Telnet數據流，其它的數據流將被轉發。第一個ACL命令用“deny”禁止來自子網的Telnet(port=23)數據流。第二個ACL命令表示允許任何的數據流。最后將此ACL101關聯到端口E0。access-list101denytcp55anyeq23access-list101permitipanyany(implicitdenyall)interfaceethernet0ipaccess-group101out實例2：禁止轉出Telnet數據在E0端口，禁止轉出來自1通配掩碼通配掩碼（wildcardmask）是分成4字節的32bit數。通配掩碼與IP地址位位配對，相應位為0/1，用于表示如何對待IP地址中的相應位。通配掩碼某位是0，表示檢查相應bit位的值；通配掩碼某位是1，表示不檢查(忽略)相應位的值。ACL使用通配掩碼來控制一個或者多個需要進行"允許"或者"禁止"檢查的IP地址。盡管都是32位，通配掩碼與子網掩碼不同。在子網掩碼中，0/1決定了相應主機IP地址是網絡位、子網位還是主機位。在通配掩碼中，0/1決定ACL是否檢查或者忽略IP地址中的相應位。通配掩碼通配掩碼（wildcardmask）是分成4字節的通配掩碼的工作原理通配掩碼的工作原理通配掩碼舉例假設一個B類地址，有8位的子網地址。想使用通配掩碼，允許所有來自于網絡～網絡的數據報訪問。通配掩碼舉例假設一個B類地址，有8位的子網地址。想使用通配掩通配掩碼舉例假設一個B類地址，有8位的子網地址。想使用通配掩碼，允許所有來自于網絡～網絡的數據報訪問。首先，檢查前面兩個字節(171.30)，通配掩碼中的前兩個字節位全為0。由于沒有興趣檢查主機地址，通配掩碼的最后一個字節位全為1。通配掩碼的第三個字節應該是15(00001111)。與之相應的通配掩碼是55，將匹配子網到的IP地址。通配掩碼舉例假設一個B類地址，有8位的子網地址。想使用通配掩通配掩碼舉例IP地址的第三個字節為16(00010000)。通配掩碼中的前四位為0，告訴路由器要匹配IP地址的前四位(0001)。由于最后的四位被忽略，則所有的在范圍16(00010000)到31(00011111)的都將被允許，相應的通配掩碼位是1。Network.host172.30.16.0

00010000Wildcardmask: 00001111 |<----match---->|<-----don’tcare----->|

00010000 = 16

00010001 = 17

00010010 = 18 : :

00011111 = 31通配掩碼舉例IP地址的第三個字節為16(00010000)any命令使用二進制通配掩碼很不方便，某些通配掩碼可以使用縮寫形式替代。這些縮寫形式，減少了在配置地址檢查條件時候的鍵入量。假如想允許任何目標地址都被允許，為了檢查任何地址，需要輸入。要使ACL忽略任意值，通配掩碼為：55。可以使用縮寫形式，來指定相同的測試條件。Router(config)#access-list1permit55等價于Router(config)#access-list1permitanyany命令使用二進制通配掩碼很不方便，某些通配掩碼可以使用縮host命令當想匹配IP地址中所有的位時，Cisco

IOS允許使用另一個ACL通配掩碼的縮寫。假如希望一個特定的IP地址，在ACL的檢查中獲得允許。為了指明這個主機地址，將輸入整個地址（如9）。然后，為了指明ACL將檢查地址中的所有的位，相應的通配掩碼的各位將設置成0（即）。可以使用縮寫形式來完成這個任務。Router(config)#access-list1permit9等價于Router(config)#access-list1permithost9host命令當想匹配IP地址中所有的位時，CiscoIany和host命令any和host命令驗證ACL使用showinterface可以顯示在某個接口上綁定了那些ACL使用showrunning-config顯示ACL詳細信息和綁定位置使用showaccess-list顯示所有的ACL列表內容驗證ACL使用showinterface10.4命名的訪問列表可以使用字符串代替數字，來標識ACL，稱為命名ACL。使用具名ACL，可以在不刪除整個ACL的情況下修改它。具名ACL用于以下一些情況：想用字符串直觀標識一個ACL。在路由器上，對于給定的協議，需要配置超出了99個標準ACL或者100個擴展ACL。在使用具名ACL的時候，需要考慮到以下的因素：有名ACL與CiscoIOS11.2之前的版本不兼容。不能為多個ACL使用相同的名字。不同類型的ACL不能使用相同的名字。例如，不能使用同一個名字來命名一個標準ACL和一個擴展ACL。10.4命名的訪問列表可以使用字符串代替數字，來標識ACL可以使用下面的命令為一個ACL命名：在ACL配置模式中，可以指定一個或者多個允許或者禁止條件。命令如下：將NamedACL關聯到某個端口。Router(config)#ipaccess-list{standard|extended}nameRouter(config{std-|ext-}nacl)#{permit|deny}{ipaccesslisttestconditions}…no{permit|deny}{ipaccesslisttestconditions}Router(config-if)#ipaccess-groupname{in|out}可以使用下面的命令為一個ACL命名：Router(confi實例為一個名為Internetfilter的標準ACL設定條件。（所有其他的條件隱含禁止。）ipaccess-liststandardInternetfilterdeny55permit55permit55permit和deny指令沒有數字，"no"表示刪除某個測試條件。Router(config{std-|ext-}nacl)#{permit|deny}{ipACLtestconditions}no{permit|deny}{ipACLtextconditions}實例為一個名為Internetfilter的標準ACL設定條標識ACL使用“deny”為一個有名ACL設定條件。deny{source[source-wildcard]|any}使用這個命令的no形式取消設定的deny條件。nodeny{source[source-wildcard]|any}標識ACL使用“deny”為一個有名ACL設定條件。標識ACL使用“permit”為有名標準ACL設定條件。

permit{source[source-wildcard]|any}[log]使用這個命令的no形式取消設定的條件。：

nopermit{source[source-wildcard]|any}在access-list配置模式使用下這個命令，需要在ipaccess-list命令之后，定義數據報經過ACL的條件。標識ACL使用“permit”為有名標準ACL設定條件。10.5應用和驗證訪問控制列表ACL可以控制路由器支持的絕大部分協議。在全局ACL配置的時候，可以輸入一個代表協議的數字，作為它的第一個參數。根據這個數字，路由器會識別使用哪一個ACL軟件。對于某個協議，可能有多個ACL對于一個新的ACL，可以選擇不同的數字，只要其在協議數字范圍之內。但是，一個端口的一個協議，只能夠指定一個ACL。對于某些協議，一個端口可以指定兩個ACL：一個負責收到的數據，一個負責發出的數據。而某些協議，需要把這兩個ACL組合成一個負責進出該端口的數據10.5應用和驗證訪問控制列表ACL可以控制路由器支持的絕假如ACL負責控制接收的數據，當路由器接收到數據報，將檢查是否滿足ACL的條件。假如這個數據報被允許，路由器繼續處理這個數據報。如果被拒絕，該數據報將被丟棄。如果ACL是負責控制發出的數據，當接收到一個數據報，并發送到了發出端口，路由器將檢查ACL的條件是否滿足。假如數據報被允許，則傳送這個數據報，如果數據報被拒絕，將丟棄這個數據報。假如ACL