路由器协议配置 ACL访问控制技术

ACL访问控制技术
LOGO
目录
1 3
ACL 概 述 ACL的分类 ACL配置 ACL的访问顺序
2
3 4
ACL 概 述
一、什么是ACL ACL的全称是访问控制列表：Access Control List，网络中常说的ACL是 IOS/NOS等网络操作系统所提供的一种访问 控制技术，初期仅在路由器上支持，现在已 经扩展到三层交换机，部分最新的二层交换 机也开始提供ACL支持。
标准ACL的配置
1．标准ACL的配置 第一步，定义访问控制列表，其命令格式如下： Router(config)# access-list access-list-number { permit | deny } source [source-wildcard] [log] 例如： Router(config)# access-list 1 permit 10.0.0.0 0.255.255.255 第二步，把标准 ACL应用到一个具体接口 Router(config)# int interface Router(config-if)# { protocol } access-group
ACL语句能够实现：
1、筛选出某些主机，允许或者拒绝它们访问你的网 络的某一部分； 2、允许或拒绝用户访问某种类型的应用，例如FTP 或HTTP等。
ACL的分类
1．标准ACL 2．扩展ACL 3．命名ACL 4．基于时间的访问控制列表
ACL表号
Cisco 的IOS为不同的协议分配了ACL表号，见下 表：
通配符掩码位的匹配
通配符any
加入在ACL中允许访问任何目的地址时，使用通 配符掩码表示为： 0.0.0.0 255.255.255.255 简便地，可以使用通配符any替代，例如： access-list 1 permit 0.0.0.0 255.255.255.255 access-list 1 permit any
基于时间的访问控制列表配置实例： router# configure terminal router(config)# time-range allow-www router(config-time-range)# asbolute start 7:00 1 June 2010 end 17:00 31 December 2010 router(config-time-range)# periodic weekend 7:00 to 17:00 router(config-time-range)# exit router(config)# access-list 101 permit tcp 192.168.1.0 0.0.0.255 any eq www time-range allow-www router(config)# interface serial 1/1 router(config-if)# ip access-group 101 out
ACL是如何工作的
ACL是一组语句，定义了分组的下列行为： 1、进入入站路由器接口
2、通过路由器转发
3、流出出站路由器接口
ACL语句按照逻辑次序顺序执行。如果与某个条件语 句相匹配，则不再检查剩下的语句；如果都不匹配， 则强加一条拒绝全部流量的暗含语句。（缺省情况下 拒绝所有的流量）
ACL的匹配性检查
通配符host
在ACL中想要与整个IP主机地址的所有位相匹配 时，使用通配符掩码表示为： 202.207.208.8 0.0.0.0 简便地，可以使用通配符host替代，例如： access-list 1 permit 202.207.208.8 0.0.0.0 access-list 1 permit host 202.207.208.8
扩展ACL的配置
access-list 101 deny tcp any host 192.168.1.1 eq www 将所有主机访问192.168.1.1这个地址网页服务 （WWW）TCP连接的数据包丢弃。
ACL的配置
3．命名ACL配置 第一步，创建一个ACL命名，要求名字字符串要唯一 Router(config)# ip access-list { standard | extended } name 第二步，定义访问控制列表，其命令格式如下 标准的ACL： Router(config-sta-nacl)# { permit | deny } source [source-wildcard] [log] 或扩展的ACL Router(config-ext-nacl)# { permit | deny } protocol source source-wildcard [operator operand] destination destination-wildcard [ operator operand] [ established ] [log]
4、ACL的访问顺序
ACL访问控制列表，由一系列访问控制语句 组成，按照各访问控制语句在ACL中的顺序， 根据其判断条件，对数据包进行检查。一旦 找到了某一匹配条件，就结束比较过程，不 再检查以后的其他条件判断语句。 如果所有的条件语句都没有被匹配，则最后 将强加一条拒绝全部流量的隐含语句。在缺 省情况下，虽然看不到最后一行，但最后总 是拒绝全部流量的。 当一个ACL被创建后，新的语句行总是被加到 ACL的最后，因此，无法删除某一条ACL语句， 只能删除整个ACL列表。
扩展ACL的配置
2．扩展ACL的配置 第一步，定义访问控制列表，其命令格式如下： Router(config)# access-list access-list-number { permit | deny } protocol source source-wildcard [operator operand] destination destination-wildcard [ operator operand] [ established ] [log]
创建ACL
第一步：在全局配置模式下创建ACL 标准ACL（ACL号码在1—99之间） 扩展ACL （ACL号码在100—199之间）
第二步：把ACL应用到某一个接口（出站接口或 者入站接口）
通配符掩码的作用
通配符掩码是一个32比特的数字字符串，用点 号分成4个8位组，每个8位组包含8个比特。 在通配符掩码位中，0表示检查相应的位，1表 示忽略相应的位。 通配符掩码跟IP地址是成对出现的。在通配符掩 码的地址位使用1或0表明如何处理相应的IP地址 位。 ACl通配符掩码跟IP子网掩码的工作原理不同。
扩展ACL
扩展ACL提供更大的灵活性和控制范围，它既可 以检查分组的源地址和目的地址，也可以检查协 议类型和TCP或UDP的端口号。 标准ACL只能允许或者拒绝整个协议集，但扩展 ACL可以允许或拒绝协议集中的某些协议，例如 允许http而拒绝ftp。 扩展ACL编号使用100-199。
标准ACL
标准ACL检查可以被路由的IP分组的源地址并且把它 与ACL中的条件判断语句相比较。如果匹配，则执行 允许（permit）或拒绝（deny）的操作。 标准ACL可以基于网络、子网或主机IP地址允许或拒 绝整个协议组（如IP）。 标准ACL在全局配置模式下使用命令access-list来定 义，并分配1-99之间的一个数字编号。
ACL的配置
3．命名ACL配置 第三步，把 ACL应用到一个具体接口上： Router(config)# int interface Router(config-if)# { protocol } accessgroup name {in | out}
ACL的配置
4．基于时间的访问控制列表 第一步是定义一个时间范围； 格式为：time-range time-range-name（时间范围的 名称） 可以定义绝对时间范围和周期、重复使用的时间范围。 第二步是在访问列表中用t i m e -range引用时间范围 基于时间的标准ACL： Router(config)# access-list access-list-number { permit | deny } source [source-wildcard] [log] [time-range time-range-name] 基于时间的扩展ACL： Router(config)# access-list access-list-number { permit | deny } protocol source source-wildcard [operator operand] destination destination-wildcard [ operator operand] [ established ] [log] [time-range time-range-name]
ACL 概 述
二、 ACL的原理、功能与局限性 局限性： 由于ACL是使用包过滤技术来实现的，过滤 的依据是第三层和第四层包头中的部分信息， 这种技术具有一些固有的局限性，如无法识 别到具体的人，无法识别到应用内部的权限 级别等。
ACL 概 述
三、ACL的工作过程
ACL的工作过程
ACL是一个连续的允许和拒绝语句的集合，关系到地址 和上层协议。 ACL是应用在路由器接口的指令列表，这些指令告诉路 由器哪些分组需要拒绝，哪些分组可以接收。拒绝和接 收基于一定的条件。 任何经过应用了ACL的接口的流量都要接受ACL中条件 的检测。 ACL适用于所有的路由协议。 路由器基于ACL中指定的条件来决定转发还是丢弃分组。 ACL不能对本路由器产生的数据包进行控制 。
第二步，把扩展 ACL应用到一个具体接口： Router(config)# int interface Router(config-if)# { protocol } access-group access-
list-number {in | out}
扩展ACL的配置
2．扩展ACL的配置
例如：Router(config)# access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 20 Router(config)# int s1/1 Router(config-if)# ip access-group 1 out
access-list-number {in | out}
例如： Router(config)# int s1/1 Router(config-if)# ip access-group 1 out
标准ACL举例
定义ACL： access-list 1 deny 172.16.1.1 access-list 1 permit 172.16.1.0 0.0.0.255 access-list 1 deny 172.16.1.1 0.0.255.255 access-list 1 permit 172.16.1.1. 0.255.255.255 应用到接口： ip access-group 1 in ip access-group 1 out
百度文库 ACL的配置
4．基于时间的访问控制列表 第三步，把ACL应用到一个具体接口： Router(config)# int interface Router(config-if)# { protocol } access-group
access-list-number {in | out}
ACL的配置
ACL 概 述 二、 ACL的原理、功能与局限性 基本原理： ACL使用包过滤技术，在路由器上读取第三 层及第四层包头中的信息如源地址、目的地 址、源端口、目的端口等，根据预先定义好 的规则对包进行过滤，从而达到访问控制的 目的。 功能： ACL一方面保护资源节点，阻止非法用户对 资源节点的访问，另一方面限制特定的用户 节点对资源节点的访问权限。