1、網絡安全之ACL(訪問控制列表)【實驗目的】1、掌握基本ACL的原理及配置方法。2、熟悉高級ACL的應用場合并靈活運用。【實驗環境】H3C三層交換機1臺，PC 3臺，標準網線3根。【引入案例 1】 某公司建設了Intranet，劃分為經理辦公室、檔案室、網絡中心、財務部、研發部、市場部等多個部門，各部門之間通過三層交換機（或路由器）互聯，并接入互聯網。自從網絡建成后麻煩不斷，一會兒有人試圖偷看檔案室的文件或者登錄網絡中心的設備搗亂，一會兒財務部抱怨研發部的人看了不該看的數據，一會兒領導抱怨員工上班時候整天偷偷泡網，等等。有什么辦法能夠解決這些問題呢？【案例分析】 網絡應用與互聯網的普及在大幅提

2、高企業的生產經營效率的同時也帶來了許多負面影響，例如，數據的安全性、員工經常利用互聯網做些與工作不相干的事等等。一方面，為了業務的發展，必須允許合法訪問網絡，另一方面，又必須確保企業數據和資源盡可能安全，控制非法訪問，盡可能的降低網絡所帶來的負面影響，這就成了擺在網絡管理員面前的一個重要課題。網絡安全采用的技術很多，通過ACL（Access Control List，訪問控制列表）對數據包進行過濾，實現訪問控制，是實現基本網絡安全的手段之一。【基本原理】ACL是依據數據特征實施通過或阻止決定的過程控制方法，是包過濾防火墻的一種重要實現方式。ACL是在網絡設備中定義的一個列表，由一系列的匹配規則

3、（rule）組成，這些規則包含了數據包的一些特征，比如源地址、目的地址、協議類型以及端口號等信息，并預先設定了相應的策略允許（permint）或禁止（Deny）數據包通過。基于ACL的包過濾防火墻通常配置在路由器的端口上，并且具有方向性。每個端口的出站方向（Outbound）和入站方向（Inbound）均可配置獨立的ACL進行包過濾。基于ACL的包過濾當路由器收到一個數據包時，如果進入端口處沒有啟動ACL包過濾，則數據包直接提交路由器轉發進程處理，如果進入端口處啟動了ACL包過濾，則數據交給入站防火墻進行過濾，其工作流程如圖所示。入站包過濾工作流程一個ACL可以包含多條規則，每條規則都定義了一

4、個匹配條件及其相應的動作。ACL規則的動作即允許或拒絕。（1）系統用ACL的第一條規則的條件來嘗試匹配數據包的信息。（2）如果數據包的特征與規則的條件相符（稱數據包命中此規則），則執行規則所設定的動作，如果是peimit，則允許數據包穿過防火墻，交由路由轉發進程處理，如果是deny，則系統丟棄數據包。（3）如果數據包特征與規則的條件不符，則轉下一條規則繼續嘗試匹配。（4）如果數據包沒有命中任何一條規則的條件，則執行防火墻的默認動作。需要注意的是，流程圖中最后的默認規則用來定義對ACL以外的數據包的處理方式，即在沒有規則去判定數據包是否可以通過的時候，防火墻所采取的策略是允許還是拒絕。同樣地，當

5、路由器準備從某端口上發出一個數據包時，如果該端口處沒有ACL啟動包過濾，則數據包直接發出，如果該端口處啟動了ACL包過濾，則數據將交給出站防火墻進行過濾，其工作流程如圖所示。出站包過濾工作流程在配置ACL的時候，需要定義一個數字序號，并利用這個序號來唯一標識一個ACL。根據應用目的，ACL可以分為以下幾種類型：l 基本ACL（序號為20002999）:也稱為標準訪問控制列表，只根據報文的源IP地址信息制定匹配規則。l 高級ACL（序號為30003999）: 也稱為擴展訪問控制列表，根據報文的源IP地址信息、目的IP地址信息、IP承載的協議類型、協議的特性等三、四層信息制定匹配規則。其中3998

6、與3999是系統為集群管理預留的編號，用戶無法配置。l 二層ACL（序號為40004999）: 根據報文的源MAC地址、目的MAC地址、VLAN優先級、二層協議類型等二層信息制定匹配規則。l 用戶自定義ACL（序號為50005999） ：可以以報文的報文頭、IP頭等為基準，指定從第幾個字節開始與掩碼進行“與”操作，將從報文提取出來的字符串和用戶定義的字符串進行比較，找到匹配的報文。【命令介紹】1定義基本ACL，并進入相應的ACL視圖acl number acl-number刪除指定的ACL，或者刪除全部ACL的命令：undo acl all | number acl-number 視圖系統視圖

7、參數l number acl-number：ACL序號，基本IPv4 ACL的序號取值范圍為20002999，高級IPv4 ACL的序號取值范圍為30003999。2定義基本ACL規則（1）指定要匹配的源IP地址范圍。（2）指定動作是permit或deny。rule rule-id deny | permit rule-string 刪除ACL規則或者規則中的某些屬性信息的命令：undo rule rule-id fragment | source | time-range *視圖基本ACL視圖參數l rule-id：ACL規則編號，取值范圍為065534。l deny：表示丟棄符合條件的數據

8、包。l permit：表示允許符合條件的數據包通過。l rule-string：ACL規則信息，包括：（1）fragment：分片信息。定義規則僅對非首片分片報文有效，而對非分片報文和首片分片報文無效。（2）source sour-addr sour-wildcard | any ：指定基本ACL規則的源地址信息。sour-addr表示報文的源IP地址，采用點分十進制表示；sour-wildcard 表示目標子網的反掩碼，采用點分十進制表示，sour-wildcard可以為0，代表主機地址；any表示任意源IP地址。（3）time-range time-name：指定規則生效的時間。time-

9、name：指定規則生效的時間段名稱，為132個字符的字符串，不區分大小寫，必須以英文字母az或AZ開頭，為避免混淆，時間段的名字不可以使用英文單詞all。通配符掩碼，也稱反掩碼，和子網掩碼相似，也是由0和1組成的32位bit，以點分十進制形式表示。反掩碼的作用是通過與IP地址執行比較操作來標識網絡，和子網掩碼不同的是，反掩碼的比特序列中，1表示“相應的地址位不需要檢查”，0表示“相應的地址位必須被檢查”。通配符掩碼應用示例IP地址通配符掩碼表示的地址范圍.255.255.0例 創建基本ACL 2000，定義規則1，禁止源IP地址為的報文通過。<H3C> system-viewSys

10、tem View: return to User View with Ctrl+Z.H3C acl number 2000H3C-acl-basic-2000 rule 1 deny source 0H3C-acl-basic-2000 quit3在端口上應用ACL將ACL應用到端口上，配置的ACL包過濾才能生效，并且需要指明在接口上應用的方向是Outbound還是Inboundpacket-filter inbound | outbound acl-rule取消ACL在端口上的應用的命令：undo packet-filter inbound | outbound ac

11、l-rule視圖以太網端口視圖參數l inbound：表示對端口接收的數據包進行過濾。l outbound：表示對端口發送的數據包進行過濾。l acl-rule：應用的ACL規則，可以是多種ACL的組合。例如，（1）單獨應用一個IP型ACL（基本ACL或高級ACL）中的所有規則：ip-group acl-number（2）單獨應用一個IP型ACL中的一條規則：ip-group acl-number rule rule-id例端口Ethernet 1/0/1上應用基本ACL 2000中的所有規則，對端口接收的數據包進行過濾。假設基本ACL 2000已經創建并且相關規則已經存在。<H3C&g

12、t; system-viewSystem View: return to User View with Ctrl+Z.H3C interface Ethernet 1/0/1H3C-Ethernet1/0/1 packet-filter inbound ip-group 2000H3C-Ethernet1/0/1 quit4.ACL包過濾信息顯示（1）顯示ACL的配置信息。display acl all | acl-number 視圖任意視圖需要注意的是，如果用戶在配置ACL的時候指定了match-order參數，則在使用display acl命令時，顯示的是交換機按照auto（深度優先）或c

13、onfig（配置順序）對ACL中的規則進行排序后的結果。例顯示基本ACL 2000的配置信息。<Sysname> display acl 2000Basic ACL  2000, 3 rules, match-order is autoThis acl is used in eth 1/0/1Acl's step is 1 rule 3 permit source  rule 2 permit source  rule 1 permit source display acl命令顯示信息描述表字段描述Basic ACL  20

14、00該ACL屬于基本ACL，序號為20003 rules該基本ACL包含3條規則Match-order is auto該基本ACL的匹配順序為“深度優先”，如果不顯示此字段，則表示匹配順序為config（配置順序）This acl is used in eth 1/0/1該基本ACL的描述信息Acl's step is 1該基本ACL的規則序號的步長值為1Rule 3 permit source 該基本ACL包含的規則的詳細信息5、顯示包過濾的應用信息display packet-filter interface  interface-type interface-numbe

15、r 視圖任意視圖參數l interface interface-type interface-number：端口類型和端口編號。l unitid unit-id：交換機的Unit ID。如果交換機沒有形成Fabric（交換機互連，構成一個“聯合設備”），則unit-id參數的取值只能為1，表示顯示當前交換機上所有端口的包過濾的應用信息；如果交換機已經形成Fabric，則unit-id參數的取值范圍為18，表示顯示指定Unit上所有端口的包過濾的應用信息。例 交換機沒有形成Fabric，顯示當前交換機所有端口上包過濾的應用信息。<Sysname> display packet-fil

16、ter unitid 1Ethernet1/0/1 Inbound: Acl 2000 rule 0  runningEthernet1/0/2 Outbound: Acl 2001 rule 0  not runningdisplay packet-filter命令顯示信息描述表字段描述Ethernet1/0/1應用包過濾的端口Inbound應用包過濾的方向，包含以下兩種：Inbound：表示入方向；Outbound：表示出方向Acl 2000 rule 0過濾規則為基本ACL 2000的0號規則Running規則的下發狀態，包含以

17、下兩種：running：表示激活；not running：表示沒有激活，通常是由于此規則引用的時間段不生效所致6、進入單一用戶界面視圖或多個用戶界面視圖user-interface type first-number last-number 視圖系統視圖參數l type：指用戶界面的類型，包括AUX用戶界面和VTY用戶界面。指定type參數時還應該給該類型中的用戶界面編號，當用戶界面類型為AUX時，取值為0；當用戶界面類型為VTY時，取值范圍為04。如果不指定type參數，則表示絕對用戶界面編號，取值范圍為05。l first-number：需要配置的第一個用戶界面。l last-number

18、：需要配置的最后一個用戶界面，取值必須大于first-number。例1從系統視圖進入VTY0用戶界面進行配置。H3C user-interface vty 0H3C-ui-vty0例2從系統視圖同時進入VTY0VTY3用戶界面進行配置。H3C user-interface vty 0 3H3C-ui-vty0-37、設置登錄用戶的認證方式。authentication-mode none | password | scheme 【視圖】用戶界面視圖【參數】none：不需要認證。password：進行口令認證。scheme：進行本地或遠端用戶名和口令認證。【例】在VTY用戶界面視圖下，設置通過

19、VTY0登錄交換機的Telnet用戶不需要進行認證。 H3C-ui-vty0 authentication-mode none8、設置從用戶界面登錄后可以訪問的命令級別。user privilege level level undo user privilege level 【視圖】用戶界面視圖【參數】level：從用戶界面登錄后可以訪問的命令級別，取值范圍為03。缺省情況下，從AUX用戶界面登錄后可以訪問的命令級別為3級，從VTY用戶界面登錄后可以訪問的命令級別為0級。命令級別共分為訪問、監控、系統、管理4個級別，分別對應標識0、1、2、3，說明如下：訪問級（0級）：用于網絡診斷等功能的命令

20、。包括ping、tracert、telnet等命令，執行該級別命令的結果不能被保存到配置文件中。監控級（1級）：用于系統維護、業務故障診斷等功能的命令。包括debugging、terminal等命令，執行該級別命令的結果不能被保存到配置文件中。系統級（2級）：用于業務配置的命令。包括路由等網絡層次的命令，用于向用戶提供網絡服務。管理級（3級）：關系到系統的基本運行、系統支撐模塊功能的命令，這些命令對業務提供支撐作用。包括文件系統、FTP、TFTP、XModem下載、用戶管理命令、級別設置命令等。【例】在VTY用戶界面視圖下，設置從VTY0用戶界面登錄后可以訪問的命令級別為1。 H3C-ui-v

21、ty0 user privilege level 1 9、配置用戶界面支持的協議。protocol inbound all | telnet 【視圖】VTY用戶界面視圖【參數】all：支持所有的協議。telnet：支持Telnet協議。【例】配置VTY0用戶界面只支持Telnet協議 . H3C-ui-vty0 protocol inbound telnet 10、設置本地認證的口令。set authentication password cipher | simple password undo set authentication password 【視圖】用戶界面視圖【參數】cipher

22、：設置本地認證口令以密文方式存儲。simple：設置本地認證口令以明文方式存儲password：口令字符串。如果驗證方式是simple，則password必須是明文口令。如果驗證方式是cipher，則用戶在設置password時有兩種方式：（1）一種是輸入小于等于16字符的明文口令，系統會自動轉化為24位的密文形式；（2）另一種是直接輸入24字符的密文口令，這種方式要求用戶必須知道其對應的明文形式。如：明文“123456”對應的密文是“OUM!K%F<+$Q=QMAF4<1!”。【實驗內容】實驗1 基本ACL實現一、實驗需求以三層交換機連接檔案室、經理辦公室以及網絡中心的設備為例，

23、在交換機上劃分VLAN3、VLAN4、VLAN5 三個VLAN，分別把Ethernet 1/0/1，Ethernet 1/0/2，Ethernet 1/0/3分配給3個VLAN，連接檔案室、經理辦公室以及網絡中心三個部門的PC。公司內部網絡地址是.0/16，檔案室獲得的網絡地址是，經理辦公室的網絡地址是，網絡中心的網絡地址是，實驗拓撲如圖5.9所示。配置基本ACL，實現檔案室的PC1只允許經理辦公室的PC2訪問，而不允許網絡中心的PC3訪問。二、拓撲圖三、實驗步驟 1、按拓撲圖連接好設備，IP地址規劃如下表： 設備名稱端口IP地址網關PC1（檔案室）Ethernet1/0/1.16/24.25

24、4/24PC2（經理辦公室）Ethernet1/0/2.16/24.254/24PC3（網絡中心）Ethernet1/0/3.16/24.254/24交換機SWAVLAN 3.254/24VLAN 4.254/24VLAN 5.254/242、完成三個VLAN之間的互通：創建VLAN 3，將端口Ethernet1/0/1加入到VLAN 3，并按IP地址規劃表配置VLAN3接口IP地址；創建VLAN 4，將端口Ethernet1/0/2加入到VLAN 4，并按IP地址規劃表配置VLAN4接口IP地址；創建VLAN 5，將端口Ethernet1/0/3加入到VLAN 5，并按IP地址規劃表配置VL

25、AN5接口IP地址。3、在交換機上定義基本ACL 2000，定義規則1禁止網絡中心訪問檔案室，定義規則2允許經理辦公室訪問檔案室。4、將ACL 2000應用于連接檔案室的Ethernet1/0/1出方向的包過濾。5、驗證ACL作用。在交換機上通過display來查看ACL包過濾信息。在PC2上使用Ping命令來測試從PC2到PC1的可達性。在PC3上使用Ping命令來測試從PC3到PC1的可達性。實驗2 高級ACL實現一、實驗需求除了網絡管理員，不允許普通用戶能telnet到網絡設備。基本ACL只能過濾特定源IP地址的數據包，如果要針對IP承載的協議特征進行訪問控制，則需要使用高級ACL。因此

26、，定義的高級ACL應包含兩條規則：檢查訪問網絡設備（交換機或路由器）的數據包，一條規則匹配網絡管理員PC的IP地址，他能夠進行telnet操作，動作是permit；另一條規則匹配其他部門IP地址，動作是deny。二、高級ACL的命令介紹1定義規則（1）指定要匹配的源IP地址、目的IP地址、IP承載的協議類型、協議端口號等信息。（2）指定動作是permit或deny。rule rule-id deny | permit protocol rule-string 刪除ACL規則或者規則中的某些屬性信息的命令：undo rule rule-id  destination | destina

27、tion-port | dscp | fragment | icmp-type | precedence | source | source-port | time-range | tos *視圖高級ACL視圖參數l rule-id：ACL規則編號，取值范圍為065534。l deny：表示丟棄符合條件的數據包。l permit：表示允許符合條件的數據包通過。l protocol：IP承載的協議類型。用數字表示時，取值范圍為1255；用名字表示時，可以選取gre（47）、icmp（1）、igmp（2）、ip、ipinip（4）、ospf（89）、tcp（6）、udp（17）。l rule-st

28、ring：ACL規則信息，主要有：（1）source sour-addr sour-wildcard | any ：sour-addr sour-wildcard用來確定數據包的源地址，點分十進制表示；any代表任意源地址。（2）destination dest-addr sour-wildcard | any ：dest-addr sour-wildcard指定規則的目的IP地址，點分十進制表示；any代表任意源地址。（3）precedence precedence：報文IP的優先級，用數字表示時，取值范圍為07。（4）dscp dscp：報文DSCP優先級，用數字表示時，取值范圍為063。（5）tos tos：報文ToS優先級，用數字表示時，取值范圍為015。（6）time-range time-name：指定規則生效的時間。當protocol協議類型選擇為TCP或者UDP時，