ACL網絡訪問控制項目六教學目標知識內容與要求了解訪問控制的基本原理；掌握訪問控制列表的基本概念和作用;掌握訪問控制列表的分類和工作原理；掌握訪問控制列表使用的基本規則；掌握標準訪問控制列表與擴展訪問控制列表的配置。技能目標與要求能夠熟練進行ACL配置；能夠運用ACL解決實際問題；能夠使用基于時間段的訪問控制列表進行訪問控制。項目描述與分析項目背景

某重點中學的校園網絡拓撲結構圖如圖所示。校園網建成后，滿足了校區師生對信息化的需求，實現了校園網絡資源的共享。但由于在建設初期僅僅實現了互聯互通，沒有對網絡進行安全加固，給網絡的使用和維護帶來了很多問題。例如，行政辦公子網被學生經常訪問，有部分學生登錄到教務管理系統，也有學生在上課期間登錄媒體服務器影響正常學習。為了保證校園網的安全，必須對校園網重新進行一系列的規劃，希望能夠達到以下功能：1）禁止學生子網訪問行政子網和教學子網；2）禁止學生子網訪問財務系統和教務管理系統；3）禁止學生子網在上課時間訪問媒體服務器；4）教務管理系統僅允許教學管理人員和教師子網訪問；5）財務系統僅允許行政子網訪問。

網絡拓撲設計與分析三層交換機三層交換機目錄基礎知識：ACL原理及應用要增強網絡安全性，網絡設備需要具備控制某些訪問或某些數據的能力。包過濾技術是一種被廣泛使用的網絡安全技術。它使用ACL來（訪問控制列表）實現數據識別，并決定是轉發還是丟棄這些數據包。由ACL定義的報文匹配規則，還可以被其它需要對數據進行區分的場合引用。引入IP包過濾技術介紹

對路由器需要轉發的數據包，先獲取包頭信息，然后和設定的規則進行比較，根據比較的結果對數據包進行轉發或者丟棄。而實現包過濾的核心技術是訪問控制列表。Internet公司總部內部網絡未授權用戶辦事處Internet訪問控制列表簡稱為ACL（AccessControlList），它是對數據包進行管理和限制的方法。什么是訪問控制列表?哪些場合需要使用ACL？允許或禁止對路由器或來自路由器的某些訪問QOS與隊列技術策略路由數據速率限制端口流鏡像NAT……ACL的使用場合目的IP地址源IP地址協議號目的端口段(如TCP報頭)數據數據包(IP報頭)幀報頭(如HDLC)使用ACL檢測數據包拒絕允許ACL的判別依據－五元組源端口

標準ACL

僅以源IP地址作為過濾標準只能粗略的限制某一大類協議擴展ACL以源IP地址、目的IP地址、源端口號、目的端口號、協議號作為過濾標準，可以精確的限制到某一種具體的協議

Inbound或Outbound基于時間的ACL

在標準和擴展ACL基礎上加上時間限制。ACL的分類數據包出接口數據包入接口

ACL處理過程允許?源地址、目的地址協議標準ACL標準訪問控制列表只根據報文的源IP地址信息制定規則接口接口從/24來的數據包不能通過從/28來的數據包可以通過DA=SA=DA=SA=分組分組擴展ACL擴展訪問控制列表根據報文的源IP地址、目的IP地址、IP承載的協議類型、協議特性等三、四層信息制定規則接口接口從/24來，到的TCP端口80去的數據包不能通過從/24來，到的TCP端口23去的數據包可以通過DA=,SA=TCP,DP=80,SP=2032DA=,SA=TCP,DP=23,SP=3176分組分組ACL具有方向性在路由器中使用訪問控制列表時，訪問控制列表是部署在路由器的某個接口的某個方向上。因此，對于路由器來說存在入口方向（Inbound）和出口方向（Outbound）兩個方向。否是丟棄處理選擇出接口

否ACL?路由表?數據包出接口ACL如何工作數據包入接口通信工程系《交換與路由技術》精品課程數據包出接口否是丟棄處理選擇接口

路由表?否ACL匹配控制允許?是ACL如何工作ACL?是數據包入接口數據包出接口否是丟棄處理選擇接口

路由表?否ACL匹配控制允許?是ACL如何工作ACL?是數據包入接口否ACL的匹配順序ACL內部處理具體過程：丟棄處理是目的接口拒絕拒絕是匹配第一條規則?允許ACL的匹配順序ACL內部處理具體過程：丟棄處理是目的接口是匹配第一條規則?否下一條?是是拒絕拒絕拒絕允許允許ACL的匹配順序ACL內部處理具體過程：丟棄處理是目的接口是匹配第一條規則?否匹配下一條?匹配最后一條?是是否是是拒絕拒絕拒絕拒絕允許允許允許ACL的匹配順序ACL內部處理具體過程：丟棄處理是目的接口是匹配第一條規則?否匹配下一條?匹配最后一條?是是否是是**說明：當ACL的最后一條不匹配時，系統使用隱含的“丟棄全部”進行處理！拒絕拒絕拒絕拒絕允許允許允許否ACL的使用位置對于標準ACL，由于它只能過濾源IP。為了不影響源主機的通信，一般我們將標準ACL放在離目的端比較近的地方。擴展ACL可以精確的定位某一類的數據流。為了不讓無用的流量占據網絡帶寬，一般我們將擴展ACL放在離源端比較近的地方。ACL的規則總結按照由上到下的順序執行，找到第一個匹配后既執行相應的操作（然后跳出ACL）每條ACL的末尾隱含一條denyany

的規則ACL可應用于某個具體的IP接口的出方向或入方向在引用ACL之前，要首先創建好ACL目錄ALC配置步驟1：創建ACL列表2：設置ACL規則ACL配置步驟3：將ACL應用到接口上目錄標準訪問控制列表配置標準訪問控制列表標準訪問控制列表：根據數據包的源IP地址來允許或拒絕數據包；訪問控制列表號從1到99。標準訪問控制列表標準訪問控制列表只使用源地址進行過濾，表明是允許還是拒絕從/24來的數據包可以通過！從/24來的數據包不能通過！路由器如果在訪問控制列表中有的話應用條件拒絕允許更多條目？列表中的下一個條目否

有訪問控制列表嗎？源地址不匹配是匹配是否Icmp消息轉發數據包標準訪問控制列表標準訪問控制列表的配置第一步，使用access-list命令創建訪問控制列表第二步，使用ipaccess-group命令把訪問控制列表應用到某接口Router(config)#access-listaccess-list-number{permit|deny}source[source-wildcard][log]Router(config-if)#ipaccess-groupaccess-list-number{in|out}第三步，測試1．顯示所有或指定表號的ACL的內容Showaccess-lists[acl-number]/name<acl-name>]2．查看某物理端口是否應用了ACLshowipinterface任務一：標準ACL應用1（允許特定源的流量）Fa0/0Fa1/0S0loopback3PC1PC2接口ip地址Router(config)#inteloopback0Router(config-if)#ipaddrRouter(config-if)#noshutRouter(config)#intefa0/0Router(config-if)#ipaddrRouter(config-if)#noshutRouter(config)#intefa1/0Router(config-if)#ipaddrRouter(config-if)#noshut標準ACL應用（允許特定源的流量）第一步，創建允許來自的流量的ACL第二步，應用到接口fa0/0和fa1/0的出方向上Router(config)#access-list1permit55Router(config)#interfacefastethernet0/0Router(config-if)#ipaccess-group1outRouter(config)#interfacefastethernet1/0Router(config-if)#ipaccess-group1out測試在路由器上ping兩臺PC機。PingPing均能ping通注意取消訪問控制列表的應用，兩個步驟首先取消其應用在某個端口，如：noipaccess-group1out其次，還可以刪除訪問控制列表，如access-list1可用命令Showaccess-lists\showipinterface進行驗證配置的正確性任務二：標準ACL應用（拒絕特定主機的通信流量）Fa0/0Fa1/0S0loopback3PC1PC2標準ACL應用：拒絕特定主機的通信流量第一步，創建拒絕來自3的流量的ACL第二步，應用到接口fa1/0的入方向Router(config)#access-list1denyhost3Router(config)#access-list1permit55Router(config)#interfacefastethernet1/0Router(config-if)#ipaccess-group1inany測試在PC2上測試PC1與FA0/0端口不通任務三：標準ACL應用（拒絕特定子網的流量）Fa0/0Fa1/0S0loopback3PC1PC2標準ACL應用：拒絕特定子網的流量第一步，創建拒絕來自子網的流量的ACL第二步，應用到接口fa0/0的出方向Router(config)#access-list1deny55Router(config)#access—list1permitanyRouter(config)#interfacefastethernet0/0Router（config-if）#ipaccess-group1out55測試在pc2上pingfa0/0,pc1能ping通fa0/0,不能ping通pc1，為什么？在pc1上pingfa1/0,pc2能ping通fa1/0,不能ping通pc2，為什么？目錄擴展訪問控制列表的配置擴展訪問控制列表的配置第一步，使用access-list命令創建擴展訪問控制列表Router(config)#access-listaccess-list-number{permit|deny}protocol[sourcesource-wildcarddestinationdestination-wildcard][operatorport][established][log]擴展訪問控制列表操作符的含義操作符及語法意義eqportnumber等于端口號portnumbergtportnumber大于端口號portnumberltportnumber小于端口號portnumberneqportnumber不等于端口號portnumber擴展訪問控制列表的配置擴展訪問控制列表的配置第二步，使用ipaccess-group命令將擴展訪問控制列表應用到某接口Router（config-if）#ipaccess-groupaccess-list-number{in|out}任務一：擴展標準ACL應用（拒絕特定源、目的子網的ftp流量）Fa0/0Fa1/0S0loopback3PC1PC2擴展ACL應用1：拒絕ftp流量通過E0第一步，創建拒絕來自、去往、ftp流量的ACL第二步，應用到接口fa0/0的出方向Router(config)#access-list101denytcp5555eq21Router(config)#access-list101permitipanyanyRouter(config)#interfacefastthernet0/0Router（config-if）#ipaccess-group101out擴展ACL應用2：拒絕telnet流量通過E0第一步，創建拒絕來自、去往、telnet流量的ACL第二步，應用到接口fa0/0的出方向上Router(config)#access-list101denytcp5555eq23Router(config)#access-list101permitipanyanyRouter(config)#interfacefastethernet0/0Router（config-if）#ipaccess-group101out思考：如何測試？？？思考：架設ftp服務器，在PC機上，執行命令：FTP服務器IP地址即可。命名的訪問控制列表標準ACL和擴展ACL中可以使用一個字母數字組合的字符串（名字）代替來表示ACL的表號命名IP訪問列表允許從指定的訪問列表刪除單個條目如果添加一個條目到列表中，那么該條目被添加到列表末尾不能以同一個名字命名多個ACL在命名的訪問控制列表下，permit和deny命令的語法格式與前述有所不同命名的訪問控制列表第一步，創建名為cisco的命名訪問控制列表第二步，指定一個或多個permit及deny條件第三步，應用到接口E0的出方向Router（config）#interfacefastethernet0/0Router（config-if）#ipaccess-groupciscooutRouter(config)#ipaccess-listextendedciscoRouter（config-ext-nacl）#denytcp5555eq23Router（config-ext-nacl）#permitipanyany查看訪問控制列表Router#showipinterfacefastethernet0/0FastEthernet0/0isup,lineprotocolisupInternetaddressis/24Broadcastaddressis55AddressdeterminedbysetupcommandMTUis1500bytesHelperaddressisnotsetDirectedbroadcastforwardingisdisabledOutgoingaccesslistisciscoInboundaccesslistisnotsetProxyARPisenabledLocalProxyARPisdisabledSecuritylevelisdefaultSplithorizonisenabledICMPredirectsarealwayssentICMPunreachablesarealwayssentICMPmaskrepliesareneversentIPfastswitchingisenabledIPfastswitchingonthesameinterfaceisdisabled……查看訪問控制列表Router#showaccess-listExtendedIPaccesslistcisco10denytcp5555eqtelnet20permitipanyanyZXR10(config)#aclstandard{number<acl-number>|name<acl-name>}ZXR10(config-std-acl)#rule<1-100>{permit|deny}{<source>[<source-wildcard>]|any}[time-range<timerange-name>]ZXR10(config)#IP標準ACL使用列表號1至99缺省通配符為“noaclstandardnumber<acl-number>”刪除整個ACL在接口上應用ACL設置進入或外出方向“noipaccess-groupacl-number”

去掉接口上的ACL設置ZXR10(config-if)#ipaccess-groupacl-number

{in|out}配置標準ACL（中興）3S0Fei_1/1非網段只允許兩邊的網絡互相訪問aclstandardnumber1rule1

permit

55(rule1deny55)－－隱含拒絕全部aclstandardnumber2rule1

permit

55interfaceFei_1/2ipaccess-group1outinterfaceFei_1/1ipaccess-group2outFei_1/2標準ACL配置示例1（中興）aclstandardnumber1rule1deny3rule2

permitany(access-list1deny55)－－隱含拒絕全部interfacefei_1/2ipaccess-group1outS0拒絕特定主機3對網段的訪問非網段Fei_1/1Fei_1/2標準ACL配置示例2（中興）3拒絕特定子網對網段的訪問3S0非網段aclstandardnumber1rule

1deny55rule2permitany(access-list1deny55)別忘了系統還有隱含的這條規則！interfacefei_1/2ipaccess-group1outFei_1/1Fei_1/2標準ACL配置示例3（中興）擴展ACL的配置（中興）ZXR10(config)#設置擴展ACLZXR10(config)#aclextend{number<acl-number>|name<acl-name>}ZXR10(config-ext-acl)#rule<rule-no>{permit|deny}<protocol>{<source><source-wildcard>|any}[<rule><port>]{<dest><dest-wildcard>|any}[<rule><port>][<icmp-type>[icmp-code<icmp-code>]]ZXR10(config)#ipaccess-groupacl-number{in|out}應用到接口說明：1）<protocol>可以是關鍵字icmp，ip，tcp，udp之一，或者代表IP協議號的從0到254的一個整數；2）<rule>表示端口操作符，可以是le（小于等于）、ge（大于等于）、eq（等于）之一，端口操作符只對TCP和UDP協議有效；aclextendnumber101rule1denytcp5555eq21rule2denytcp5555eq20rule3

permitipanyany

interfacefei_2/1ipaccess-group101out拒絕從子網

到子網

通過fei_2/1口出去的FTP訪問允許其他所有流量擴展ACL的配置實例1（中興）3S0非網段Fei_1/1Fei_2/1aclextendnumber101rule1denytcp55anyeq23rule2permitipanyanyinterfacefei_2/1ipaccess-group101out擴展ACL的配置實例2（中興）3S0僅拒絕從子網

通過fei_2/1口外出的Telnet允許其他所有流量非網段Fei_1/1Fei_2/1基于時間的ACL配置（中興）（1）創建time-range列表（2）設置時間段1）配置絕對時間段，2）配置相對時間段ZXR10(config)#time-rangeenableZXR10(config)#time-range<time-range-name>ZXR10(config-tr)#absolute[start<time-date>][end<time-date>]ZXR10(config-tr)#periodic<days-of-weekhh:mm:ss>to[days-of-week]<hh:mm:ss>

說明：days-of-week表示一周中的特定的某天或某些天?？梢詾镸onday、Tuesday、Wedensday、Thursday、Friday、Saturday、Sunday，還可以是daily,weekend（周六、周日）,weekdays（周一至周五）；基于時間的ACL配置（中興）（3）在標準和擴展ACL中應用時間段ZXR10(config-std-acl)#rule<rule-no>{permit|deny}{<source>[<source-wildcard>]|any}[time-range<timerange-name>]ZXR10(config-ext-acl)