《路由器及路由协议基础配置-访问控制列表.ppt》由会员分享,可在线阅读,更多相关《路由器及路由协议基础配置-访问控制列表.ppt(44页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、路由器及路由协议基础配置路由器及路由协议基础配置访问控制列表访问控制列表计算机科学与工程学院计算机科学与工程学院实验中心实验中心 张翔张翔索引索引访问控制列表基础访问控制列表22023/1/17什么是访问控制列表什么是访问控制列表对于数据流控制的需求作为网络管理者,我们通常需要了解如何去控制非法的网络访问,而允许正常的网络访问。尽管已经存在有多种措施,比如如密码,复查设备(callback equipment)等等。但是,还需要更灵活的基本数据流过滤能力和特定的控制能力。例如,网络管理者可能需要允许用户访问Internet,但是却不允许外部的用户登录到局域网中。路由器提供的数据流过滤功能路由器
2、提供了基本的数据流过滤能力,比如说 使用“访问控制列表(ACL)”,通过ACL,我们可以有条件地阻止或发行Internet数据流。32023/1/17什么是访问控制列表什么是访问控制列表简单讲,访问控制列表ACL是运用到路由器端口的指令列表。这些指令告诉路由器接受哪些数据报文而拒绝哪些数据报文。接受或者拒绝根据一定的规则进行,如源地址,目标地址,端口号等。ACL使得用户能够检测特定的数据报文,从而实现数据流的管理。42023/1/17ACL的功能的功能ACL可以用于执行以下一些功能:限制网络数据流,增加网络性能。例如:通过使用ACL限制在线视频数据流,可以极大地减轻网络负载,提高网络性能。提供
3、数据流控制。例如:ACL可以限定或者减少路由更新的内容。如果这些更新在该网络条件下并不是必须的,那么通过对其进行流控可以很好的节约带宽,提高网络性能。为网络访问提供基本的安全保护。ACL可以允许某个主机访问网络的某一部分,而阻止另一台主机访问网络的这个部分。决定是否在路由器端口转发或者阻止指定类型的数据报文例如:ACL可以允许某一个特定网段的email数据流通过路由器进行转发,但是却出于安全的需要阻止所有的telnet数据流。52023/1/17路由器对路由器对ACL的执行的执行路由器将根据ACL中指定的条件,对经过路由器端口的数据报文逐一进行检查。通常ACL执行判断的标准基于源或者目的IP地
4、址,协议以及上层协议端口号。62023/1/17ACL在路由器上的应用在路由器上的应用One list,per port,per direction,per protocolACL应该根据路由器的端口所允许的每一个协议来制定。如果需要控制流经某个端口的所有数据流,就需要为该端口允许的每一个协议分别创建ACL。例如,如果一个端口配置成仅允许IP,AppleTalk和IPX协议的数据流进入,那么就需要创建至少三条ACL;如果该路由器需要在两个端口的进出两个方向上仅允许以上三个协议通过,那么则需要应用至少12条ACL。72023/1/17ACL如何工作?如何工作?ACL语句按照逻辑次序顺序执行,如果
5、与某个条件语句相匹配,分组就会根据规则被允许通过或被拒绝通过;一旦某一条语句匹配,则不会再检查后面的其他规则语句;如果所有的规则语句都不匹配,最后将强加一条拒绝全局流量的隐式语句。82023/1/17路由器如何执行选路与路由器如何执行选路与ACL功能?功能?无论是否使用ACL,路由器处理数据报文最初的过程是相同的。当一个数据报进入一个端口,路由器检查这个数据报是否可路由。如果是可以路由的,路由器检查这个端口是否有ACL应用。如果有,根据ACL中的条件指令,检查这个数据报文。如果数据报是被允许的,就查询路由表,决定数据报的目标端口。路由器检查目标端口是否存在ACL控制流出的数据报不存在,这个数据
6、报就直接发送到目标端口。如果存在,就再根据ACL进行取舍。92023/1/17路由器执行数据报文处理的路由器执行数据报文处理的流程图流程图102023/1/17创建与应用创建与应用ACL配置模式ACL需要在全局配置模式中创建;ACL类型Cisco路由器支持多种ACL类型,包括标准、扩展、IPX、AppleTalk等;配置ACL的时候需要为每一个协议的ACL指定一个唯一的数字,用以标识这个ACL。这个数字必须在有效范围之内(参看下图)112023/1/17创建与应用创建与应用ACL创建ACL的步骤Step1:在全局配置模式中使用access-list命令撰写ACL应用规则(仅针对使用数字定义AC
7、L的情况);请特特别注意注意创建建ACL的的顺序!序!因因为路由器在路由器在应用用ACL时是按照是按照顺序依次序依次检查执行的。行的。ACL顺序所表序所表现出的出的逻辑正确性关系到正确性关系到该ACL是否能正确是否能正确实现照管理照管理员的控制意的控制意图!Step2:在路由器端口配置子模式中使用access-group命令将写好的ACL应用到该指定端口;一一组ACL可以同可以同时应用到多个路由器端口,所有通用到多个路由器端口,所有通过这些端口的些端口的数据数据报文都必文都必须接受接受该组ACL的的检查。122023/1/17创建与应用创建与应用ACL创建于应用ACL示例132023/1/17
8、删除、修改删除、修改ACL修改ACL对于传统的使用数字编号定义的ACL,如果需要增加另外的语句或是语句需要改变,你就必须删掉该ACL,然后再重新建立一个带有新语句的ACL。一个好的办法是,使用PC上的文本编辑器创建或修改ACL,然后再通过简易文件传输协议(TFTP)或超级终端的发送文本文件将ACL传到路由器。删除ACL142023/1/17使用通配符掩码位使用通配符掩码位什么是通配符掩码?通配符掩码是一个32比特的数字字符串,它被用点号分成4个8位组,每个8位组包含8个比特;通配符掩码跟IP地址是成对出现的,在通配符掩码的地址位使用1或0表明如何处理相应的IP地址位,其中0表示“检查相应的位”
9、,而1表示“不检查相应的位”;ACL使用通配符掩码来标志一个或多个地址是被允许,还是被拒绝。术语“Wildcard”是“ACL掩码位匹配过程”的绰号,它是从纸牌游戏中引伸过来的一个比喻。152023/1/17使用通配符掩码位使用通配符掩码位通配符掩码与子网掩码尽管都是32比特的数字字符串,ACL通配符掩码跟IP子网掩码的在功能上毫不相干,它们用于不同的目的,并且遵循不同的应用规则;在IP子网掩码中数字1和0用来决定是网络、子网还是相应的主机IP地址;而在ACL通配符掩码中,掩码位是1还是0,用来决定相应的IP地址被忽略,还是被检查。162023/1/17使用通配符掩码位使用通配符掩码位如何匹配
10、所有的IP地址?使用通配符掩码255.255.255.255,代表忽略所有IP地址位;可以使用ANY代替该特殊通配符掩码。172023/1/17使用通配符掩码位使用通配符掩码位如何匹配单个IP地址?使用通配符掩码0.0.0.0,代表IP地址位都需要检查;可以使用HOST代替该特殊通配符掩码。182023/1/17使用通配符掩码位使用通配符掩码位如何匹配特定IP子网?192023/1/17qAddress and wildcard mask:172.30.16.0 0.0.15.255检查检查ACL配置配置使用show命令检查ACL配置show ip interface显示示该接口的接口的IP信
11、息以及在信息以及在该接口上是否有接口上是否有ACL应用,用,如果有,如果有,可以看可以看见ACL名称和名称和应用在接口上的的方向;用在接口上的的方向;show access-lists 查看当前看当前设备上配置的所有上配置的所有ACL;show running-config查看所有配置的看所有配置的ACL的的详细信息;信息;202023/1/17检查检查ACL配置配置show ip interface212023/1/17检查检查ACL配置配置show access-list222023/1/17检查检查ACL配置配置show running-config232023/1/17索引索引访问控制
12、列表基础访问控制列表242023/1/17标准访问控制列表标准访问控制列表什么是标准访问控制列表?标准访问控制列表仅检查可以路由的IP分组的源地址并且把它与ACL中的条件判断语句相比较;标准访问控制列表可以允许或禁止整套IP协议;标准ACL的数字定义为1到99,可以提供数据流过滤控制,基于源地址和通配掩码;标准ACL通常应用于靠近目的端的路由器端口。252023/1/17标准访问控制列表标准访问控制列表标准访问控制列表命令的详细语法Router(config)#access-list access-list-number deny|permit source source-wildcard l
13、ogRouter(config)#no access-list access-list-number作业:262023/1/17标准访问控制列表应用示例标准访问控制列表应用示例1E0和E1端口只允许来自于网络172.16.0.0的数据报被转发,其余的将被阻止。272023/1/17标准访问控制列表应用示例标准访问控制列表应用示例2E0端口不允许来自于特定地址172.16.4.13的数据流,其它的数据流将被转发。282023/1/17标准访问控制列表应用示例标准访问控制列表应用示例3E0端口不允许来自于特定子网172.16.4.0的数据,而允许其他数据通过。292023/1/17扩展访问控制列表
14、扩展访问控制列表什么是扩展访问控制列表?扩展访问控制列表,即Extended ACL,提供了比Standard ACL更大范围的控制,因而运用更广。例如,可以使用扩展ACL来实现允许Web数据流通过,而禁止FTP或Telnet通过;扩展ACL既可检查分组的源地址和目的地址,也检查协议类型和TCP或UDP的端口号;扩展ACL的数字定义为100到199;扩展ACL通常应用部署在靠近源端的路由器端口上。302023/1/17扩展访问控制列表扩展访问控制列表扩展访问控制列表命令的详细语法312023/1/17扩展访问控制列表应用示例扩展访问控制列表应用示例1在E0端口,禁止转出来自172.16.4.0
15、子网的FTP数据流到172.16.3.0子网,其它的数据流将被转发。322023/1/17扩展访问控制列表应用示例扩展访问控制列表应用示例2在E0端口,禁止转出来自172.16.4.0子网的 Telnet 数据流,其它的数据流将被转发。332023/1/17命名访问控制列表命名访问控制列表命名访问控制列表Cisco IOS软件11.2版本中引入了IP命名访问控制列表;命名ACL允许在标准ACL和扩展ACL中,使用字符代替数字来标识ACL;使用命名ACL有以下好处:通过一个字符串组成的名字可以更加直观的表示特定的访问控制列表;命名ACL不受99条标准ACL和100条扩展ACL的限制;命令ACL可
16、以使得网络管理员方便的对ACL进行修改而无需删除ACL之后再对其进行重新配置。342023/1/17命名访问控制列表命名访问控制列表创建命名ACL我们使用ip access-list命令建命名ACL,语法格式如下:ip access-list extended|standard namePermit/Deny语句的语法格式:352023/1/17命名访问控制列表命名访问控制列表命名访问控制列表创建及应用示例362023/1/17命名访问控制列表命名访问控制列表命名访问控制列表修改示例372023/1/17命名访问控制列表命名访问控制列表命名访问控制列表修改示例续1382023/1/17命名访问
17、控制列表命名访问控制列表命名访问控制列表修改示例续2392023/1/17命名访问控制列表命名访问控制列表命名访问控制列表修改示例续3402023/1/17放置放置ACL在什么地方放置ACL?ACL可以用于控制数据流,通过适当的选择ACL放置的位置,可以减少不必要的数据流;如在远离目的端而靠近源端的地方禁止某些数据流,可以减少这些数据流消耗的用于试图达目的端的网络资源。简单讲,当ACL被放置在正确的地方时,它不仅可以过滤通信流量,而且可以使整个网络更有效的运作;412023/1/17放置放置ACL放置ACL的一般原则尽可能把扩展ACL放置在距离要被拒绝的通信流量最近的地方,通常是靠近源端的路由
18、器端口上;标准ACL由于不能指定目的地址,所以它们应该尽可能放置在距离目的地最近的地方。ACL的防火墙应用防火墙路由器通常位于内部网和外部网之间,提供了一个隔离点,使得内部网结构不会受外部网影响;可以考虑在防火墙路由器上使用ACL,以控制流入和流出内部网某个特定部分的数据流;为了使用ACL的安全特性,至少需要在边界路由器上配置ACL,这样可以提供基本的安全性。422023/1/17限制虚拟终端访问路由器限制虚拟终端访问路由器432023/1/17小结小结本章学习了以下知识点:两种主要的ACL类型:标准ACL和扩展ACL;命名ACL允许用名字代替数字,并与数字的ACL具有相同的用途;ACL可以针对所有的被路由网络协议进行配置;ACL的通畅应用部署方式和部署地点选择;ACL也可以用于限制虚拟终端访问路由器;ACL用于控制和管理通信流量;对于某些协议,可以在同一个接口上应用两个ACL,一个是流入方向的ACL,另一个是流出方向的ACL;通配符掩码位通过使用数字1和0来知识如何处理相应的IP地址位;442023/1/17