《路由器及路由協(xié)議基礎(chǔ)配置-訪問(wèn)控制列表》由會(huì)員分享，可在線閱讀，更多相關(guān)《路由器及路由協(xié)議基礎(chǔ)配置-訪問(wèn)控制列表（44頁(yè)珍藏版）》請(qǐng)?jiān)谘b配圖網(wǎng)上搜索。

1、單擊此處編輯母版標(biāo)題樣式,單擊此處編輯母版文本樣式,第二級(jí),第三級(jí),第四級(jí),第五級(jí),*,路由器及路由協(xié)議基礎(chǔ)配置訪問(wèn)控制列表,計(jì)算機(jī)科學(xué)與工程學(xué)院,實(shí)驗(yàn)中心 張翔,索引,訪問(wèn)控制列表基礎(chǔ),訪問(wèn)控制列表,2,2024/11/28,什么是訪問(wèn)控制列表,對(duì)于數(shù)據(jù)流控制的需求,作為網(wǎng)絡(luò)管理者，我們通常需要了解如何去控制非法的網(wǎng)絡(luò)訪問(wèn)，而允許正常的網(wǎng)絡(luò)訪問(wèn)。盡管已經(jīng)存在有多種措施，比如如密碼，復(fù)查設(shè)備（,callback equipment,）等等。,但是，還需要更靈活的基本數(shù)據(jù)流過(guò)濾能力和特定的控制能力。例如，網(wǎng)絡(luò)管理者可能需要允許用戶(hù)訪問(wèn),Internet,，但是卻不允許外部的用戶(hù)登錄到局域網(wǎng)中。,

2、路由器提供的數(shù)據(jù)流過(guò)濾功能,路由器提供了基本的數(shù)據(jù)流過(guò)濾能力，比如說(shuō) 使用“訪問(wèn)控制列表（,ACL,）”，通過(guò),ACL,，我們可以有條件地阻止或發(fā)行,Internet,數(shù)據(jù)流。,3,2024/11/28,什么是訪問(wèn)控制列表,簡(jiǎn)單講，訪問(wèn)控制列表,ACL,是運(yùn)用到路由器端口的指令列表。這些指令告訴路由器接受哪些數(shù)據(jù)報(bào)文而拒絕哪些數(shù)據(jù)報(bào)文。,接受或者拒絕根據(jù)一定的規(guī)則進(jìn)行，如源地址，目標(biāo)地址，端口號(hào)等。,ACL,使得用戶(hù)能夠檢測(cè)特定的數(shù)據(jù)報(bào)文，從而實(shí)現(xiàn)數(shù)據(jù)流的管理。,4,2024/11/28,ACL,的功能,ACL,可以用于執(zhí)行以下一些功能：,限制網(wǎng)絡(luò)數(shù)據(jù)流，增加網(wǎng)絡(luò)性能。,例如：通過(guò)使用,ACL

3、,限制在線視頻數(shù)據(jù)流，可以極大地減輕網(wǎng)絡(luò)負(fù)載，提高網(wǎng)絡(luò)性能。,提供數(shù)據(jù)流控制。,例如：,ACL,可以限定或者減少路由更新的內(nèi)容。如果這些更新在該網(wǎng)絡(luò)條件下并不是必須的，那么通過(guò)對(duì)其進(jìn)行流控可以很好的節(jié)約帶寬，提高網(wǎng)絡(luò)性能。,為網(wǎng)絡(luò)訪問(wèn)提供基本的安全保護(hù)。,ACL,可以允許某個(gè)主機(jī)訪問(wèn)網(wǎng)絡(luò)的某一部分，而阻止另一臺(tái)主機(jī)訪問(wèn)網(wǎng)絡(luò)的這個(gè)部分。,決定是否在路由器端口轉(zhuǎn)發(fā)或者阻止指定類(lèi)型的數(shù)據(jù)報(bào)文,例如：,ACL,可以允許某一個(gè)特定網(wǎng)段的,email,數(shù)據(jù)流通過(guò)路由器進(jìn)行轉(zhuǎn)發(fā)，但是卻出于安全的需要阻止所有的,telnet,數(shù)據(jù)流。,5,2024/11/28,路由器對(duì),ACL,的執(zhí)行,路由器將根據(jù),ACL,

4、中指定的條件，對(duì)經(jīng)過(guò)路由器端口的數(shù)據(jù)報(bào)文逐一進(jìn)行檢查。通常,ACL,執(zhí)行判斷的標(biāo)準(zhǔn)基于源或者目的,IP,地址，協(xié)議以及上層協(xié)議端口號(hào)。,6,2024/11/28,ACL,在路由器上的應(yīng)用,One list,per port,per direction,per protocol,ACL,應(yīng)該根據(jù)路由器的端口所允許的每一個(gè)協(xié)議來(lái)制定。如果需要控制流經(jīng)某個(gè)端口的所有數(shù)據(jù)流，就需要為該端口允許的每一個(gè)協(xié)議分別創(chuàng)建,ACL,。,例如，如果一個(gè)端口配置成僅允許,IP,，,AppleTalk,和,IPX,協(xié)議的數(shù)據(jù)流進(jìn)入，那么就需要?jiǎng)?chuàng)建至少三條,ACL,；如果該路由器需要在兩個(gè)端口的進(jìn)出兩個(gè)方向上僅允許以上

5、三個(gè)協(xié)議通過(guò)，那么則需要應(yīng)用至少,12,條,ACL,。,7,2024/11/28,ACL,如何工作？,ACL,語(yǔ)句按照邏輯次序順序執(zhí)行，如果與某個(gè)條件語(yǔ)句相匹配，分組就會(huì)根據(jù)規(guī)則被允許通過(guò)或被拒絕通過(guò)；,一旦某一條語(yǔ)句匹配，則不會(huì)再檢查后面的其他規(guī)則語(yǔ)句；,如果所有的規(guī)則語(yǔ)句都不匹配，最后將強(qiáng)加一條拒絕全局流量的隱式語(yǔ)句。,8,2024/11/28,路由器如何執(zhí)行選路與,ACL,功能？,無(wú)論是否使用,ACL,，路由器處理數(shù)據(jù)報(bào)文最初的過(guò)程是相同的。,當(dāng)一個(gè)數(shù)據(jù)報(bào)進(jìn)入一個(gè)端口，路由器檢查這個(gè)數(shù)據(jù)報(bào)是否可路由。,如果是可以路由的，路由器檢查這個(gè)端口是否有,ACL,應(yīng)用。,如果有，根據(jù),ACL,中的

6、條件指令，檢查這個(gè)數(shù)據(jù)報(bào)文。,如果數(shù)據(jù)報(bào)是被允許的，就查詢(xún)路由表，決定數(shù)據(jù)報(bào)的目標(biāo)端口。,路由器檢查目標(biāo)端口是否存在,ACL,控制流出的數(shù)據(jù)報(bào),不存在，這個(gè)數(shù)據(jù)報(bào)就直接發(fā)送到目標(biāo)端口。,如果存在，就再根據(jù),ACL,進(jìn)行取舍。,9,2024/11/28,路由器執(zhí)行數(shù)據(jù)報(bào)文處理的流程圖,10,2024/11/28,創(chuàng)建與應(yīng)用,ACL,配置模式,ACL,需要在全局配置模式中創(chuàng)建；,ACL,類(lèi)型,Cisco,路由器支持多種,ACL,類(lèi)型，包括標(biāo)準(zhǔn)、擴(kuò)展、,IPX,、,AppleTalk,等；,配置,ACL,的時(shí)候需要為每一個(gè)協(xié)議的,ACL,指定一個(gè)唯一的數(shù)字，用以標(biāo)識(shí)這個(gè),ACL,。這個(gè)數(shù)字必須在有效

7、范圍之內(nèi)（參看下圖）,11,2024/11/28,創(chuàng)建與應(yīng)用,ACL,創(chuàng)建,ACL,的步驟,Step1,：在全局配置模式中使用,access-list,命令撰寫(xiě),ACL,應(yīng)用規(guī)則（僅針對(duì)使用數(shù)字定義,ACL,的情況）；,請(qǐng)?zhí)貏e注意創(chuàng)建,ACL,的順序！因?yàn)槁酚善髟趹?yīng)用,ACL,時(shí)是按照順序依次檢查執(zhí)行的。,ACL,順序所表現(xiàn)出的邏輯正確性關(guān)系到該,ACL,是否能正確實(shí)現(xiàn)照管理員的控制意圖！,Step2,：在路由器端口配置子模式中使用,access-group,命令將寫(xiě)好的,ACL,應(yīng)用到該指定端口；,一組,ACL,可以同時(shí)應(yīng)用到多個(gè)路由器端口，所有通過(guò)這些端口的數(shù)據(jù)報(bào)文都必須接受該組,ACL,

8、的檢查。,12,2024/11/28,創(chuàng)建與應(yīng)用,ACL,創(chuàng)建于應(yīng)用,ACL,示例,13,2024/11/28,刪除、修改,ACL,修改,ACL,對(duì)于傳統(tǒng)的使用數(shù)字編號(hào)定義的,ACL,，如果需要增加另外的語(yǔ)句或是語(yǔ)句需要改變，你就必須刪掉該,ACL,，然后再重新建立一個(gè)帶有新語(yǔ)句的,ACL,。,一個(gè)好的辦法是，使用,PC,上的文本編輯器創(chuàng)建或修改,ACL,，然后再通過(guò)簡(jiǎn)易文件傳輸協(xié)議,(TFTP),或超級(jí)終端的發(fā)送文本文件將,ACL,傳到路由器。,刪除,ACL,14,2024/11/28,使用通配符掩碼位,什么是通配符掩碼？,通配符掩碼是一個(gè),32,比特的數(shù)字字符串，它被用點(diǎn)號(hào)分成,4,個(gè),8

9、,位組，每個(gè),8,位組包含,8,個(gè)比特；,通配符掩碼跟,IP,地址是成對(duì)出現(xiàn)的，在通配符掩碼的地址位使用,1,或,0,表明如何處理相應(yīng)的,IP,地址位，其中,0,表示“檢查相應(yīng)的位”，而,1,表示“不檢查相應(yīng)的位”；,ACL,使用通配符掩碼來(lái)標(biāo)志一個(gè)或多個(gè)地址是被允許，還是被拒絕。術(shù)語(yǔ)“,Wildcard”,是“,ACL,掩碼位匹配過(guò)程”的綽號(hào)，它是從紙牌游戲中引伸過(guò)來(lái)的一個(gè)比喻。,15,2024/11/28,使用通配符掩碼位,通配符掩碼與子網(wǎng)掩碼,盡管都是,32,比特的數(shù)字字符串，,ACL,通配符掩碼跟,IP,子網(wǎng)掩碼的在功能上毫不相干，它們用于不同的目的，并且遵循不同的應(yīng)用規(guī)則；,在,IP

10、,子網(wǎng)掩碼中數(shù)字,1,和,0,用來(lái)決定是網(wǎng)絡(luò)、子網(wǎng)還是相應(yīng)的主機(jī),IP,地址；,而在,ACL,通配符掩碼中，掩碼位是,1,還是,0,，用來(lái)決定相應(yīng)的,IP,地址被忽略，還是被檢查。,16,2024/11/28,使用通配符掩碼位,如何匹配所有的,IP,地址？,使用通配符掩碼,255.255.255.255,，代表忽略所有,IP,地址位；,可以使用,ANY,代替該特殊通配符掩碼。,17,2024/11/28,使用通配符掩碼位,如何匹配單個(gè),IP,地址？,使用通配符掩碼,0.0.0.0,，代表,IP,地址位都需要檢查；,可以使用,HOST,代替該特殊通配符掩碼。,18,2024/11/28,使用通配

11、符掩碼位,如何匹配特定,IP,子網(wǎng)？,19,2024/11/28,Address and wildcard mask:,172.30.16.0 0.0.15.255,檢查,ACL,配置,使用,show,命令檢查,ACL,配置,show ip interface,顯示該接口的,IP,信息以及在該接口上是否有,ACL,應(yīng)用，如果有，可以看見(jiàn),ACL,名稱(chēng)和應(yīng)用在接口上的的方向；,show access-lists,查看當(dāng)前設(shè)備上配置的所有,ACL,；,show running-config,查看所有配置的,ACL,的詳細(xì)信息；,20,2024/11/28,檢查,ACL,配置,show ip int

12、erface,21,2024/11/28,檢查,ACL,配置,show access-list,22,2024/11/28,檢查,ACL,配置,show running-config,23,2024/11/28,索引,訪問(wèn)控制列表基礎(chǔ),訪問(wèn)控制列表,24,2024/11/28,標(biāo)準(zhǔn)訪問(wèn)控制列表,什么是標(biāo)準(zhǔn)訪問(wèn)控制列表？,標(biāo)準(zhǔn)訪問(wèn)控制列表僅檢查可以路由的,IP,分組的,源地址,并且把它與,ACL,中的條件判斷語(yǔ)句相比較；,標(biāo)準(zhǔn)訪問(wèn)控制列表可以允許或禁止整套,IP,協(xié)議；,標(biāo)準(zhǔn),ACL,的數(shù)字定義為,1,到,99,，可以提供數(shù)據(jù)流過(guò)濾控制，基于源地址和通配掩碼；,標(biāo)準(zhǔn),ACL,通常應(yīng)用于靠近目的端

13、的路由器端口。,25,2024/11/28,標(biāo)準(zhǔn)訪問(wèn)控制列表,標(biāo)準(zhǔn)訪問(wèn)控制列表命令的詳細(xì)語(yǔ)法,Router(config)#access-list,access-list-number,deny|permit,source source-wildcard,log,Router(config)#no access-list,access-list-number,作業(yè)：,26,2024/11/28,標(biāo)準(zhǔn)訪問(wèn)控制列表應(yīng)用示例,1,E0和E1端口只允許來(lái)自于網(wǎng)絡(luò)172.16.0.0的數(shù)據(jù)報(bào)被轉(zhuǎn)發(fā)，其余的將被阻止。,27,2024/11/28,標(biāo)準(zhǔn)訪問(wèn)控制列表應(yīng)用示例,2,E0端口不允許來(lái)自于特定地址1

14、72.16.4.13的數(shù)據(jù)流，其它的數(shù)據(jù)流將被轉(zhuǎn)發(fā)。,28,2024/11/28,標(biāo)準(zhǔn)訪問(wèn)控制列表應(yīng)用示例,3,E0,端口不允許來(lái)自于特定子網(wǎng),172.16.4.0,的數(shù)據(jù)，而允許其他數(shù)據(jù)通過(guò)。,29,2024/11/28,擴(kuò)展訪問(wèn)控制列表,什么是擴(kuò)展訪問(wèn)控制列表？,擴(kuò)展訪問(wèn)控制列表，即,Extended ACL,，提供了比,S,tandard,ACL,更大范圍的控制，因而運(yùn)用更廣。例如，可以使用擴(kuò)展,ACL,來(lái)實(shí)現(xiàn)允許,Web,數(shù)據(jù)流通過(guò)，而禁止,FTP,或,Telnet,通過(guò)；,擴(kuò)展,ACL,既可檢查分組的源地址和目的地址，也檢查協(xié)議類(lèi)型和,TCP,或,UDP,的端口號(hào)；,擴(kuò)展,ACL,的

15、數(shù)字定義為,100,到,199,；,擴(kuò)展,ACL,通常應(yīng)用部署在靠近源端的路由器端口上。,30,2024/11/28,擴(kuò)展訪問(wèn)控制列表,擴(kuò)展訪問(wèn)控制列表命令的詳細(xì)語(yǔ)法,31,2024/11/28,擴(kuò)展訪問(wèn)控制列表應(yīng)用示例,1,在,E0,端口，禁止轉(zhuǎn)出來(lái)自,172.16.4.0,子網(wǎng)的,FTP,數(shù)據(jù)流到,172.16.3.0,子網(wǎng)，其它的數(shù)據(jù)流將被轉(zhuǎn)發(fā)。,32,2024/11/28,擴(kuò)展訪問(wèn)控制列表應(yīng)用示例,2,在,E0,端口，禁止轉(zhuǎn)出來(lái)自,172.16.4.0,子網(wǎng)的,Telnet,數(shù)據(jù)流，其它的數(shù)據(jù)流將被轉(zhuǎn)發(fā)。,33,2024/11/28,命名訪問(wèn)控制列表,命名訪問(wèn)控制列表,Cisco IO

16、S,軟件,11.2,版本中引入了,IP,命名訪問(wèn)控制列表；命名,ACL,允許在標(biāo)準(zhǔn),ACL,和擴(kuò)展,ACL,中，使用字符代替數(shù)字來(lái)標(biāo)識(shí),ACL,；,使用命名,ACL,有以下好處：,通過(guò)一個(gè)字符串組成的名字可以更加直觀的表示特定的訪問(wèn)控制列表；,命名,ACL,不受,99,條標(biāo)準(zhǔn),ACL,和,100,條擴(kuò)展,ACL,的限制；,命令,ACL,可以使得網(wǎng)絡(luò)管理員方便的對(duì),ACL,進(jìn)行修改而無(wú)需刪除,ACL,之后再對(duì)其進(jìn)行重新配置。,34,2024/11/28,命名訪問(wèn)控制列表,創(chuàng)建命名,ACL,我們使用,ip access-list,命令建命名,ACL,，語(yǔ)法格式如下：,ip access-list extended|standard name,Permit/Deny,語(yǔ)句的語(yǔ)法格式：,35,2024/11/28,命名訪問(wèn)控制列表,命名訪問(wèn)控制列表創(chuàng)建及應(yīng)用示例,36,2024/11/28,命名訪問(wèn)控制列表,命名訪問(wèn)控制列表修改示例,37,2024/11/28,命名訪問(wèn)控制列表,命名訪問(wèn)控制列表修改示例,續(xù),1,38,2024/11/28,命名訪問(wèn)控制列表,命名訪問(wèn)控制列表修改示例,續(xù),2,3