《路由器及路由協(xié)議基礎(chǔ)配置-訪問控制列表》由會員分享,可在線閱讀,更多相關(guān)《路由器及路由協(xié)議基礎(chǔ)配置-訪問控制列表(44頁珍藏版)》請在裝配圖網(wǎng)上搜索。
1、單擊此處編輯母版標(biāo)題樣式,單擊此處編輯母版文本樣式,第二級,第三級,第四級,第五級,*,路由器及路由協(xié)議基礎(chǔ)配置訪問控制列表,計算機(jī)科學(xué)與工程學(xué)院,實驗中心 張翔,索引,訪問控制列表基礎(chǔ),訪問控制列表,2,2024/11/28,什么是訪問控制列表,對于數(shù)據(jù)流控制的需求,作為網(wǎng)絡(luò)管理者,我們通常需要了解如何去控制非法的網(wǎng)絡(luò)訪問,而允許正常的網(wǎng)絡(luò)訪問。盡管已經(jīng)存在有多種措施,比如如密碼,復(fù)查設(shè)備(,callback equipment,)等等。,但是,還需要更靈活的基本數(shù)據(jù)流過濾能力和特定的控制能力。例如,網(wǎng)絡(luò)管理者可能需要允許用戶訪問,Internet,,但是卻不允許外部的用戶登錄到局域網(wǎng)中。,
2、路由器提供的數(shù)據(jù)流過濾功能,路由器提供了基本的數(shù)據(jù)流過濾能力,比如說 使用“訪問控制列表(,ACL,)”,通過,ACL,,我們可以有條件地阻止或發(fā)行,Internet,數(shù)據(jù)流。,3,2024/11/28,什么是訪問控制列表,簡單講,訪問控制列表,ACL,是運(yùn)用到路由器端口的指令列表。這些指令告訴路由器接受哪些數(shù)據(jù)報文而拒絕哪些數(shù)據(jù)報文。,接受或者拒絕根據(jù)一定的規(guī)則進(jìn)行,如源地址,目標(biāo)地址,端口號等。,ACL,使得用戶能夠檢測特定的數(shù)據(jù)報文,從而實現(xiàn)數(shù)據(jù)流的管理。,4,2024/11/28,ACL,的功能,ACL,可以用于執(zhí)行以下一些功能:,限制網(wǎng)絡(luò)數(shù)據(jù)流,增加網(wǎng)絡(luò)性能。,例如:通過使用,ACL
3、,限制在線視頻數(shù)據(jù)流,可以極大地減輕網(wǎng)絡(luò)負(fù)載,提高網(wǎng)絡(luò)性能。,提供數(shù)據(jù)流控制。,例如:,ACL,可以限定或者減少路由更新的內(nèi)容。如果這些更新在該網(wǎng)絡(luò)條件下并不是必須的,那么通過對其進(jìn)行流控可以很好的節(jié)約帶寬,提高網(wǎng)絡(luò)性能。,為網(wǎng)絡(luò)訪問提供基本的安全保護(hù)。,ACL,可以允許某個主機(jī)訪問網(wǎng)絡(luò)的某一部分,而阻止另一臺主機(jī)訪問網(wǎng)絡(luò)的這個部分。,決定是否在路由器端口轉(zhuǎn)發(fā)或者阻止指定類型的數(shù)據(jù)報文,例如:,ACL,可以允許某一個特定網(wǎng)段的,email,數(shù)據(jù)流通過路由器進(jìn)行轉(zhuǎn)發(fā),但是卻出于安全的需要阻止所有的,telnet,數(shù)據(jù)流。,5,2024/11/28,路由器對,ACL,的執(zhí)行,路由器將根據(jù),ACL,
4、中指定的條件,對經(jīng)過路由器端口的數(shù)據(jù)報文逐一進(jìn)行檢查。通常,ACL,執(zhí)行判斷的標(biāo)準(zhǔn)基于源或者目的,IP,地址,協(xié)議以及上層協(xié)議端口號。,6,2024/11/28,ACL,在路由器上的應(yīng)用,One list,per port,per direction,per protocol,ACL,應(yīng)該根據(jù)路由器的端口所允許的每一個協(xié)議來制定。如果需要控制流經(jīng)某個端口的所有數(shù)據(jù)流,就需要為該端口允許的每一個協(xié)議分別創(chuàng)建,ACL,。,例如,如果一個端口配置成僅允許,IP,,,AppleTalk,和,IPX,協(xié)議的數(shù)據(jù)流進(jìn)入,那么就需要創(chuàng)建至少三條,ACL,;如果該路由器需要在兩個端口的進(jìn)出兩個方向上僅允許以上
5、三個協(xié)議通過,那么則需要應(yīng)用至少,12,條,ACL,。,7,2024/11/28,ACL,如何工作?,ACL,語句按照邏輯次序順序執(zhí)行,如果與某個條件語句相匹配,分組就會根據(jù)規(guī)則被允許通過或被拒絕通過;,一旦某一條語句匹配,則不會再檢查后面的其他規(guī)則語句;,如果所有的規(guī)則語句都不匹配,最后將強(qiáng)加一條拒絕全局流量的隱式語句。,8,2024/11/28,路由器如何執(zhí)行選路與,ACL,功能?,無論是否使用,ACL,,路由器處理數(shù)據(jù)報文最初的過程是相同的。,當(dāng)一個數(shù)據(jù)報進(jìn)入一個端口,路由器檢查這個數(shù)據(jù)報是否可路由。,如果是可以路由的,路由器檢查這個端口是否有,ACL,應(yīng)用。,如果有,根據(jù),ACL,中的
6、條件指令,檢查這個數(shù)據(jù)報文。,如果數(shù)據(jù)報是被允許的,就查詢路由表,決定數(shù)據(jù)報的目標(biāo)端口。,路由器檢查目標(biāo)端口是否存在,ACL,控制流出的數(shù)據(jù)報,不存在,這個數(shù)據(jù)報就直接發(fā)送到目標(biāo)端口。,如果存在,就再根據(jù),ACL,進(jìn)行取舍。,9,2024/11/28,路由器執(zhí)行數(shù)據(jù)報文處理的流程圖,10,2024/11/28,創(chuàng)建與應(yīng)用,ACL,配置模式,ACL,需要在全局配置模式中創(chuàng)建;,ACL,類型,Cisco,路由器支持多種,ACL,類型,包括標(biāo)準(zhǔn)、擴(kuò)展、,IPX,、,AppleTalk,等;,配置,ACL,的時候需要為每一個協(xié)議的,ACL,指定一個唯一的數(shù)字,用以標(biāo)識這個,ACL,。這個數(shù)字必須在有效
7、范圍之內(nèi)(參看下圖),11,2024/11/28,創(chuàng)建與應(yīng)用,ACL,創(chuàng)建,ACL,的步驟,Step1,:在全局配置模式中使用,access-list,命令撰寫,ACL,應(yīng)用規(guī)則(僅針對使用數(shù)字定義,ACL,的情況);,請?zhí)貏e注意創(chuàng)建,ACL,的順序!因為路由器在應(yīng)用,ACL,時是按照順序依次檢查執(zhí)行的。,ACL,順序所表現(xiàn)出的邏輯正確性關(guān)系到該,ACL,是否能正確實現(xiàn)照管理員的控制意圖!,Step2,:在路由器端口配置子模式中使用,access-group,命令將寫好的,ACL,應(yīng)用到該指定端口;,一組,ACL,可以同時應(yīng)用到多個路由器端口,所有通過這些端口的數(shù)據(jù)報文都必須接受該組,ACL,
8、的檢查。,12,2024/11/28,創(chuàng)建與應(yīng)用,ACL,創(chuàng)建于應(yīng)用,ACL,示例,13,2024/11/28,刪除、修改,ACL,修改,ACL,對于傳統(tǒng)的使用數(shù)字編號定義的,ACL,,如果需要增加另外的語句或是語句需要改變,你就必須刪掉該,ACL,,然后再重新建立一個帶有新語句的,ACL,。,一個好的辦法是,使用,PC,上的文本編輯器創(chuàng)建或修改,ACL,,然后再通過簡易文件傳輸協(xié)議,(TFTP),或超級終端的發(fā)送文本文件將,ACL,傳到路由器。,刪除,ACL,14,2024/11/28,使用通配符掩碼位,什么是通配符掩碼?,通配符掩碼是一個,32,比特的數(shù)字字符串,它被用點號分成,4,個,8
9、,位組,每個,8,位組包含,8,個比特;,通配符掩碼跟,IP,地址是成對出現(xiàn)的,在通配符掩碼的地址位使用,1,或,0,表明如何處理相應(yīng)的,IP,地址位,其中,0,表示“檢查相應(yīng)的位”,而,1,表示“不檢查相應(yīng)的位”;,ACL,使用通配符掩碼來標(biāo)志一個或多個地址是被允許,還是被拒絕。術(shù)語“,Wildcard”,是“,ACL,掩碼位匹配過程”的綽號,它是從紙牌游戲中引伸過來的一個比喻。,15,2024/11/28,使用通配符掩碼位,通配符掩碼與子網(wǎng)掩碼,盡管都是,32,比特的數(shù)字字符串,,ACL,通配符掩碼跟,IP,子網(wǎng)掩碼的在功能上毫不相干,它們用于不同的目的,并且遵循不同的應(yīng)用規(guī)則;,在,IP
10、,子網(wǎng)掩碼中數(shù)字,1,和,0,用來決定是網(wǎng)絡(luò)、子網(wǎng)還是相應(yīng)的主機(jī),IP,地址;,而在,ACL,通配符掩碼中,掩碼位是,1,還是,0,,用來決定相應(yīng)的,IP,地址被忽略,還是被檢查。,16,2024/11/28,使用通配符掩碼位,如何匹配所有的,IP,地址?,使用通配符掩碼,255.255.255.255,,代表忽略所有,IP,地址位;,可以使用,ANY,代替該特殊通配符掩碼。,17,2024/11/28,使用通配符掩碼位,如何匹配單個,IP,地址?,使用通配符掩碼,0.0.0.0,,代表,IP,地址位都需要檢查;,可以使用,HOST,代替該特殊通配符掩碼。,18,2024/11/28,使用通配
11、符掩碼位,如何匹配特定,IP,子網(wǎng)?,19,2024/11/28,Address and wildcard mask:,172.30.16.0 0.0.15.255,檢查,ACL,配置,使用,show,命令檢查,ACL,配置,show ip interface,顯示該接口的,IP,信息以及在該接口上是否有,ACL,應(yīng)用,如果有,可以看見,ACL,名稱和應(yīng)用在接口上的的方向;,show access-lists,查看當(dāng)前設(shè)備上配置的所有,ACL,;,show running-config,查看所有配置的,ACL,的詳細(xì)信息;,20,2024/11/28,檢查,ACL,配置,show ip int
12、erface,21,2024/11/28,檢查,ACL,配置,show access-list,22,2024/11/28,檢查,ACL,配置,show running-config,23,2024/11/28,索引,訪問控制列表基礎(chǔ),訪問控制列表,24,2024/11/28,標(biāo)準(zhǔn)訪問控制列表,什么是標(biāo)準(zhǔn)訪問控制列表?,標(biāo)準(zhǔn)訪問控制列表僅檢查可以路由的,IP,分組的,源地址,并且把它與,ACL,中的條件判斷語句相比較;,標(biāo)準(zhǔn)訪問控制列表可以允許或禁止整套,IP,協(xié)議;,標(biāo)準(zhǔn),ACL,的數(shù)字定義為,1,到,99,,可以提供數(shù)據(jù)流過濾控制,基于源地址和通配掩碼;,標(biāo)準(zhǔn),ACL,通常應(yīng)用于靠近目的端
13、的路由器端口。,25,2024/11/28,標(biāo)準(zhǔn)訪問控制列表,標(biāo)準(zhǔn)訪問控制列表命令的詳細(xì)語法,Router(config)#access-list,access-list-number,deny|permit,source source-wildcard,log,Router(config)#no access-list,access-list-number,作業(yè):,26,2024/11/28,標(biāo)準(zhǔn)訪問控制列表應(yīng)用示例,1,E0和E1端口只允許來自于網(wǎng)絡(luò)172.16.0.0的數(shù)據(jù)報被轉(zhuǎn)發(fā),其余的將被阻止。,27,2024/11/28,標(biāo)準(zhǔn)訪問控制列表應(yīng)用示例,2,E0端口不允許來自于特定地址1
14、72.16.4.13的數(shù)據(jù)流,其它的數(shù)據(jù)流將被轉(zhuǎn)發(fā)。,28,2024/11/28,標(biāo)準(zhǔn)訪問控制列表應(yīng)用示例,3,E0,端口不允許來自于特定子網(wǎng),172.16.4.0,的數(shù)據(jù),而允許其他數(shù)據(jù)通過。,29,2024/11/28,擴(kuò)展訪問控制列表,什么是擴(kuò)展訪問控制列表?,擴(kuò)展訪問控制列表,即,Extended ACL,,提供了比,S,tandard,ACL,更大范圍的控制,因而運(yùn)用更廣。例如,可以使用擴(kuò)展,ACL,來實現(xiàn)允許,Web,數(shù)據(jù)流通過,而禁止,FTP,或,Telnet,通過;,擴(kuò)展,ACL,既可檢查分組的源地址和目的地址,也檢查協(xié)議類型和,TCP,或,UDP,的端口號;,擴(kuò)展,ACL,的
15、數(shù)字定義為,100,到,199,;,擴(kuò)展,ACL,通常應(yīng)用部署在靠近源端的路由器端口上。,30,2024/11/28,擴(kuò)展訪問控制列表,擴(kuò)展訪問控制列表命令的詳細(xì)語法,31,2024/11/28,擴(kuò)展訪問控制列表應(yīng)用示例,1,在,E0,端口,禁止轉(zhuǎn)出來自,172.16.4.0,子網(wǎng)的,FTP,數(shù)據(jù)流到,172.16.3.0,子網(wǎng),其它的數(shù)據(jù)流將被轉(zhuǎn)發(fā)。,32,2024/11/28,擴(kuò)展訪問控制列表應(yīng)用示例,2,在,E0,端口,禁止轉(zhuǎn)出來自,172.16.4.0,子網(wǎng)的,Telnet,數(shù)據(jù)流,其它的數(shù)據(jù)流將被轉(zhuǎn)發(fā)。,33,2024/11/28,命名訪問控制列表,命名訪問控制列表,Cisco IO
16、S,軟件,11.2,版本中引入了,IP,命名訪問控制列表;命名,ACL,允許在標(biāo)準(zhǔn),ACL,和擴(kuò)展,ACL,中,使用字符代替數(shù)字來標(biāo)識,ACL,;,使用命名,ACL,有以下好處:,通過一個字符串組成的名字可以更加直觀的表示特定的訪問控制列表;,命名,ACL,不受,99,條標(biāo)準(zhǔn),ACL,和,100,條擴(kuò)展,ACL,的限制;,命令,ACL,可以使得網(wǎng)絡(luò)管理員方便的對,ACL,進(jìn)行修改而無需刪除,ACL,之后再對其進(jìn)行重新配置。,34,2024/11/28,命名訪問控制列表,創(chuàng)建命名,ACL,我們使用,ip access-list,命令建命名,ACL,,語法格式如下:,ip access-list extended|standard name,Permit/Deny,語句的語法格式:,35,2024/11/28,命名訪問控制列表,命名訪問控制列表創(chuàng)建及應(yīng)用示例,36,2024/11/28,命名訪問控制列表,命名訪問控制列表修改示例,37,2024/11/28,命名訪問控制列表,命名訪問控制列表修改示例,續(xù),1,38,2024/11/28,命名訪問控制列表,命名訪問控制列表修改示例,續(xù),2,3