1、使用訪問控制列表使用訪問控制列表(ACL)(ACL)管理管理IPIP流量流量模塊模塊 6 目標(biāo)目標(biāo)本模塊完成后本模塊完成后,你能你能: 對于一個給定的路由器對于一個給定的路由器,你能使用你能使用IOS命令配置標(biāo)命令配置標(biāo)準訪問列表和擴展訪問列表準訪問列表和擴展訪問列表,并能熟練的應(yīng)用并能熟練的應(yīng)用NAT/PAT(網(wǎng)絡(luò)地址轉(zhuǎn)換網(wǎng)絡(luò)地址轉(zhuǎn)換/端口地址轉(zhuǎn)換端口地址轉(zhuǎn)換)來訪問外來訪問外部網(wǎng)絡(luò)部網(wǎng)絡(luò). 使用使用show命令顯示訪問控制列表的內(nèi)容命令顯示訪問控制列表的內(nèi)容;并通過并通過觀察記數(shù)器的數(shù)值來確定訪問列表條目是否生效觀察記數(shù)器的數(shù)值來確定訪問列表條目是否生效,從而明白你是否做的正確從而明白你是

2、否做的正確 2002, Cisco Systems, Inc. All rights reserved.3Access Lists(訪問列表訪問列表) 和它們和它們的應(yīng)用的應(yīng)用 目標(biāo)目標(biāo)完成本章后完成本章后,你能你能: 解釋訪問列表的目的并知曉他們常用的應(yīng)用解釋訪問列表的目的并知曉他們常用的應(yīng)用. 描述描述CISCO IOS軟件系統(tǒng)是如何在接口的軟件系統(tǒng)是如何在接口的”in”或或”out”方向上處理標(biāo)準和擴展訪問列表的方向上處理標(biāo)準和擴展訪問列表的. 當(dāng)網(wǎng)絡(luò)快速增長時當(dāng)網(wǎng)絡(luò)快速增長時,ACL能夠更好地為企業(yè)控制流量的入能夠更好地為企業(yè)控制流量的入出出. 為穿越路由器或交換機的流量實施過濾為穿越

3、路由器或交換機的流量實施過濾.為什么使用訪問控制列表為什么使用訪問控制列表(ACL)? 應(yīng)用到路由器接口上控制數(shù)據(jù)流的通過應(yīng)用到路由器接口上控制數(shù)據(jù)流的通過:Permit(允許允許)或或deny(拒絕拒絕)分組穿越路由器分組穿越路由器.允許或拒絕到路由器的允許或拒絕到路由器的vty(虛擬終端虛擬終端)訪問訪問.如果沒有訪問控制列表如果沒有訪問控制列表,所有的數(shù)據(jù)流都能穿越路由器的接口隨所有的數(shù)據(jù)流都能穿越路由器的接口隨意訪問意訪問.訪問列表（訪問列表（ACL）的應(yīng)用）的應(yīng)用 依照企業(yè)策略對各種不同類型的分組在不同情況下實行專門的依照企業(yè)策略對各種不同類型的分組在不同情況下實行專門的控制?？刂?。

4、訪問列表的其他應(yīng)用訪問列表的其他應(yīng)用 標(biāo)準訪問列表（標(biāo)準訪問列表（standard access lists) 只檢查分組的源地址信息只檢查分組的源地址信息 允許或拒絕的是整個協(xié)議棧允許或拒絕的是整個協(xié)議棧 擴展訪問列表（擴展訪問列表（extended access lists) 可以同時檢查源和目的地址信息可以同時檢查源和目的地址信息 可針對于三層或四層協(xié)議信息進行控制，是目前使用可針對于三層或四層協(xié)議信息進行控制，是目前使用非常廣泛的安全控制方法。非常廣泛的安全控制方法。訪問控制列表的類型訪問控制列表的類型 如何識別標(biāo)準和擴展訪問列表如何識別標(biāo)準和擴展訪問列表 標(biāo)準標(biāo)準IPIP訪問列表訪問

5、列表 (1-99)(1-99)：只使用源地址信息來做過濾決定：只使用源地址信息來做過濾決定. . 擴展擴展IPIP訪問列表訪問列表(100-199)(100-199)： 可以根據(jù)源和目的可以根據(jù)源和目的IPIP地址、協(xié)議類型、源和地址、協(xié)議類型、源和目的端口等信息綜合作出過濾決定目的端口等信息綜合作出過濾決定. . 延伸的標(biāo)準延伸的標(biāo)準IPIP訪問列表編號：訪問列表編號：1300-1999.1300-1999. 延伸的擴展延伸的擴展IPIP訪問列表編號：訪問列表編號：2000-2699.2000-2699. 其他的訪問列表號碼用來進行其他二層或三層網(wǎng)絡(luò)協(xié)議的過濾。其他的訪問列表號碼用來進行其他

6、二層或三層網(wǎng)絡(luò)協(xié)議的過濾。 命名的命名的IPIP訪問控制列表：以列表名代替列表編號來定義訪問控制列表：以列表名代替列表編號來定義IPIP訪問控制列表，訪問控制列表，同樣包括標(biāo)準和擴展兩種列表，定義過濾的語句與編號方式相似。同樣包括標(biāo)準和擴展兩種列表，定義過濾的語句與編號方式相似。 使用標(biāo)準訪問列表對分組實施過使用標(biāo)準訪問列表對分組實施過濾濾 使用擴展訪問控制列表對分組實使用擴展訪問控制列表對分組實施過濾施過濾 出站出站ACL是如何工作的？是如何工作的？ 如果沒有任何如果沒有任何ACL條目相匹配，則缺省丟棄此分組。條目相匹配，則缺省丟棄此分組。 ACL的過濾流程的過濾流程: 拒絕或允許拒絕或允許

7、 0 表示檢查相應(yīng)的位表示檢查相應(yīng)的位. 1 表示不檢查（忽略）相應(yīng)的位表示不檢查（忽略）相應(yīng)的位.通配符掩碼位通配符掩碼位: 如何檢查相應(yīng)的地如何檢查相應(yīng)的地址位址位 例如例如, 172.30.16.29 0.0.0.0 檢查所有的地址位檢查所有的地址位. 在訪問控制列表中可以簡寫為在訪問控制列表中可以簡寫為host 172.30.16.29. 檢查所有的地址位檢查所有的地址位(匹配所有匹配所有). 檢查一個檢查一個IP主機地址主機地址, 例如例如:通配符掩碼匹配特定的主機地址通配符掩碼匹配特定的主機地址 接受任何地址接受任何地址: 0.0.0.0 255.255.255.255可以縮寫為：

8、可以縮寫為：any. 測試條件測試條件: 忽略所有的地址位忽略所有的地址位(匹配所有匹配所有). An IP host address, for example:通配符掩碼匹配任何通配符掩碼匹配任何IP地址地址 如果你想實施路由通告過濾如果你想實施路由通告過濾,可以使用可以使用ACL結(jié)合路由通告命令結(jié)合路由通告命令 對需要通過的子網(wǎng)路由進行過濾對需要通過的子網(wǎng)路由進行過濾.比如你想讓下列路由信息通過比如你想讓下列路由信息通過: 172.30.16.0/24 to 172.30.31.0/24.地址地址 和和 通配符掩碼通配符掩碼: 172.30.16.0 0.0.15.255使用通配符掩碼匹配

9、使用通配符掩碼匹配IP子網(wǎng)子網(wǎng) 總結(jié)總結(jié) 訪問列表是實施各種網(wǎng)絡(luò)控制的強大的工具；不訪問列表是實施各種網(wǎng)絡(luò)控制的強大的工具；不僅對數(shù)據(jù)包通過路由器接口實施安全控制，而且僅對數(shù)據(jù)包通過路由器接口實施安全控制，而且可以起到控制路由信息的發(fā)布和節(jié)省帶寬的作用?？梢云鸬娇刂坡酚尚畔⒌陌l(fā)布和節(jié)省帶寬的作用。 一個一個ACL是一組允許或拒絕的判斷語句的集合；是一組允許或拒絕的判斷語句的集合；它可以根據(jù)數(shù)據(jù)報的三層或四層協(xié)議信息進行流它可以根據(jù)數(shù)據(jù)報的三層或四層協(xié)議信息進行流量的過濾。量的過濾。ACL可以對通過路由器或到達路由器可以對通過路由器或到達路由器的流量進行過濾，但對路由器自身產(chǎn)生的流量不的流量進行

10、過濾，但對路由器自身產(chǎn)生的流量不能起到過濾作用。能起到過濾作用。 ACL作為一種安全控制的可選手段，網(wǎng)絡(luò)管理員作為一種安全控制的可選手段，網(wǎng)絡(luò)管理員可以根據(jù)企業(yè)的實際需要做流量的允許或拒絕操可以根據(jù)企業(yè)的實際需要做流量的允許或拒絕操作。作。 總結(jié)總結(jié)(繼續(xù)繼續(xù)) Inbound(入站入站)訪問列表是先對數(shù)據(jù)報實施允許還是拒絕訪問列表是先對數(shù)據(jù)報實施允許還是拒絕的操作的操作,如果允許的話再路由到路由器的相應(yīng)出口如果允許的話再路由到路由器的相應(yīng)出口. 而而outbound(出站出站)訪問列表是先路由數(shù)據(jù)包訪問列表是先路由數(shù)據(jù)包,再根據(jù)出口的再根據(jù)出口的訪問規(guī)則實行數(shù)據(jù)包的允許還是拒絕的操作訪問規(guī)則

11、實行數(shù)據(jù)包的允許還是拒絕的操作. Cisco IOS 對對ACL是按照從上至下順序執(zhí)行的是按照從上至下順序執(zhí)行的,因此因此,推薦推薦你把最嚴格和最常用的條目放在上面你把最嚴格和最常用的條目放在上面,而不常用和不嚴格而不常用和不嚴格的條目放在下面的條目放在下面,這樣不僅嚴謹而且不浪費路由器的這樣不僅嚴謹而且不浪費路由器的CPU資源資源. 流量的過濾與否是通過在流量的過濾與否是通過在ACL中地址和通配符掩碼的比中地址和通配符掩碼的比對實現(xiàn)的。對實現(xiàn)的?！?”為不關(guān)注；為不關(guān)注；“0”為關(guān)注位。為關(guān)注位。 人有了知識，就會具備各種分析能力，人有了知識，就會具備各種分析能力，明辨是非的能力。明辨是非的能力。所以我們要勤懇讀書，廣泛閱讀，所以我們要勤懇讀書，廣泛閱讀，古人說古人說“書中自有黃金屋。書中自有黃金屋?！蓖ㄟ^閱讀科技書籍，我們能豐富知識，通過閱讀科技書籍，我們能豐富知識，培養(yǎng)邏輯思維能力；培養(yǎng)邏