网络设备配置与管理第十三章 访问控制列表.ppt

* 第十三章 访问控制列表 学习内容及目标 掌握基本ACL配置 2 理解通配符掩码 3 1 4 理解ACL的放置位置 了解ACL的定义、类型和处理过程 掌握四种ACL的配置方法 5 13．1 ACL概述 前面几章讲了路由选择协议及基本配置，默认情况下，路由器将根据配置的路由选择协议，允许任何分组从路由器的端口进行转发。但是，出于安全和流量控制策略考虑，需要实施一些策略来对流量实行限制。访问控制列表（Access Control Lists，ACL）就是路由器用来实现这些控制的方法之一。 ACL（Access Control Lists，访问控制列表）是一个命令集，这个命令集由多条访问控制命令组成。ACL应用到路由器的某接口，以控制路由器转发哪些数据包、拒绝哪些数据包。 在路由器上可以为每种协议（IP、IPX、AppleTalk）、每个方向（进和出）、每个接口配置一个 ACL，因此，如果某路由器有两个接口配置了 IP、AppleTalk 和 IPX，则该路由器最多需要的 ACL数量：在两个方向上配三种协议的ACL，需6个ACL，共有两个端口，共需要12个ACL。由于IP协议应用最为广泛，所以下面公讨论基于IP的ACL。 ACL的作用： 1．控制数据流：可以限制来自或到达某个网络或某个主机的数据流量通过路由器； 2．提供安全控制：ACL能够限制特定类型的数据流量经过路由器，如允许WWW流量，而拒绝telnet流量；或允许某主机访问某网络，以及拒绝某主机访问该网络； 3．提供队列管理：ACL可以区分数据流量的优先次序，以及对某些数据流量实施限制； 13．1 ACL概述 13.1.1 ACL的工作过程 ACL可以配置在路由器接口的进入方向，也可以配置在路由器接口的外出方向，如图13-1所示： 当路由器的某个接口从in方向收到一个数据包后，如果该接口配置有in方向的ACL，则根据ACL中配置的指令来判断该数据包是否被允许经过 如果该ACL中配置有多条语句，首先检查ACL中第一条指令，是否与数据包相匹配，当匹配时，如果指令规定的动作是允许，则去查找路由表，并允许通过，如果该指令规定的动作是拒绝，则丢弃该分组，并退出该ACL，不再往下比较；当数据包与ACL中第一条指定不匹配，则按同样的方法，比较ACL中的第二条指令，并按同样的方法进行处理，这样依次下去，如果所有指令都不匹配，则该数据包将被直接丢弃，因为ACL的隐含的动作是拒绝。 数据包在经过路由器查询路由表，选择好外出接口后，如果此外出接口配有out方向的ACL，则需要按与in方向ACL一样方法的判断该数据包能否被允许通过该接口，允许则向外转发，否则丢弃该数据包。 13.1.1 ACL的工作过程 13.1.2 ACL类型 根据ACL的功能不同，ACL被分为多种类型：标准数字式ACL、标准命名式ACL、扩展数字式ACL、扩展命名式ACL以及动态ACL、反射ACL和基于时间的ACL。 标准ACL仅根据数据包内的源IP地址进行过滤，分为标准数字式ACL和标准命名式ACL。数字式ACL和命名式ACL的区别： 当在路由器或防火墙上设置多条ACL时，用命名式ACL能直观体现其用途，并且在对ACL进行修改时，命名式更方便，另外，在反射ACL中，只能用命名式ACL。 13.2 标准ACL 1．通配符掩码的表示方法 例如，有一来自/24的网络的数据包，从F0/0端口进入路由器R0，如图13-2所示： 如果在R0的F0/0端口上配置有标准ACL，此ACL允许/24网络的数据包经过，则该网络的配符掩码为55。这条ACL的写法是： access-list 1 premit 55，其中“access-list”是定义访问控制列表固定语法格式，“1”标准ACL的表号，“premit”表示“许可”，“ 55”是这条语句控制的对象，这个地址掩码用于说明哪些地址是被允许通过的或禁止通过 13.2.1 通配符掩码 表面上看，这不正是24位子网掩码的反码吗？其实通配符掩码和子网掩码的反码并不是一回事。 在前面学习讲的子网掩码中，为1的位表示IP地址中对应位为网络号部分，为0的位表示IP地址中对应位为主机号部分，子网掩码的反码则是将子网掩码中1变0，0变1；而在通配符掩码中，设置成1的位表示与给出的IP地址（或网络）中对应位不作配匹性检查，设置成0的位表示与给出的IP地址（或网络）中对应位要作匹配性检查，可简称为“0配1不配”，注意，这里说的0和1都是二进制形式。这与子网掩码的反码是两个概念，下面举例分析。 13.2.1 通配符掩码 在“access-list 1 premit 55”语句中，分析为什么是网络的数据包将被允许通过？ 分析：首先需要转化为二进制形式后再分析： 可见，前三个字节所对