ACL技術(shù)原理淺析及實(shí)例

1、ACL技術(shù)原理淺析及實(shí)例論文導(dǎo)讀：也可以按照網(wǎng)段進(jìn)行大范圍的訪問控制管理。個(gè)標(biāo)準(zhǔn)IP訪問控制列表匹配IP包中的源地址或源地址中的一部分。編號范圍是從1到99的訪問控制列表是標(biāo)準(zhǔn)IP訪問控制列表。擴(kuò)展配置，ACL技術(shù)原理淺析及實(shí)例。關(guān)鍵詞：IP，訪問控制，標(biāo)準(zhǔn)，擴(kuò)展配置一、引言：ACL是一種基于包過濾的流控制技術(shù)，在路由器中被廣泛采用，它可以有效的在三層上控制網(wǎng)絡(luò)用戶對網(wǎng)絡(luò)資源的訪問，既可以具體到兩臺網(wǎng)絡(luò)設(shè)備間的網(wǎng)絡(luò)應(yīng)用，也可以按照網(wǎng)段進(jìn)行大范圍的訪問控制管理。通過實(shí)施ACL，可以有效的部署企業(yè)網(wǎng)絡(luò)出網(wǎng)策略，也可以用來控制對局域網(wǎng)內(nèi)部資源的訪問能力，保障資源安全性，但會增加增加路由器開銷，也會增

2、加管理的復(fù)雜度和難度，是否采用ACL技術(shù)，是管理效益與網(wǎng)絡(luò)安全之間的一個(gè)權(quán)衡。初期僅在路由器上支持ACL，近些年來已經(jīng)擴(kuò)展到三層交換機(jī)，部分二層交換機(jī)如2950之類也開始提供ACL的支持。二、概述：1ACL工作原理：ACL：Acess Control List，即訪問控制列表。這張表中包含了匹配關(guān)系、條件和查詢語句，ACL表只是一個(gè)框架結(jié)構(gòu)，其目的是為了對某種訪問進(jìn)行控制，使用包過濾技術(shù)，在路由器上讀取第三層及第四層包頭中的信息如源地址、目的地址、源端口、目的端口等，根據(jù)預(yù)先定義好的規(guī)則對包進(jìn)行過濾，從而達(dá)到訪問控制的目的。(注意：過濾的依據(jù)僅僅只是第三層和第四層包頭中的部分信息，如無法識別到

3、具體的人，無法識別到應(yīng)用內(nèi)部的權(quán)限級別等。論文寫作，擴(kuò)展配置。因此，要和系統(tǒng)級及應(yīng)用級的訪問權(quán)限控制結(jié)合使用)ACL中規(guī)定了兩種操作，所有的應(yīng)用都是圍繞這兩種操作來完成的：允許、拒絕。ACL主要用于對入站數(shù)據(jù)、出站數(shù)據(jù)、被路由器中繼的數(shù)據(jù)進(jìn)行控制。2ACL工作過程：(1) 無論路由器上有沒有ACL，接到數(shù)據(jù)包后，當(dāng)數(shù)據(jù)進(jìn)入某個(gè)入站口時(shí)，路由器首先對其進(jìn)行檢查，看其是否可路由，如果不可路由那么就丟棄，否則通過查路由選擇表發(fā)現(xiàn)該路由的詳細(xì)信息及對應(yīng)的出接口；(2) 假設(shè)可路由，則找出要將其送出站的接口，此時(shí)路由器檢查該出站口有沒有被編入ACL，沒有，則直接從該口送出。如果有ACL，路由器將依照從上

4、到下的順序依次將該數(shù)據(jù)和ACL進(jìn)行匹配，逐條執(zhí)行，如果與其中某條ACL匹配，根據(jù)該ACL指定操作對數(shù)據(jù)進(jìn)行相應(yīng)處理（允許或拒絕），并停止繼續(xù)查詢；如果查到ACL的末尾也未找到匹配，則調(diào)用ACL最末尾的一條隱含語句denyany將該數(shù)據(jù)包丟棄；(3) ACL有兩種類型：入站ACL和出站ACL。上面的工作過程的解釋是針對出站ACL，它是在數(shù)據(jù)包進(jìn)入路由器并進(jìn)行了路由選擇找到了出接口后進(jìn)行的匹配操作；而入站ACL是指當(dāng)數(shù)據(jù)剛進(jìn)入路由器接口時(shí)進(jìn)行的匹配操作，減少了查表過程，但并不能說入站表省略了路由過程就認(rèn)為它較之出站表更好，要依照實(shí)際情況。三、主要ACL技術(shù)訪問控制列表大的劃分可分為兩類：標(biāo)準(zhǔn)訪問控

5、制列表和擴(kuò)展訪問控制列表，他們的命令都具有基本格式： Access-listaccess-list-numberpermit/denymatch-condition1標(biāo)準(zhǔn)IP訪問控制列表一個(gè)標(biāo)準(zhǔn)IP訪問控制列表匹配IP包中的源地址或源地址中的一部分，可對匹配的包采取拒絕或允許兩個(gè)操作。論文寫作，擴(kuò)展配置。編號范圍是從1到99的訪問控制列表是標(biāo)準(zhǔn)IP訪問控制列表。2擴(kuò)展IP訪問控制列表擴(kuò)展IP訪問控制列表比標(biāo)準(zhǔn)IP訪問控制列表具有更多的匹配項(xiàng)，包括協(xié)議類型、源地址、目的地址、源端口、目的端口、建立連接的和IP優(yōu)先級等。編號范圍是從100到199的訪問控制列表是擴(kuò)展IP訪問控制列表。3命名的IP訪

6、問控制列表所謂命名的IP訪問控制列表是以列表名代替列表編號來定義IP訪問控制列表，同樣包括標(biāo)準(zhǔn)和擴(kuò)展兩種列表，定義過濾的語句與編號方式中相似。實(shí)際依據(jù)具體需要而選用不同的控制列表。論文寫作，擴(kuò)展配置。四、配置ACL實(shí)例總體思想是先在全局配置模式下設(shè)置ACL，后在接口配置模式下將ACL綁定到端口，越精確的表項(xiàng)越靠前，而越籠統(tǒng)的表項(xiàng)越靠后放置。1ACL 標(biāo)準(zhǔn)控制列表配置實(shí)例：要求網(wǎng)絡(luò) /24網(wǎng)段上的服務(wù)器資源禁止被/24網(wǎng)段上的主機(jī)訪問。配置如下：(1) 準(zhǔn)備工作：假設(shè)網(wǎng)絡(luò)基本配置(IP地址和路由)已經(jīng)完成，但要在路由器RTA上做子接口。論文寫作，擴(kuò)

7、展配置。RTA(config)#interfacefastEthernet 0/0.1RTA(config-subif)#encapsulationdot1q 10 (在交換機(jī)SW上已劃分VLAN10,20)RTA(config-subif)#ipaddress 28RTA(config)#interfacefastEthernet 0/0.2RTA(config-subif)#encapsulationdot1q 20RTA(config-subif)#ipaddress 29 28(2)

8、ACL配置：、確定未配置ACL之前的訪問PC2訪問PC1、BBS、Web暢通：PC2 ping PC1、BBS、Web的IP地址；、在路由器上RTA上做適當(dāng)?shù)?ACL 配置，確保 PC2 不能訪問 RTA 上 /24網(wǎng)段上的服務(wù)器資源，命令如下：RTA(config)#access-list10 deny 55 -拒絕網(wǎng)段RTA(config)#access-list10 deny host 10 -拒絕10 這臺具體的機(jī)器RTA(config)#access

9、-list10 permit any-允許其他的IP訪問 （一個(gè)正確的 ACL 語句必然包含至少一條permit語句）、ACL應(yīng)用：將在RTA上做得ACL 10控制列表應(yīng)用到Web和BBS服務(wù)器所在子網(wǎng)（/25的后半個(gè)C）在路由器上對應(yīng)的子接口F0/0.2上。RTA(config)#interfacefastEthernet 0/0.2RTA(config-subif)#ipaccess-group 10 out、測試驗(yàn)證：PC2 ping PC1、BBS、Web，確定不能訪問 RTA 上 /24網(wǎng)段上的服務(wù)器資源（/25

10、的后半個(gè)C）,而能訪問PC1。2ACL 擴(kuò)展控制列表配置實(shí)例：要求內(nèi)網(wǎng)中 40/25的用戶不能訪問WWW服務(wù)（即拓?fù)鋱D中的BBS服務(wù)和Web服務(wù)）。主要配置命令如下：RTA(config)#access-list100 deny tcp 40 27 any eq 80RTA(config)#access-list100 permit ip any anyRTA(config)#interfacefastEthernet 0/0.2RTA(config)#ipaccess-group 100 in五、ACL相關(guān)問題：1正確放置ACL：

11、ACL通過過濾數(shù)據(jù)包并且丟棄不希望抵達(dá)目的地的數(shù)據(jù)包來控制通信流量。然而，網(wǎng)絡(luò)能否有效地減少不必要的通信流量，這還要取決于網(wǎng)絡(luò)管理員把ACL放置在哪個(gè)地方，標(biāo)準(zhǔn)ACL要盡量靠近目的端，擴(kuò)展ACL要盡量靠近源端。2定義要完整：ACL的定義也是基于每一種協(xié)議的。如果路由器接口配置成為支持三種協(xié)議（IP、AppleTalk以及IPX）的情況，那么，用戶必須定義三種ACL來分別控制這三種協(xié)議的數(shù)據(jù)包。3ACL命令中的in和out：這兩個(gè)參數(shù)可以控制接口中不同方向的數(shù)據(jù)包，缺省為out。ACL在一個(gè)接口可以進(jìn)行雙向控制，兩條命令執(zhí)行的ACL表號可以不同，但在一個(gè)接口的一個(gè)方向上只能有一個(gè)ACL控制。論文

12、寫作，擴(kuò)展配置。4ACL的發(fā)展：在Cisco IOS11.2以后的版本中，可以使用名字命名的ACL；從IOS 12.0開始，Cisco路由器新增加了一種基于時(shí)間的ACL，可以根據(jù)不同時(shí)間來控制網(wǎng)絡(luò)數(shù)據(jù)包的轉(zhuǎn)發(fā)，對于編號訪問表和名稱訪問表均適用；基于端口和VLAN的訪問控制列表，可對交換機(jī)的具體對應(yīng)端口或整個(gè)VLAN進(jìn)行訪問控制；帶有Established的擴(kuò)展訪問列表允許內(nèi)部用戶訪問外部網(wǎng)絡(luò)，而拒絕外部網(wǎng)絡(luò)訪問內(nèi)部網(wǎng)絡(luò)，但established語句只支持TCP協(xié)議，還要設(shè)置相應(yīng)的ACL語句將需要的UDP等傳輸打開。六、結(jié)束語：在實(shí)施ACL的過程中，應(yīng)當(dāng)遵循最小特權(quán)原則（只給受控對象完成任務(wù)所必須的最小的權(quán)限）和默認(rèn)丟棄原則（在CISCO路由交換設(shè)備中默認(rèn)最后一句為ACL中加入了DENY ANY ANY，也就是丟棄所有不符合條件的數(shù)據(jù)包）。論文寫作，擴(kuò)展配置。訪問控制列表ACL增加了在路由器接口上過濾數(shù)據(jù)包出入的靈活性，可以用來限制網(wǎng)絡(luò)流量，也可以控制用戶和設(shè)備對網(wǎng)絡(luò)的使用，一般的路由器都提供了ACL功能，對于一些網(wǎng)絡(luò)流量不是很大的場合，完全可以借助ACL使路由器實(shí)現(xiàn)防火墻的部分功能，但他不能完全的代替防火墻。當(dāng)接收一個(gè)數(shù)據(jù)包時(shí)，ACL先檢查訪問控制列表，再執(zhí)行相應(yīng)的接受和拒絕的步驟，并不能像專業(yè)的