網(wǎng)絡(luò)管理課件第7章訪問列表

網(wǎng)絡(luò)管理課件第7章訪問列表訪問列表概述

訪問列表由一系列語句組成，這些語句主要包括匹配條件和采取的動作（允許或禁止）兩個部分訪問列表應(yīng)用在路由器的接口上，通過匹配數(shù)據(jù)包信息與訪問列表參數(shù)來決定允許還是拒絕數(shù)據(jù)包通過某個接口。數(shù)據(jù)包是通過還是拒絕，主要通過數(shù)據(jù)包中的源地址、目的地址、源端口、目的端口、協(xié)議等信息來決定。訪問列表的功能

控制網(wǎng)絡(luò)流量，提高網(wǎng)絡(luò)性能控制用戶網(wǎng)絡(luò)行為控制網(wǎng)絡(luò)病毒的傳播訪問列表類型

訪問列表可分為標(biāo)準(zhǔn)IP訪問列表和擴(kuò)展IP訪問列表。標(biāo)準(zhǔn)訪問列表：其只檢查數(shù)據(jù)包的源地址，從而允許或拒絕基于網(wǎng)絡(luò)、子網(wǎng)或主機的IP地址的所有通信流量通過路由器的出口。擴(kuò)展IP訪問列表：它不僅檢查數(shù)據(jù)包的源地址，還要檢查數(shù)據(jù)包的目的地址、特定協(xié)議類型、源端口號、目的端口號等ACL的相關(guān)特性

每一個接口可以在進(jìn)入（inbound）和離開（outbound）兩個方向上分別應(yīng)用一個ACL，且每個方向上只能應(yīng)用一個ACL。ACL語句包括兩個動作：拒絕（deny）和允許(permit)數(shù)據(jù)包進(jìn)入路由器時，進(jìn)入方向（In方向）的ACL起作用。數(shù)據(jù)包離開路由器時，出方向（Out方向）的ACL起作用每個ACL列表結(jié)尾有一個隱含的“拒絕的所有數(shù)據(jù)包(denyany)”的語句ACL轉(zhuǎn)發(fā)的過程IP地址與通配符掩碼的作用規(guī)32位的IP地址與32位的通配符掩碼逐位進(jìn)行比較，通配符掩碼為0的位要求IP地址的對應(yīng)位必須匹配，通配符掩碼為1的位所對應(yīng)的IP地址位不必匹配例：IP地址為192.168.1.0，通配符掩碼為0.0.0.255對應(yīng)的二進(jìn)制為：1100000010101000000000010000000000000000000000000000000011111111通配符掩碼示例通配符掩碼掩碼的兩種特殊形式host表示一臺主機，是通配符掩碼0.0.0.0的簡寫形式192.168.1.100.0.0.0等價于host192.168.1.10any表示所有主機，是通配符掩碼掩碼255.255.255.255的簡寫形式192.168.1.10255.255.255.255等價于any訪問列表配置步驟第一步是配置訪問列表語句第二步是把配置好的訪問列表應(yīng)用到某個端口上標(biāo)準(zhǔn)IP訪問列表的配置命令

配置標(biāo)準(zhǔn)訪問列表access-listaccess-list-numberdeny|permitsource-addresssource-wildcard[log]access-list-number：只能是1～99之間的一個數(shù)字deny|permit：deny表示匹配的數(shù)據(jù)包將被過濾掉；permit表示允許匹配的數(shù)據(jù)包通過source-address：表示單臺或一個網(wǎng)段內(nèi)的主機的IP地址source-wildcard：通配符掩碼Log：訪問列表日志，如果該關(guān)鍵字用于訪問列表中，則對匹配訪問列表中條件的報文作日志標(biāo)準(zhǔn)IP訪問列表的配置命令續(xù)應(yīng)用訪問列表到接口ipaccess-groupaccess-list-numberin|outIn：檢查進(jìn)入路由器的報文Out：檢查離開路由器的報文顯示所有協(xié)議的訪問列表配置細(xì)節(jié)showaccess-list[access-list-number]顯示IP訪問列表showipaccess-list[access-list-number]標(biāo)準(zhǔn)IP訪問列表的配置舉例主機192.168.1.1不能訪問主機192.168.2.1，但可訪問其他主機，對其他主機間的訪問不做任何限制標(biāo)準(zhǔn)IP訪問列表的配置舉例配置router#configureterminalrouter(config)#access-list1permitanyrouter(config)#interfaceEthernet1router(config)#ipaccess-group1out擴(kuò)展IP訪問列表的配置命令

配置擴(kuò)展訪問列表access-listaccess-list-numberpermit|denyprotocolsource-addresssource-wildcardsource-portdestinaitonaddressdestination-wildcarddestination-portlogoptionsaccess-list-numberL：編號范圍為100～199。Permit：通過；deny：禁止通過Protocol：需要被過濾的協(xié)議的類型，如IP、TCP、UDP、ICMP、EIGRP,GRE等。source-address：源IP地址source-wildcard：源通配符掩碼擴(kuò)展IP訪問列表的配置命令續(xù)source-port：可以是單一的某個端口，也可以是一個端口范圍擴(kuò)展IP訪問列表的配置命令續(xù)destination-address：目的IP地址destination-wildcard：目的地址通配符掩碼destination-port：目的端口號，指定方法與源端口號的指定方法相同擴(kuò)展IP訪問列表配置舉例擴(kuò)展IP訪問列表配置舉例配置擴(kuò)展IP訪問列表配置舉例配置續(xù)訪問列表配置注意事項注意訪問列表中語句的次序，盡量把作用范圍小的語句放在前面新的表項只能被添加到訪問表的末尾，即不允許將新的語句插入到原有的訪問列表中標(biāo)準(zhǔn)的IP訪問列表只匹配源地址，如果要檢查更多的條件，則使用擴(kuò)展的IP訪問列表標(biāo)準(zhǔn)的訪問列表盡量靠近目的在應(yīng)用訪問列表時，要特別注意應(yīng)用的方向命名IP訪問列表命名IP訪問列表通過一個名稱而不是一個編號來引用的。命名的訪問列表可用于標(biāo)準(zhǔn)的和擴(kuò)展的訪問表中。名稱的使用是區(qū)分大小寫的，并且必須以字母開頭。在名稱的中間可以包含任何字母數(shù)字混合使用的字符，也可以在其中包含[，]、{，}、_、-、+、/、\、.、&、$、#、@、!以及?等特殊字符名稱的最大長度為100個字符編號IP訪問列表和命名IP訪問列表的區(qū)別

名字能更直觀地反映出訪問列表完成的功能命名訪問列表突破了99個標(biāo)準(zhǔn)訪問列表和100個擴(kuò)展訪問列表的數(shù)量限制，能夠定義更多的訪問列表。命名IP訪問列表允許刪除個別語句，而編號訪問列表只能刪除整個訪問列表單個路由器上命名訪問列表的名稱必須是唯一的，而不同路由器上的命名訪問列表名稱可以相同編號與命名訪問列表命令比較

命名訪問列表配置舉例一通過配置命名訪問列表來實現(xiàn)以下要求：主機192.168.1.1不能訪問主機192.168.2.1，但可訪問其他主機，對其他主機間的訪問不做任何限制命名訪問列表配置舉例一配置router#configureterminalrouter(config)#ipaccess-liststandarddenyhost1router(config-std-nacl)#permitanyrouter(config-std-nacl)#exit!應(yīng)用訪問列表denyhost1router(config)#interfaceEthernet0router(config)#ipaccess-groupdenyhost1out命名訪問列表配置舉例二命名訪問列表配置舉例二配置命名訪問列表配置舉例二配置續(xù)命名訪問列表刪除語句顯示example的內(nèi)容cqdd#showipaccess-listsexampleExtendedIPaccesslistexamplepermittcphost192.168.1.1anydenytcphost192.168.1.2any刪除語句permittcphost192.168.1.1anycqdd#configureterminalcqdd(config)#ipaccess-listextendedexamplecqdd(config-ext-nacl)#nopermittcphost192.168.1.1anycqdd(config-ext-nacl)#^Z顯示刪除語句后example的內(nèi)容cqdd#showipaccess-listsexampleExtendedIPaccesslisthzhdenytcphost192.168.1.2any命名訪問列表加入語句顯示example的內(nèi)容cqdd#showipaccess-listsexampleExtendedIPaccesslistexampledenytcphost192.168.1.2anycqdd#configureterminalcqdd(config)#ipaccess-listextendedexamplecqdd(config-ext-nacl)#^Z顯示增加語句后example的內(nèi)容cqdd#showipaccess-listsexampleExtendedIPaccesslistexampledenytcphost192.168.1.2anypermitudphost192.168.1.3any基于時間訪問列表概述基于時間的訪問列表可以為一天中的不同時間段，或者一個星期中的不同日期，或者二者的結(jié)合制定不同的訪問控制策略，從而滿足用戶對網(wǎng)絡(luò)的靈活需求基于時間的訪問列表能夠應(yīng)用于編號訪問列表和命名訪問列表。實現(xiàn)基于時間的訪問表只需要兩個步驟：第一步是定義一個時間范圍；第二步是在訪問列表中用time-range引用時間范圍。基于時間訪問列表的配置命令時間范圍命名time-rangetime-range-nametime-range-name：時間范圍的名稱定義絕對時間范圍absolute[startstart-timestart-date][endend-timeend-date]start-time和end-time分別用于指定開始和結(jié)束時間，使用24小時間表示，其格式為“小時:分鐘”start-date和end-date分別用于指定開始的日期和結(jié)束的日期，使用日/月/年的日間格式，而不是通常采用的月/日/年格式絕對時間定義舉例基于時間訪問列表的配置命令續(xù)定義周期、重復(fù)使用的時間范圍periodicdays-of-the-weekhh:mmtodays-of-the-weekhh:mmperiodic是以星期為參數(shù)來定義時間范圍的一個命令。它可以使用大量的參數(shù)，其范圍可以是一個星期中的某一天、幾天的結(jié)合，或者使用關(guān)鍵字daily、weekdays、weekend等periodic中的參數(shù)常用的周期時間范圍定義形式周期時間舉例指定的時間范圍為從星期六的早上8:00到星期日的下午5:00，日期為2000年6月1日到2000年的12月31日：router(config)#time-rangeexamplerouter(config-time-range)#absolutestart8:001June2000end17:0031December2000router(config-time-range)#periodicweekend8:00to17:00基于時間訪問列表的配置舉例一基于時間訪問列表的配置舉例一配置基于時間訪問列表的配置舉例二Web服務(wù)器的IP地址為61.186.170.100，對Web服務(wù)器的訪問作如下限制：從Internet網(wǎng)訪問Web只能在星期六早上7:00到星期一早上7:00時間范圍內(nèi)進(jìn)行；而192.168.1.0網(wǎng)段上的用戶只能在星期一到星期五早上8:00到下午5:00訪問Web服務(wù)器；日期范圍為2004年5月1到2004年12月31日基于時間訪問列表的配置舉例二配置基于時間訪問列表的配置舉例二配置續(xù)通過IP訪問列表控制vty訪問舉例Web服務(wù)器的IP地址為，網(wǎng)絡(luò)管理員只能從Web服務(wù)器上登錄路由器，而且登錄只能是星期一到星期五的工作時間（上午8:00到下午5:00）登錄，訪問列表從2004年5月1日起一直有效

通過IP訪問列表控制vty訪問舉例配置router#configureterminalrouter(config)#time-rangetelnet-routercqdd(config-time-range)#asbolutestart7:001May2004cqdd(config-time-range)#periodicweekday8:00to17:00cqdd(config-time-range)#exitrouter(config)#access-list101permittcphost61.186.170.100anyeqtelnettime-rangetelnet-routerrouter(config)#linevty04cqdd(config-line)#access-class101in華為訪問控制列表配置命令(1)定義編號訪問控制列表aclnumberacl-number[match-order{config|auto}]acl-number：訪問列表序號，取值范圍2000～2999表示標(biāo)準(zhǔn)訪問控制列表；3000～3999表示擴(kuò)展訪問控制列表。match-order為可選參數(shù)，其作用是設(shè)置語句的執(zhí)行順序，當(dāng)選用config參數(shù)時，表示路由器按照用戶的配置順序來執(zhí)行訪問列表中的規(guī)則；當(dāng)選用auto參數(shù)時，表示路由器按照深度優(yōu)先的順序來執(zhí)行訪問列表中的規(guī)則。華為訪問控制列表配置命令(2)定義命名訪問控制列表命令：aclnameacl-name[advanced|basic][match-order{config|auto}]acl-name：訪問控制列表的名稱advanced：表示擴(kuò)展訪問控制列表。basic：表示標(biāo)準(zhǔn)訪問控制列表。華為訪問控制列表配置命令(3)定義標(biāo)準(zhǔn)訪問控制列表的子規(guī)則rule[rule-id]{permit|deny}[sourcesource-addrwildcard|any][time-rangename]rule-id：指定訪問控制列表的子項，取值范圍為0～127；permit：表明允許滿足條件的報文通過；deny：表明禁止?jié)M足條件的報文通過；source-addrwildcard|any：source-addrwildcard表示源IP地址和源地址通配符掩碼；any表示所有主機；name：時間段的名稱，可選參數(shù)，表示該規(guī)則在此時間段規(guī)則有效。華為訪問控制列表配置命令(4)定義擴(kuò)展訪問控制列表的子規(guī)則rule[rule-id]{permit|deny}protocol[sourcesource-addrwildcard|any][destinationdest-addrwildcard|any][source-portoperatorport1

[port2]][destination-portoperatorport1[port2]][established][time-rangename]rule-id：指定訪問控制列表的子項，取值范圍為0～127；permit：表明允許滿足條件的報文通過；deny：表明禁止?jié)M足條件的報文通過；protocol：本參數(shù)用來指定協(xié)議類型，可設(shè)置為icmp、igmp、tcp、udp、ip等。source-addrwildcard|any：source-addrwildcard表示源IP地址和源地址通配符掩碼；any表示所有主機；destinationdest-addrwildcard|any：dest-addrwildcard表示目的IP地址和目的地址通配符掩碼；any表示所有目的地址；source-portoperatorport1[port2]：表示報文使用的源TCP或者UDP端口號。destination-portoperatorport1[port2]：表示報文使用的目的TCP或者UDP端口號。established：表示此條規(guī)則僅對TCP建立連接的第一個SYN報文有效；name：時間段的名稱，可選參數(shù)，表示該規(guī)則在此時間段規(guī)則有效。華為訪問控制列表配置命令(5)刪除訪問控制列表的子規(guī)則undorulerule-idrule-id：指定訪問控制列表的子項，取值范圍為0～127；顯示訪問控制列表的配置displayaclconfig{all|acl-number|acl-name}all：表示要顯示所有的訪問列表acl-number：要顯示的訪問列表序號；acl-name：要顯示的訪問列表名字。華為訪問控制列表配置命令(6)時間的定義time-rangetime-name[start-timetoend-time][days-of-the-week][fromstart-date][toend-date]time-name：定義時間范圍的名字。start-time：開始時間，表示形式為hh:mm。end-time：結(jié)束時間，表示形式為hh:mm。days-of-the-week：參數(shù)表示在每周的哪幾天有效fromstart-date：開始日期，表示形式為hh:mmMM-DD-YYYY即小時:分月-日-年；toend-date：結(jié)束日期，表示形式為hh:mmMM-DD-YYYY。華為訪問控制列表配置命令(7)應(yīng)用訪問控制列表packet-filterinboundip-group{acl-number|acl-name}inbound：表示對端口接收的報文進(jìn)行過濾acl-number：訪問控制列表編號；acl-name：訪問控制列表名字；rule_id：可選參數(shù)，指定應(yīng)用訪問列表中的哪個子項，如果不指定則表示要應(yīng)用訪問列表中的所有子項。華為訪問控制列表舉例公司企業(yè)網(wǎng)通過三層交換機Switch的百兆端口實現(xiàn)各部門之間的互連。財務(wù)部門的工資查詢服務(wù)器（IP地址：129.110.1.2）由Ethernet2/1端口接入。要求正確配置ACL，限制其它部門在上班時間8:00至12:00訪問工資服務(wù)器，而總裁的計算機（IP地址：129.111.1.2）不受限制，可以隨時訪問華為訪問控制列表舉例配置[Quidway]time-rangehuawei8:00to18:00working-day[Quidway]aclnametraffic-of-payserveradvanced[Quidway-acl-adv-traffic-of-payserver]rule1denyipsourceanydestination129.110.1.20.0.0.0time-rangehuawei[Quidway]packet-filterip-grouptraffic-of-payserver綜合樓匯聚層ACL配置綜合樓ACL的主要功能是過濾常見的病毒傳播端口，控制病毒在網(wǎng)絡(luò)上的傳播配置步驟分為三步收集常見病毒的傳播端口；配置訪問控制列表；將訪問控制列表應(yīng)用到端口如果辦公用戶間很少直接相互訪問，可以對二層交換機進(jìn)行端口隔離，從而進(jìn)一步控制病毒利用網(wǎng)絡(luò)進(jìn)行傳播教學(xué)樓匯聚層ACL配置為了控制用戶使用網(wǎng)絡(luò)的流量和病毒的傳播，使用較高的安全措施即只允許用戶進(jìn)行常用網(wǎng)絡(luò)操作，其余操作全部禁止常見網(wǎng)絡(luò)端口使用三層交換機作防火墻優(yōu)點：包過濾速度快缺點：三層交換機的ACL只有包過濾功能，缺少防火墻的其他策略，如防上DDOS攻擊，碎片攻擊等InternetLANDMZ區(qū)服務(wù)器3750E1/1E1/2E1/3防火墻數(shù)據(jù)包流動示意圖DMZ區(qū)服務(wù)器3750E1/1E1/2E1/361.186.192.68192.168.1.10InternetLAN61.186.170.10三層交換機配置防火墻的步驟配置主機請求數(shù)據(jù)的訪問控制列表，對目的端口進(jìn)行檢；配置服務(wù)器回應(yīng)數(shù)據(jù)的訪問控制列表，對源端口進(jìn)行檢查；將第1步配置的訪問列表應(yīng)用在主機連接端口的in方向；將第2步配置的訪問列表應(yīng)用在服務(wù)器連接端口的in方向；由于防火墻采用“除了允許的數(shù)據(jù)包，其余全部禁止”的策略，因此每個訪問列表的最后應(yīng)該有一條語句禁止所有數(shù)據(jù)包通過(denyipanyany)。DMZ區(qū)防火墻訪問列表遵守策略遵守“除了允許的數(shù)據(jù)包，其余全部禁止”的策略遵守“最小服務(wù)”策略三層交換機防火墻的維護(hù)增加ACL列表將原有ACL列表復(fù)制保存，再刪除原有的ACL列表按增加新ACL規(guī)則后的順序重新配置ACL列表。修改ACL列表。由于cisco和華為都沒有提供修改ACL語句的命令，因此，ACL語句的修改操作的步驟與增加ACL語句的操作步驟是一樣的刪除ACL規(guī)則。直接用no或undo命令刪除相應(yīng)的規(guī)則即可TCP三次握手（Three-wayHandshake）客戶端發(fā)送一個包含SYN標(biāo)志的TCP報文給服務(wù)器端；服務(wù)器在收到客戶端的SYN報文后，將返回一個SYN+ACK的報文，表示客戶端的請求被接受；客戶端返回一個ACK確認(rèn)報文給服務(wù)器，這樣一個TCP連接完成。TCP攔截原理TCP攔截有攔截和監(jiān)視兩種工作模式攔截模式：路由器攔截到達(dá)的TCPSYN請求，并代表服務(wù)器建立與客戶機的連接，如果連接成功，則代表客戶機建立與服務(wù)器的連接，并將兩個連接進(jìn)行透明合并。在整個連接期間，路由器會一直攔截和發(fā)送數(shù)據(jù)包。對于非法的連接請求，路由器提供更為嚴(yán)格的半連接（half-open）超時限制，以防止自身的資源被SYN攻擊耗盡在監(jiān)視模式下，路由器被動地觀察流經(jīng)路由器的連接請求，如果連接超過了所配置的建立時間，路由器就會關(guān)閉此連接TCP攔截的配置開啟TCP攔截iptcpinterceptlistaccess-list-numberaccess-list-number是已經(jīng)設(shè)置好的IP訪問列表的編號或名稱。設(shè)置TCP攔截模式iptcpinterceptmodeintercept|watchintercept：攔截模式；watch：監(jiān)視模式配置路由器等待時間iptcpinterceptwatch-timeoutsecondsSeconds：設(shè)置等待時間，單位為秒TCP攔截的配置續(xù)配置刪除TCP半連接的閥值(1)iptcpinterceptmax-incompletehighnumberNumber：路由器開始刪除連接之前，能夠存在的最大半連接數(shù)(2)iptcpinercep