《路由交換技術(shù)與應(yīng)用》課件第29章

第29章訪問控制ACL配置29.1定義選擇標(biāo)準(zhǔn)29.2ACL的使用場(chǎng)合29.3ACL的使用注意事項(xiàng)29.4ACL配置實(shí)例29.5ACL的維護(hù)與診斷小結(jié)

主要內(nèi)容：

標(biāo)準(zhǔn)ACL的配置

擴(kuò)展ACL的配置

ACL的使用注意事項(xiàng)

ACL規(guī)則中的選擇標(biāo)準(zhǔn)描述了分組的特性。我們可以定義一個(gè)基于源地址過濾的ACL，也可以定義一個(gè)基于源和目的的特定流的ACL。

通常使用下列標(biāo)準(zhǔn)來定義一個(gè)ACL語(yǔ)句：

(1)源IP地址；

(2)目的IP地址；

(3)源端口號(hào)；

(4)目的端口號(hào)；

(5)協(xié)議類型。29.1定義選擇標(biāo)準(zhǔn)這些選擇標(biāo)準(zhǔn)被指定為ACL規(guī)則的域。在定義ACL時(shí)，編號(hào)在1～99之間的ACL稱為標(biāo)準(zhǔn)ACL，在標(biāo)準(zhǔn)ACL中僅對(duì)源地址進(jìn)行定義。編號(hào)在100～199之間的ACL稱為擴(kuò)展ACL，在擴(kuò)展ACL中我們可以對(duì)源地址、目的地址、源端口號(hào)、目的端口號(hào)、協(xié)議號(hào)進(jìn)行定義。定義ACL規(guī)則的方法有兩種：

(1)在全局配置模式下直接定義一個(gè)標(biāo)準(zhǔn)訪問列表或擴(kuò)展訪問列表：

access-list

(2)進(jìn)入訪問列表配置模式：

ipaccess-list

①為訪問列表設(shè)置一個(gè)名字：

name

②為標(biāo)準(zhǔn)訪問列表或擴(kuò)展訪問列表設(shè)置permit條件：

permit

③為標(biāo)準(zhǔn)訪問列表或擴(kuò)展訪問列表設(shè)置deny條件：

deny

ACL規(guī)則的每個(gè)域都對(duì)位置敏感。例如TCP的規(guī)則，源地址之后必須跟隨目的地址，源端口和目的端口必須分別放在源地址和目的地址后面。

并不是ACL規(guī)則的所有域都需要指定。如果沒有指定特定的域，則該域會(huì)被當(dāng)作通配符來處理或不作考慮。如果指定了特定的域，則該域?qū)⑴c分組相匹配。每個(gè)協(xié)議都有很多不同域相匹配。由于每個(gè)域都對(duì)位置敏感，有時(shí)需要“跳過”某些域，以便為另一個(gè)域指定值，可以使用關(guān)鍵字any跳過源地址域或目的地址域。

當(dāng)我們定義了ACL的一組選擇標(biāo)準(zhǔn)后，ACL并沒有生效。ACL只有被接口或某些策略使用才可以生效。下面列舉常見的ACL使用：

(1)把ACL應(yīng)用于接口，該接口準(zhǔn)許或拒絕路由器接收或發(fā)出的數(shù)據(jù)報(bào)。以這種方法使用的ACL被稱為“接口ACL”。

29.2ACL的使用場(chǎng)合

(2)把ACL應(yīng)用于服務(wù)，該服務(wù)準(zhǔn)許或拒絕路由器接收或發(fā)出的數(shù)據(jù)報(bào)。以這種方法使用的ACL被稱為“服務(wù)ACL”。

(3)把ACL與ippolicy，nat等命令相關(guān)聯(lián)，它指定了分組、地址、流基與這些路由器特性相關(guān)而必須符合的標(biāo)準(zhǔn)。以這種方法使用的ACL被稱為“策略ACL”。

(1)對(duì)于有多條規(guī)則的ACL，這些規(guī)則的順序是很重要的，ACL嚴(yán)格按生效的順序進(jìn)行匹配?？梢允褂胹howrunning-config或showaccess-list命令查看生效的ACL規(guī)則順序。

如果分組與某條規(guī)則相匹配，則根據(jù)規(guī)則中的關(guān)鍵字permit或deny進(jìn)行操作，所有的后續(xù)規(guī)則均被忽略。也就是說，采用的是首先匹配的算法。路由器從開始往下檢查列表，一次一條規(guī)則，直至發(fā)現(xiàn)匹配項(xiàng)。29.3ACL的使用注意事項(xiàng)因此，更為具體的規(guī)則應(yīng)始終排列在較不具體的規(guī)則的前面。例如，以下ACL準(zhǔn)許除發(fā)自子網(wǎng)/16之外的所有TCP數(shù)據(jù)報(bào)：

ZXR10(config)#access-list101denytcp55anyanyany

ZXR10(config)#access-list101permittcpanyanyanyany

當(dāng)TCP分組從子網(wǎng)/16中發(fā)出時(shí)，它發(fā)現(xiàn)與第一項(xiàng)規(guī)則相匹配，從而使得該分組被丟棄。發(fā)自其他子網(wǎng)的TCP分組不與第一項(xiàng)規(guī)則相匹配，而是與第二項(xiàng)規(guī)則匹配，由此這些分組得以通過。

(2)在每個(gè)ACL的最后，系統(tǒng)自動(dòng)附加一條隱式deny的規(guī)則，這條規(guī)則拒絕所有數(shù)據(jù)報(bào)。

對(duì)于不與用戶指定的任何規(guī)則相匹配的分組，隱式拒絕規(guī)則起到了截流的作用，所有分組均與該規(guī)則相匹配。

這樣做是出于安全考慮。如果ACL被誤配置，使得應(yīng)該允許通過的分組因?yàn)殡[式拒絕規(guī)則而被阻塞，最壞的結(jié)果就是無法發(fā)送或接收數(shù)據(jù)。而另一方面，如果應(yīng)該拒絕通過的分組被發(fā)送出去，就會(huì)出現(xiàn)安全漏洞。因此，隱式拒絕規(guī)則為ACL的意外誤配置設(shè)置了一道防線。如以下的ACL配置：

ZXR10(config)#access-list101permitip55

ZXR10(config)#access-list101permitip55anyhttp

由于隱式拒絕規(guī)則，該ACL實(shí)際上有3條規(guī)則：

ZXR10(config)#access-list101permitip55

ZXR10(config)#access-list101permitip55anyhttp

ZXR10(config)#access-list101denyanyanyanyany

如果進(jìn)來的分組并不與前兩條規(guī)則相匹配，則該分組被丟棄。這是因?yàn)榈谌龡l規(guī)則(隱式拒絕規(guī)則)匹配所有分組。

29.4.1接口ACL配置

可把ACL應(yīng)用于接口，以檢查入站或出站的數(shù)據(jù)報(bào)。入站數(shù)據(jù)報(bào)就是進(jìn)入路由器的數(shù)據(jù)報(bào)，出站數(shù)據(jù)報(bào)就是從路由器中發(fā)出的數(shù)據(jù)報(bào)。29.4ACL配置實(shí)例對(duì)于每個(gè)接口，在同一方向的同一協(xié)議只能應(yīng)用一個(gè)ACL。例如：不能把兩個(gè)或更多的ACL應(yīng)用于同一接口的入站方向。如果一個(gè)ACL用于入站數(shù)據(jù)報(bào)，一個(gè)ACL用于出站數(shù)據(jù)報(bào)，則可把這兩個(gè)ACL應(yīng)用于同一接口。不過，這一限制并不妨礙在ACL中指定很多規(guī)則，只須把這些規(guī)則放入另一個(gè)ACL，并把它應(yīng)用于接口。

當(dāng)一個(gè)分組從應(yīng)用了入站ACL的接口處進(jìn)入路由器時(shí)，路由器把該分組與ACL所指定的規(guī)則作比較。如果該分組被準(zhǔn)許，則可進(jìn)入路由器，否則，該分組將被丟棄。如果該分組需要從另一個(gè)接口上轉(zhuǎn)發(fā)出去(即該分組將被路由)，則可能要進(jìn)行第二次ACL檢查。在輸出接口處，如果應(yīng)用了出站ACL，該分組將與該出站ACL指定的規(guī)則作比較。因此，分組有可能要通過兩次單獨(dú)的檢查，一次是在入站接口處，另一次是在出站接口處。

當(dāng)把配置的ACL作用于接口時(shí)，使用ipaccess-group命令。

接口ACL的配置實(shí)例如圖29-1所示。

圖29-1應(yīng)用于接口的ACL配置實(shí)例

R2的配置：

ZXR10_R2(config)#interfacefei_1/1

ZXR10_R2(config-if)#ipaddress

ZXR10_R2(config-if)#access-group100out

ZXR10_R2(config)#interfacefei_1/2

ZXR10_R2(config-if)#ipaddress

ZXR10_R2(config-if)#access-group100in

ZXR10_R2(config)#access-list100denyip55any

ZXR10_R2(config)#access-list100denyipany55

ZXR10_R2(config)#access-list100permitipanyany

ZXR10_R2(config)#routerospf1

ZXR10_R2(config-router)#networkarea0

ZXR10_R2(config-router)#networkarea029.4.2ACL應(yīng)用于服務(wù)

在ZXR10GER上，還可創(chuàng)建ACL，以準(zhǔn)許或拒絕對(duì)路由器提供的某種服務(wù)進(jìn)行訪問，如HTTP、Telnet，這種類型的ACL被稱為“服務(wù)ACL”。

依照定義，服務(wù)ACL用于控制發(fā)往路由器特定接口上的服務(wù)的入站分組。例如：在某個(gè)特定接口上，可以允許一些特定主機(jī)訪問Telnet服務(wù)器，或者拒絕特定子網(wǎng)訪問web服務(wù)器。創(chuàng)建服務(wù)ACL更多地是為了控制對(duì)路由器指定接口上的某些服務(wù)進(jìn)行訪問。結(jié)果，只有發(fā)往路由器的入站數(shù)據(jù)報(bào)才會(huì)被檢查。把ACL應(yīng)用于服務(wù)中也是通過將定義的ACL應(yīng)用到接口中實(shí)現(xiàn)的。

在此還是采用圖29-1的組網(wǎng)來說明服務(wù)ACL的具體配置。

R2的配置：

ZXR10_R2(config)#interfacefei_1/1

ZXR10_R2(config-if)#ipaddress

ZXR10_R2(config-if)#access-group110out

ZXR10_R2(config-if)#exit

ZXR10_R2(config)#interfacefei_1/2

ZXR10_R2(config-if)#ipaddress

ZXR10_R2(config-if)#access-group110in

ZXR10_R2(config-if)#exit

ZXR10_R2(config)#access-list110permittcpany8eqtelnet

ZXR10_R2(config)#routerospf1

ZXR10_R2(config-router)#networkarea0

ZXR10_R2(config-router)#networkarea0