访问控制列表方案

Access control list 访问控制列表

数据分类工具：区分流向网络设备的数据流，基于特定数据流的特征区分数据

特征：

源IP

源、目标IP

协议号

端口号

其他一些信息

ACL 使用目的：

区分数据以便统一执行规定的动作

包过滤：定义丢弃或放通的数据特征。丢弃一些数据；放通另外一些数据。

NAT：定义要转换的地址。

IPSec/VPN：定义要加密的数据

QoS：区分不同的业务数据

路由策略：定义要控制的路由

按需拨号；定义感兴趣的流量

ACL 分类：

标准ACL：基于源IP 进行分类；编号1~99

扩展ACL：基于源IP、目标IP、协议号、端口号、应用层；编号100~199

命名ACL：就是把编号取代为名字，并用关键字区分标准或扩展。

二、 包过滤：

通过定义数据的特征，丢弃/放通一些数据

在特定的设备，特定的接口，特定的方向上绑定

人口ACL：针对从该接口进入的数据进行包过滤

出口ACL：针对从该接口离开该设备的数据进行包过滤

针对特定的一个接口，一个协议，一个方向上只能使用一个ACL

ACL 默认不控制自己产生的数据

路由器处理数据包的流程：

ACL 前：

接口收到数据，还原成二层帧

基于目标IP 查找路由表，找到出口

针对出口完成二层重写并封装

ACL 后：

人口ACL：

接口收到数据，还原成二层帧

首先进行基于ACL 的包过滤

被放通的数据查找路由表找出口

基于出口完成二层重写

出口ACL：

接口收到数据，还原成二层帧

基于目标IP 查找路由表，找出口

如果接口有出口ACL，则进行包过滤

允许的数据基于出口完成二层重写

三、 ACL 的基本原则

ACL 的语句由两部分组成：条件、操作

Access‐list 23 permit 192.168.1.8 0.0.0.0

在包过滤中首先检测数据是否符合条件，如果符合条件则执行规定的操纵动作。

ACL 由ACL 号绑定多条语句

匹配顺序：先上后下执行查找

Cisco ACL 缺省有一条隐藏语句：Deny any；Deny any any

Deny 0.0.0.0 255.255.255.255

ACL 的语句书写顺序决定执行顺序

细化的、经常匹配的放在前面、粗略的放在后面

标准IP访问列表（1‐99，1300‐1999）：只使用SIP信息来过滤决定。

扩展IP访问列表（100‐199，2000‐2699）：根据源和目的IP地址、源和目的端口、

协议类型等信息作出过滤。

不能单独删除ACL 中的某些语句

命名ACL 支持单独删除ACL 中的某条语句

ACL 对CPU 有一定的考验~

四、 ACL 的基本配置

保证基本的连通性

定义数据的特征及相应的操作

Access‐list [#]permit/deny 源IP 通配符

在接口上调用ACL

Ip access‐group acl# in/out

命名方式ACL：

Ip access‐list standard/extend ccnp

Config‐acl# permit #or deny #

可以针对特定的语句进行添加、删除

在接口上调用命名ACL

Ip access‐group ccnp in/out

自反ACL

带Established 选项的ACL

检查TCP 头部中的Ack 或Rst 位，如果该位置1 则符合Estalbished 选项

交换网络中的ACL

Racl：路由ACL

应用于交换机三层接口上的ACL（IP 流的ACL）

Pacl：端口ACL

应用于交换机二层接口的ACL，只对In 方向的匹配，可以定义IP 流和非IP 流

Mac‐Acl：

Mac access‐list 1 deny mac_pc1

Int f0/2 ; mac access‐group 1 in

Vlan‐map：

定义ACL：定义数据流

Vlan‐map：决定数据流的行为

Access‐list 100 permit 192.168.2.0 0.0.0.255 192.168.2.0 0.0.0.255

Vlan access‐map ccnp 10

Match ip address 100

Action drop

Vlan filter ccnp vlan 2

访问控制列表的作用：

今天的网络就好比一条复杂的高速公路 ，各种数据在其上快速通过，为了正确的规划流量，保证网络的畅通，安全。我们就要设一些禁行标志、规定单行线等等，这就是网络上的ACL

其实在网络上有很多种方法可以实现以上的作用，但是最简单易行的还是访问控制列表。

访问控制列表：就是用来在使用路由技术的网络里，识别和过滤那些由某些网络发出的或者被发送出去到某些网络的符合我们所规定条件的数据流量，以决定这些数据流量是应该转发还是应该丢弃的技术。

ACL的应用

预先把建好的ACL放置在路由器的接口上，对接口上进方向或者出方向的数据包进行过滤，但是访问控制列表只能过滤经过路由器的数据包，不能过滤其本身产生的数据包。如种种动态路由协议发出的HELLO包。

除了在串口或以太口等物理接口上实现ACL外还可以在一些虚拟接口上实现，比如网管要通过VTY接口登录(TELNET)，就可以在这个接口上安放ACL，以防止没经授权的黑客登录路由器。如图12-1

ACL应用在接口上的工作流程

由于ACL是用来过滤流量的技术，所以它一定是被放置在接口上使用的。同时，由于在接口上数据流量有进(IN)出(OUT)两个方向，所以在接口上使用的控制列表也有两个方向。所以每个接口上，可以在相同被路由协议的情况下维护两张ACL如图12-2，我们在S0进方向放置了ACL，这样的话，数据包如果不允许通过则在进入路由表之前即被丢弃，这样节省了路由器的工作量，如果我们在E0接口放置出方向的ACL，这样的话，数据包即使不允许通过也要选经过路由这样的话浪费时间。理论上应该全是使用进方向的ACL，但到底用哪个方向的，要根据实际情况。无论用哪个方向的ACL其实都会对网络的速度产生影响，但是和其带来的好处相比，显得微不足道了。图12-3是出方向的ACL

ACL过滤数据包所依据的条件

因为我们的前辈在设计被路由协议时，将很多的网络信息封装在数据包的包头里，如：源IP，目的IP以及端口( 套接字)。而我们建立ACL时，就是以这些为基本裁决条件。主要的ACL分为两类

一类：标准访问控制列表。它只能依据数据包的源IP来过滤数据包。也就是说只能过滤来自于哪个主机或网段的数据包，功能有限。但方便易用。如图：12-4

二类：扩展的访问控制列表。它过滤的条件是源IP，目的IP，协议及数据所要访问的端口，以及源端口。比标准访问控制列表灵活的多。如图12-5

访问控制列表的操作

实际上，ACL就是一系列的判断语句。这些语句是一种自上而下的逻辑排列的关系，在一个接口上使能此ACL时，被过滤的数据包会一个一个地和这些语句的条件进行的比较。当不能与任何一条语句符合 时，即被丢弃。另外在ACL是最后有一条隐含的语句即DENY ALL拒绝全部。那么，如果最后一条语句之前的语句没有一个符合数据包通过的条件。则这个接口意味着被封掉了。 需要指出的是ACL的语句顺序很重要。因为是自上而下的执行，一旦把不严厉的语句放在了前面，数据包被放行了，其实这个数据包还有不附合要求的事项，但它也不会继续向下对比，直接就被放行了。这样安全性得到了质疑，所以要把最严厉的语句放在首行。见图12-6，如果最后数据包也没找到合适自己的，那么给用户返回ICMP消息“主机不可达”

定义ACL时，应遵循的规范

1、访问列表号不同代表不同种类，不同协议的列表。

2、一个ACL的配置是每协议、每接口、每方向的。

3、ACL的语句顺序决定了数据包的控制顺序。错误的顺序将使我们得不到所要实现的结果 。

4、最有性的语句应该放置在列表的首行。把全部允许全部拒绝放在末尾。

5、在将ACL应用于接口之前必须先创建ACL。因为在接口 上应用一个不存在的ACL是不可能的。

6、访问控制列表的语句不能逐条删除。只能一次性删除整个访问控制列表。所以建立时一定要小心 ，不然重配一个几百条的ACL是很麻烦的事。建议：在做条目很多的企业ACL时，要先用记事本，做语句。然后粘贴 复制到超级终端里。

7、在ACL的最后 有一条隐含的全部拒绝，所以在ACL里一定要有一条允许的语句。很明显如果一条允许的语句都没有，那么此接口不能通过任何数据包。

访问控制列表的基本格式

创建：：全局下：access-list 列表号 {permit|deny} 条件

应用：：接口下：{protocol} access-group 列表号 {in|out}

删除：：全局下：no access-list 列表号

通配符掩码

我们把0.0.0.0 255.255.255.255称作any

192.168.1.1 0.0.0.0称为host 192.168.1.1