ACL
    随着大规模开放式网络的开发,网络面临的威胁也就越来越多。网络安全问题成为网络管理员最为头疼的问题。一方面,为了业务的发展,必须允许对网络资源的开发访问,另一方面,又必须确保数据和资源的尽可能安全。网络安全采用的技术很多,而通过访问控制列表( ACL)可以对数据流进行过滤,是实现基本的网络安全手段之一。本章只研究基于IP的ACL。
ACL 概述
访问控制列表简称为 ACL,它使用包过滤技术,在路由器上读取第三层及第四层包头中的信息如源地址、目的地址、源端口、目的端口等,根据预先定义好的规则对包进行过滤,从而达到访问控制的目的。ACL 分很多种,不同场合应用不同种类的ACL。
1. 标准ACL
标准 ACL 最简单,是通过使用IP 包中的源IP 地址进行过滤,表号范围1-99 或
1300-1999;
2. 扩展ACL
扩展 ACL 比标准ACL 具有更多的匹配项,功能更加强大和细化,可以针对包括协议类型、源地址、目的地址、源端口、目的端口、TCP 连接建立等进行过滤,表号范围100-199 或2000-2699;
3. 命名ACL
以列表名称代替列表编号来定义 ACL,同样包括标准和扩展两种列表。在访问控制列表的学习中,要特别注意以下两个术语。
1. 通配符掩码:一个 32 比特位的数字字符串,它规定了当一个IP 地址与其他的IP 地址进行比较时,该IP 地址中哪些位应该被忽略。通配符掩码中的“1”表示忽略IP 地址中对应的位,而“0”则表示该位必须匹配。两种特殊的通配符掩码是“255.255.255.255”和“0.0.0.0”,前者等价于关键字“any”,而后者等价于关键字“host”;
2. Inbound 和 outbound:当在接口上应用访问控制列表时,用户要指明访问控制列表是应用于流入数据还是流出数据。
总之, ACL 的应用非常广泛,它可以实现如下的功能:
1. 拒绝或允许流入(或流出)的数据流通过特定的接口;
2. 为 DDR 应用定义感兴趣的数据流;
3. 过滤路由更新的内容;
4. 控制对虚拟终端的访问;
5. 提供流量控制。
实验 1:标准ACL
1. 实验目的
通过本实验可以掌握:
1)ACL 设计原则和工作过程
2)定义标准ACL
3)应用ACL
4)标准ACL 调试
2. 拓扑结构
实验拓扑如图所示。
 

CCNA-ACL实验(标准ACL,扩展ACL,命名ACL,基于时间ACL,动态ACL,自反ACL)_第1张图片

本实验拒绝 PC2 所在网段访问路由器R2,同时只允许主机PC3 访问路由器R2 的TELNET服务。整个网络配置EIGRP 保证IP 的连通性。
3. 实验步骤
1)步骤1:配置路由器R1
R1(config)#router eigrp 1
R1(config-router)#network 10.1.1.0 0.0.0.255
R1(config-router)#network 172.16.1.0 0.0.0.255
R1(config-router)#network 192.168.12.0
R1(config-router)#no auto-summary
2)步骤2:配置路由器R2
R2(config)#router eigrp 1
R2(config-router)#network 2.2.2.0 0.0.0.255
R2(config-router)#network 192.168.12.0
R2(config-router)#network 192.168.23.0
R2(config-router)#no auto-summary
R2(config)#access-list 1 deny 172.16.1.0 0.0.0.255 //定义 ACL
R2(config)#access-list 1 permit any
R2(config)#interface Serial0/0
R2(config-if)#ip access-group 1 in //在接口下应用 ACL
R2(config)#access-list 2 permit 172.16.3.1
R2(config)#line vty 0 4
R2(config-line)#access-class 2 in //在 vty 下应用ACL
R2(config-line)#password cisco
R2(config-line)#login
3)步骤3:配置路由器R3
R3(config)#router eigrp 1
R3(config-router)#network 172.16.3.0 0.0.0.255
R3(config-router)#network 192.168.23.0
R3(config-router)#no auto-summary
【技术要点】
1)ACL 定义好,可以在很多地方应用,接口上应用只是其中之一,其它的常用应用包括在route map 中的match 应用和在vty 下用“access-class”命令调用,来控制telnet 的访问;
2)访问控制列表表项的检查按自上而下的顺序进行,并且从第一个表项开始,所以必须考虑在访问控制列表中定义语句的次序;
3)路由器不对自身产生的IP 数据包进行过滤;
4)访问控制列表最后一条是隐含的拒绝所有;
5)每一个路由器接口的每一个方向,每一种协议只能创建一个ACL;
6)“access-class”命令只对标准ACL 有效。
4. 实验调试
PC1 网络所在的主机上ping 2.2.2.2,应该通,在PC2 网络所在的主机上ping
2.2.2.2,应该不通,在主机 PC3 上TELNET 2.2.2.2,应该成功。
1)show ip access-lists
该命令用来查看所定义的 IP 访问控制列表。
R2#show ip access-lists
Standard IP access list 1
10 deny 172.16.1.0, wildcard bits 0.0.0.255 (11 matches)
20 permit any (405 matches)
Standard IP access list 2
10 permit 172.16.3.1 (2 matches)
以上输出表明路由器 R2 上定义的标准访问控制列表为“1”和“2”,括号中的数字表示匹配条件的数据包的个数,可以用“clear access-list counters”将访问控制列表计数器清零。
2)show ip interface
R2#show ip interface s0/0
Serial0/0 is up, line protocol is up
Internet address is 192.168.12.2/24
Broadcast address is 255.255.255.255
Address determined by setup command
MTU is 1500 bytes
Helper address is not set
Directed broadcast forwarding is disabled
Multicast reserved groups joined: 224.0.0.10
Outgoing access list is not set
Inbound access list is 1
......
以上输出表明在接口 s0/0 的入方向应用了访问控制列表1。
 
实验 2:扩展ACL
1. 实验目的
通过本实验可以掌握:
1)定义扩展ACL
2)应用扩展ACL
3)扩展ACL 调试
2. 拓扑结构
实验拓扑如上所示。
本实验要求只允许 PC2 所在网段的主机访问路由器R2 的WWW 和TELNET 服务,并拒绝PC3 所在网段PING 路由器R2。删除实验1 中定义的ACL,保留EIGRP 的配置。
3. 实验步骤
1)步骤1:配置路由器R1
R1(config)#access-list 100 permit tcp 172.16.1.0 0.0.0.255 host 2.2.2.2 eq www
R1(config)#access-list 100 permit tcp 172.16.1.0 0.0.0.255 host 192.168.12.2
eq www
R1(config)#access-list 100 permit tcp 172.16.1.0 0.0.0.255 host 192.168.23.2 eq www
R1(config)#access-list 100 permit tcp 172.16.1.0 0.0.0.255 host 2.2.2.2 eq telnet
R1(config)#access-list 100 permit tcp 172.16.1.0 0.0.0.255 host 192.168.12.2 eq telnet
R1(config)#access-list 100 permit tcp 172.16.1.0 0.0.0.255 host 192.168.23.2 eq telnet
R1(config)#interface e1/1
R1(config-if)#ip access-group 100 in
2)步骤2:配置路由器R2
R2(config)#no access-list 1 //删除 ACL
R2(config)#no access-list 2
R2(config)#ip http server //将路由器配置成 WEB 服务器
R2(config)#line vty 0 4
R2(config-line)#password cisco
R2(config-line)#login
3)步骤3:配置路由器R3
R3(config)#access-list 101 deny icmp 172.16.3.0 0.0.0.255 host 2.2.2.2 log
R3(config)#access-list 101 deny icmp 172.16.3.0 0.0.0.255 host 192.168.12.2 log
R3(config)#access-list 101 deny icmp 172.16.3.0 0.0.0.255 host 192.168.23.2 log
R3(config)#access-list 101 permit ip any any
R3(config)#interface e1/0
R3(config-if)#ip access-group 101 in
【技术要点】
1)参数“log”会生成相应的日志信息,用来记录经过ACL 入口的数据包的情况;
2)尽量考虑将扩展的访问控制列表放在靠近过滤源的位置上,这样创建的过滤器就不会反过来影响其它接口上的数据流。另外,尽量使标准的访问控制列表靠近目的,由于标准访问控制列表只使用源地址,如果将其靠近源会阻止数据包流向其他端口。
4. 实验调试
1)分别在PC2 上访问路由器R2 的TELNET 和WWW 服务,然后查看访问控制列表100:
R1#show ip access-lists
Extended IP access list 100
10 permit tcp 172.16.1.0 0.0.0.255 host 2.2.2.2 eq www (8 matches)
20 permit tcp 172.16.1.0 0.0.0.255 host 192.168.12.2 eq www
30 permit tcp 172.16.1.0 0.0.0.255 host 192.168.23.2 eq www
40 permit tcp 172.16.1.0 0.0.0.255 host 2.2.2.2 eq telnet (20 matches)
50 permit tcp 172.16.1.0 0.0.0.255 host 12.12.12.2 eq telnet (4 matches)
60 permit tcp 172.16.1.0 0.0.0.255 host 23.23.23.2 eq telnet (4 matches)
2)在PC3 所在网段的主机ping 路由器R2, 路由器R3 会出现下面的日志信息:
*Feb 25 17:35:46.383: %SEC-6-IPACCESSLOGDP: list 101 denied icmp 172.16.3.1 -> 2.2.2.2
(0/0), 1 packet
*Feb 25 17:41:08.959: %SEC-6-IPACCESSLOGDP: list 101 denied icmp 172.16.3.1 -> 2.2.2.2
(0/0), 4 packets
*Feb 25 17:42:46.919: %SEC-6-IPACCESSLOGDP: list 101 denied icmp 172.16.3.1 ->
192.168.12.2 (0/0), 1 packet
*Feb 25 17:42:56.803: %SEC-6-IPACCESSLOGDP: list 101 denied icmp 172.16.3.1 ->
192.168.23.2 (0/0), 1 packet
以上输出说明在访问控制列表 101 在有匹配数据包的时候,系统作了日志。
3)在路由器R3 上查看访问控制列表101:
R3#show access-lists
Extended IP access list 101
10 deny icmp 172.16.3.0 0.0.0.255 host 2.2.2.2 log (5 matches)
20 deny icmp 172.16.3.0 0.0.0.255 host 192.168.12.2 log (5 matches)
30 deny icmp 172.16.3.0 0.0.0.255 host 192.168.23.2 log (5 matches)
40 permit ip any any (6 matches)
实验 3:命名ACL
命名 ACL允许在标准ACL 和扩展ACL 中,使用字符串代替前面所使用的数字来表示ACL。命名ACL 还可以被用来从某一特定的ACL 中删除个别的控制条目,这样可以让网络管理员方便地修改ACL。
1. 实验目的
通过本实验可以掌握:
1)定义命名ACL
2)应用命名ACL
2. 拓扑结构
实验拓扑如上图所示。
3. 实验步骤
本实验给出如何用命名 ACL 来实现实验1 中和实验2 中的要求。
1)在路由器R2 上配置命名的标准ACL实现实验1 的要求
R2(config)#ip access-list standard wu
R2(config-std-nacl)#deny 172.16.1.0 0.0.0.255
R2(config-std-nacl)#permit any
R2(config)#interface Serial0/0
R2(config-if)#ip access-group wu in
R2(config)#ip access-list standard dong
R2(config-std-nacl)#permit 172.16.3.1
R2(config-if)#line vty 0 4
R2(config-line)#access-class dong in
2)在路由器R2 上查看命名访问控制列表
R2#show access-lists
Standard IP access list dong
10 permit 172.16.3.1
Standard IP access list stand
10 deny 172.16.1.0, wildcard bits 0.0.0.255
20 permit any (42 matches)
3)在路由器R1 和R3 上配置命名的扩展ACL 实现实验2 的要求
R1(config)#ip access-list extended wu1
R1(config-ext-nacl)#permit tcp 172.16.1.0 0.0.0.255 host 2.2.2.2 eq www
R1(config-ext-nacl)#permit tcp 172.16.1.0 0.0.0.255 host 192.168.12.2 eq www
R1(config-ext-nacl)#permit tcp 172.16.1.0 0.0.0.255 host 192.168.23.2 eq www
R1(config-ext-nacl)#permit tcp 172.16.1.0 0.0.0.255 host 2.2.2.2 eq telnet
R1(config-ext-nacl)#permit tcp 172.16.1.0 0.0.0.255 host 192.168.12.2 eq
telnet
R1(config-ext-nacl)#permit tcp 172.16.1.0 0.0.0.255 host 192.168.23.2 eq
telnet
R1(config)#interface e1/1
R1(config-if)#ip access-group wu1 in
R3(config)#ip access-list extended wu2
R3(config-ext-nacl)#deny icmp 172.16.3.0 0.0.0.255 host 2.2.2.2 log
R3(config-ext-nacl)#deny icmp 172.16.3.0 0.0.0.255 host 192.168.12.2 log
R3(config-ext-nacl)#deny icmp 172.16.3.0 0.0.0.255 host 192.168.23.2 log
R3(config-ext-nacl)#permit ip any any
R3(config)#interface e1/0
R3(config-if)#ip access-group ext3 in
4)在路由器R1 和R3 上查看命名访问控制列表
R1#show access-lists
Extended IP access list wu1
10 permit tcp 172.16.1.0 0.0.0.255 host 2.2.2.2 eq www
20 permit tcp 172.16.1.0 0.0.0.255 host 192.168.12.2 eq www
30 permit tcp 172.16.1.0 0.0.0.255 host 192.168.23.2 eq www
40 permit tcp 172.16.1.0 0.0.0.255 host 2.2.2.2 eq telnet
50 permit tcp 172.16.1.0 0.0.0.255 host 192.168.12.2 eq telnet
60 permit tcp 172.16.1.0 0.0.0.255 host 192.168.23.2 eq telnet
R3#show access-lists
Extended IP access list wu2
10 deny icmp 172.16.3.0 0.0.0.255 host 2.2.2.2 log
20 deny icmp 172.16.3.0 0.0.0.255 host 192.168.12.2 log
30 deny icmp 172.16.3.0 0.0.0.255 host 192.168.23.2 log
40 permit ip any any
 
实验 4:基于时间ACL
1. 实验目的
通过本实验可以掌握:
1)定义time-range
2)配置基于时间ACL
3)基于时间ACL 调试
2. 拓扑结构
实验拓扑如上所示。
 
本实验要求只允许 PC3 主机在周一到周五的每天的8:00-18:00 访问路由器R2 的TELNET服务。
3. 实验步骤
R3(config)#time-range time //定义时间范围
R3(config-time-range)#periodic weekdays 8:00 to 18:00
R3(config)#access-list 111 permit tcp host 172.16.3.1 host 2.2.2.2 eq telnet time-range time //在访问控制列表中调用 time-range
R3(config)#access-list 111 permit tcp host 172.16.3.1 host 192.168.12.2 eq telnet time-range time
R3(config)#access-list 111 permit tcp host 172.16.3.1 host 192.168.23.2 eq telnet time-range time
R3(config)#interface e1/0
R3(config-if)#ip access-group 111 in
4. 实验调试
1)用“clock”命令将系统时间调整到周一至周五的8:00-18:00 范围内,然后在PC3 上TELNET 路由器R2,此时可以成功,然后查看访问控制列表111:
R3#show access-lists
Extended IP access list 111
10 permit tcp host 172.16.3.1 host 2.2.2.2 eq telnet time-range time (active) (15 matches)
20 permit tcp host 172.16.3.1 host 192.168.12.2 eq telnet time-range time (active)
30 permit tcp host 172.16.3.1 host 192.168.23.2 eq telnet time-range time (active)
2)用“clock”命令将系统时间调整到8:00-18:00 范围之外,然后在PC3 上TELNET 路由器R2,此时不可以成功,然后查看访问控制列表111:
R3#show access-lists
Extended IP access list 111
10 permit tcp host 172.16.3.1 host 2.2.2.2 eq telnet time-range time (inactive) (45
matches)
20 permit tcp host 172.16.3.1 host 192.168.12.2 eq telnet time-range time (inactive)
30 permit tcp host 172.16.3.1 host 192.168.23.2 eq telnet time-range time (inactive)
3)show time-range
该命令用来查看定义的时间范围。
R3#show time-range
time-range entry: shijian (active)
periodic weekdays 8:00 to 18:00
used in: IP ACL entry
used in: IP ACL entry
used in: IP ACL entry
以上输出表示在 3 条ACL 中调用了该time-range。
 
 
 
实验 5:动态ACL
动态 ACL 是Cisco IOS 的一种安全特性,它使用户能在防火墙中临时打开一个缺口,而不会破坏其它已配置了的安全限制。
1. 实验目的
通过本实验可以掌握:
1)动态ACL 工作原理
2)配置VTY 本地登录
3)配置动态ACL
4)动态ACL 调试
2. 拓扑结构
实验拓扑如上图所示。
 
本实验要求如果 PC3 所在网段想要访问路由器R2 的WWW 服务,必须先TELNET 路由器R2 成功后才能访问。
3. 实验步骤
R2(config)#username ccna password cisco //建立本地数据库
R2(config)#access-list 120 permit tcp 172.16.3.0 0.0.0.255 host 2.2.2.2 eq telnet //打开 TELNET 访问权限
R2(config)#access-list 120 permit tcp 172.16.3.0 0.0.0.255 host 192.168.12.2 eq telnet
R2(config)#access-list 120 permit tcp 172.16.3.0 0.0.0.255 host 192.168.23.2 eq telnet
R2(config)#access-list 120 permit eigrp any any //允许 EIGRP 协议
R2(config)#access-list 120 dynamic test timeout 120 permit ip 172.16.3.0
0.0.0.255 host 2.2.2.2
//“ dynamic”定义动态ACL,“timeout”定义动态ACL 绝对的超时时间
R2(config)#access-list 120 dynamic test1 timeout 120 permit ip 172.16.3.0
0.0.0.255 host 192.168.12.2
R2(config)#access-list 120 dynamic test2 timeout 120 permit ip 172.16.3.0
0.0.0.255 host 192.168.23.2
R2(config)#interface s0/1
R2(config-if)#ip access-group 120 in
R2(config)#line vty 0 4
R2(config-line)#login local //VTY 使用本地验证
R2(config-line)#autocommand access-enable host timeout 5
//在一个动态 ACL 中创建一个临时性的访问控制列表条目,“timeout”定义了空闲超时值,空闲超时值必须小于绝对超时值。
【技术要点】
如果用参数“ host”,那么临时性条目将只为用户所用的单个IP 地址创建,如果不使用,那用户的整个网络都将被该临时性条目允许。
4. 实验调试
1)没有TELNET 路由器R2, 在PC3 上直接访问路由器R2 的WWW 服务,不成功, 路由器R2 的访问控制列表:
R2#show access-lists
Extended IP access list 120
10 permit tcp 172.16.3.0 0.0.0.255 host 2.2.2.2 eq telnet (114 matches)
20 permit tcp 172.16.3.0 0.0.0.255 host 12.12.12.2 eq telnet
30 permit tcp 172.16.3.0 0.0.0.255 host 23.23.23.2 eq telnet
40 permit eigrp any any (159 matches)
50 Dynamic test permit ip 172.16.3.0 0.0.0.255 host 2.2.2.2
60 Dynamic test1 permit ip 172.16.3.0 0.0.0.255 host 23.23.23.2
70 Dynamic test2 permit ip 172.16.3.0 0.0.0.255 host 12.12.12.2
2)TELNET 路由器R2 成功之后,在PC3 上访问路由器R2 的WWW 服务,成功,路由器R2 的访问控制列表:
R2#show access-lists
Extended IP access list 120
10 permit tcp 172.16.3.0 0.0.0.255 host 2.2.2.2 eq telnet (114 matches)
20 permit tcp 172.16.3.0 0.0.0.255 host 12.12.12.2 eq telnet
30 permit tcp 172.16.3.0 0.0.0.255 host 23.23.23.2 eq telnet
40 permit eigrp any any (159 matches)
50 Dynamic test permit ip 172.16.3.0 0.0.0.255 host 2.2.2.2
permit ip host 172.16.3.1 host 2.2.2.2 (15 matches) (time left 288)
60 Dynamic test1 permit ip 172.16.3.0 0.0.0.255 host 23.23.23.2
70 Dynamic test2 permit ip 172.16.3.0 0.0.0.255 host 12.12.12.2
(1)和(2)的输出结果可以看到,从主机172.16.3.1 telnet 2.2.2.2,如果通过认证,该telnet 会话就会被切断,IOS 软件将在动态访问控制列表中动态建立一临时条目 “permit ip host 172.16.3.1 host 2.2.2.2”,此时在主机172.16.3.1 上访问2.2.2.2 的Web 服务,成功。
 
 
 
 
实验 6:自反ACL
1. 实验目的
通过本实验可以掌握:
1)自反ACL 工作原理
2)配置自反ACL
3)自反ACL 调试
2. 拓扑结构
实验拓扑如图所示。
 

CCNA-ACL实验(标准ACL,扩展ACL,命名ACL,基于时间ACL,动态ACL,自反ACL)_第2张图片

本实验要求内网可以主动访问外网,但是外网不能主动访问内网,从而有效保护内网。
3. 实验步骤
1)步骤1:分别在路由器R1 和R3 配置默认路由确保IP 连通性
R1(config)#ip route 0.0.0.0 0.0.0.0 192.168.12.2
R3(config)#ip route 0.0.0.0 0.0.0.0 202.210.23.2
2)步骤2:在路由器R2 上配置自反ACL
R2(config)#ip access-list extended ACLOUT
R2(config-ext-nacl)#permit tcp any any reflect REF //定义自反 ACL
R2(config-ext-nacl)#permit udp any any reflect REF
R2(config)#ip access-list extended ACLIN
R2(config-ext-nacl)#evaluate REF //评估反射
R2(config)#int s0/1
R2(config-if)#ip access-group ACLOUT out
R2(config-if)#ip access-group ACLIN in
【技术要点】
1.自反 ACL 永远是permit 的;
2.自反 ACL 允许高层Session 信息的IP 包过滤;
3. 利用自反 ACL 可以只允许出去的流量,但是阻止从外部网络产生的向内部网络的流量,从而可以更好地保护内部网络;
4. 自反 ACL 是在有流量产生时(如出方向的流量)临时自动产生的,并且当Session 结束条目就删除;
5. 自反 ACL 不是直接被应用到某个接口下的,而是嵌套在一个扩展命名访问列表下的。
4. 实验调试
1)同时在路由器R1 和R3 都打开TELNET 服务,在R1(从内网到外网)TELNET 路由器R3 成功,同时在路由器R2 上查看访问控制列表:
R2#show access-lists
Extended IP access list ACLIN
10 evaluate REF
Extended IP access list ACLOUT
10 permit tcp any any reflect REF
20 permit udp any any reflect REF
Reflexive IP access list REF
permit tcp host 202.210.23.3 eq telnet host 192.168.12.1 eq 11002 (48 matches) (time
left 268)
以上输出说明自反列表是在有内部到外部 TELNET 流量经过的时候,临时自动产生一条列表。
2)在路由器R1 打开TELNET 服务,在R3(从外网到内网)TELNET 路由器R1 不能成功,同时在路由器R2 上查看访问控制列表:
R2#show access-lists
Extended IP access list ACLIN
10 evaluate REF
Extended IP access list ACLOUT
10 permit tcp any any reflect REF
20 permit udp any any reflect REF
Reflexive IP access list REF
以上输出说明自反列表是在有外部到内部 TELNET 流量经过的时候,不会临时自动产生一条列表,所以不能访问成功。
命令汇总
命令                         作用
show ip access-lists          查看所定义的 IP 访问控制列表
clear access-list counters    将访问控制列表计数器清零
access-list                   定义 ACL
ip access-group               在接口下应用 ACL
access-class                  vty 下应用ACL
ip access-list                定义命名的 ACL
time-range time               定义时间范围
username username password password 建立本地数据库
autocommand                    定义自动执行的命令