访问控制列表使⽤⽬的:
1、限制络流量、提⾼络性能。例如队列技术,不仅限制了络流量,⽽且减少了拥塞
2、提供对通信流量的控制⼿段。例如可以⽤其控制通过某台路由器的某个络的流量
3、提供了络访问的⼀种基本安全⼿段。例如在公司中,允许财务部的员⼯计算机可以访问财务服务器⽽拒绝其他部门访问财务服务器
4、在路由器接⼝上,决定某些流量允许或拒绝被转发。例如,可以允许FTP的通信流量,⽽拒绝TELNET的通信流量。
⼯作原理:
ACL中规定了两种操作,所有的应⽤都是围绕这两种操作来完成的:允许、拒绝
注意:ACL是CISCO IOS中的⼀段程序,对于管理员输⼊的指令,有其⾃⼰的执⾏顺序,它执⾏指令的顺序是从上⾄下,⼀⾏⾏的执⾏,寻找匹配,⼀旦匹配则停⽌继续查找,如果到末尾还未找到匹配项,则执⾏⼀段隐含代码——丢弃DENY.所以在写ACL时,⼀定要注意先后顺序。
例如:要拒绝来⾃172.16.1.0/24的流量,把ACL写成如下形式
允许172.16.0.0/18
拒绝172.16.1.0/24
允许192.168.1.1/24
拒绝172.16.3.0/24
那么结果将于预期背道⽽驰,把表⼀和表⼆调换过来之后,再看⼀下有没有问题:
拒绝172.16.1.0/24
允许172.16.0.0/18
允许192.168.1.1/24
拒绝172.16.3.0/24
发现172.16.3.0/24和刚才的情况⼀样,这个表项并未起到作⽤,因为执⾏到表⼆就发现匹配,于是路由器将会允许,和我们的需求完全相反,那么还需要把表项四的位置移到前⾯
最后变成这样:
拒绝172.16.1.0/24
拒绝172.16.3.0/24
允许172.16.0.0/18
允许192.168.1.1/24
可以发现,在ACL的配置中的⼀个规律:越精确的表项越靠前,⽽越笼统的表项越靠后放置
ACL是⼀组判断语句的集合,它主要⽤于对如下数据进⾏控制:
1、⼊站数据;
2、出站数据;
3、被路由器中继的数据
⼯作过程
1、⽆论在路由器上有⽆ACL,接到数据包的处理⽅法都是⼀样的:当数据进⼊某个⼊站⼝时,路由
器⾸先对其进⾏检查,看其是否可路由,如果不可路由那么就丢弃,反之通过查路由选择表发现该路由的详细信息——包括AD,METRIC……及对应的出接⼝;
2、这时,我们假定该数据是可路由的,并且已经顺利完成了第⼀步,找出了要将其送出站的接⼝,此时路由器检查该出站⼝有没有被编⼊ACL,如果没有ACL 的话,则直接从该⼝送出。如果该接⼝编⼊了ACL,那么就⽐较⿇烦。第⼀种情况
——路由器将按照从上到下的顺序依次把该数据和ACL进⾏匹配,从上往下,逐条执⾏,当发现其中某条ACL匹配,则根据该ACL指定的操作对数据进⾏相应处理(允许或拒绝),并停⽌继续查询匹配;当查到ACL的最末尾,依然未找到匹配,则调⽤ACL最末尾的⼀条隐含语句deny any来将该数据包丢弃。
对于ACL,从⼯作原理上来看,可以分成两种类型:
1、⼊站ACL
2、出站ACL
上⾯的⼯作过程的解释是针对出站ACL的。它是在数据包进⼊路由器,并进⾏了路由选择找到了出接⼝后进⾏的匹配操作;⽽⼊站ACL是指当数据刚进⼊路由器接⼝时进⾏的匹配操作,减少了查表过程
并不能说⼊站表省略了路由过程就认为它较之出站表更好,依照实际情况⽽定:
如图所⽰,采⽤基本的ACL——针对源的访问控制
要求如下:
1、拒绝1.1.1.2访问3.1.1.2但允许访问5.1.1.2
2、拒绝3.1.1.2访问1.1.1.2但允许访问5.1.1.2
采⽤基本的ACL来对其进⾏控制
R1(config)#access-list 1 deny 1.1.1.2 0.0.0.255
R1(config)#access-list 1 permit any
R1(config)#int e0
R1(config-if)#access-group 1 in
R2(config)#access-list 1 deny 3.1.1.2 0.0.0.255
R2(config)#access-list 1 permit any
R2(config)#int e0
R2(config-if)#access-group 1 in
从命令上来看,配置似乎可以满⾜条件。
假定从1.1.1.2有数据包要发往3.1.1.2,进⼊路由器接⼝E0后,这⾥采⽤的是⼊站表,则不需查找路由表,直接匹配ACL,发现有语句 access-list 1 deny 1.1.1.2 0.0.0.255拒绝该数据包,丢弃;假定从3.1.1.2有数据包要发往1.1.1.2,同上。
当1.1.1.2要和5.1.1.2通信,数据包同样会被拒绝掉
当3.1.1.2要和5.1.1.2通信,数据包也会被拒绝掉
该ACL只能针对源进⾏控制,所以⽆论⽬的是何处,只要满⾜源的匹配,则执⾏操作。
如何解决此问题?
1、把源放到离⽬标最近的地⽅,使⽤出站控制;
2、使ACL可以针对⽬的地址进⾏控制。
第⼀项很好理解,因为标准的ACL只能针对源进⾏控制,如果把它放在离源最近的地⽅,那么就会造成不必要的数据包丢失的情况,⼀般将标准ACL放在离⽬标最近的位置!
第⼆种办法,要针对⽬标地址进⾏控制。因为标准ACL只针对源,所以,这⾥不能采⽤标准ACL,⽽要采⽤扩展ACL.但是它也有它的劣势,对数据的查找项⽬多,虽然控制很精确,但是速度却相对慢些。
简单⽐较以下标准和扩展ACL
标准ACL仅仅只针对源进⾏控制
扩展ACL可以针对某种协议、源、⽬标、端⼝号来进⾏控制
从命令⾏就可看出
标准:
Router(config)#access-list list-number
扩展:
Router(config)#access-list list-number protocol source {source-mask destination destination-mask} [operator operand] [established] [log]
Protocol—⽤来指定协议类型,如IP、TCP、UDP、ICMP以及IGRP等
Source and destination—源和⽬的,分别⽤来标⽰源地址及⽬的地址
Source-mask and destination-mask—源和⽬的的通配符掩码
Operator operand—It,gt,eq,neq(分别是⼩于、⼤于、等于、不等于)和⼀个端⼝号
Established—如果数据包使⽤⼀个已建连接(例如,具有ACK位组),就允许TCP信息通过
为了避免过多的查表,所以扩展ACL⼀般放置在离源最近的地⽅
看完上⾯的内容后,那么⼤家可以看以下⼏道关于CISCO访问控制列表的例题:
1、What are two reasons that a network administrator would u access lists?(Choo two.)
A:to control vty access into a router
B:to control broadcast traffic through a router
C:to filter traffic as it pass through a router
D:to filter traffic that originates from the router
E:to replace passwords as a line of defen against curity incursions
Answers: A, C
注:该题主要考察CISCO考⽣对ACL作⽤的理解:络管理员在络中使⽤ACL的两个理由?
A选项指出了CISCO 访问列表的⼀个⽤法:通过VTY线路来访问路由器的访问控制;
ACL不能对穿越路由器的⼴播流量作出有效控制。
选项C也指明了ACL的另⼀个作⽤,那就是过滤穿越路由器的流量。这⾥要注意了,是“穿越”路由器的流量才能被ACL来作⽤,但是路由器本⾝产⽣的流量,⽐如路由更新报⽂等,ACL是不会对它起任何作⽤的:因为ACL不能过滤由路由器本⾝产⽣的流量,那么D也是错误的;
2、For curity reasons, the network administrator needs to prevent pings into the corporate netw
orks from hosts outside the internetwork. Which protocol should be blocked with access control lists?
A: IP
B: ICMP
C: TCP
D: UDP
Answers: B
安全起见,络管理员想要阻⽌来⾃Internet上的外部主机PING企业内部络,哪种协议必须在访问列表中被阻塞掉?PING 使⽤的是ICMP协议,在ACL中,我们可以⾃⼰来定义需要被允许或者拒绝某些协议的流量。该题选B
3、Refer to the exhibit. The access list has been configured on the S0/0 interface of router RTB in the outbound direction. Which two packets, if routed to the interface, will be denied?(Choo two.)
access-list 101 deny tcp 192.168.15.32 0.0.0.15 any eq telnet
access-list 101 permit ip any any
访问控制列表
A:source ip address: 192.168.15.5; destination port: 21
B:source ip address:, 192.168.15.37 destination port: 21
C:source ip address:, 192.168.15.41 destination port: 21
D:source ip address:, 192.168.15.36 destination port: 23
E:source ip address: 192.168.15.46; destination port: 23
Correct Answers: B, E
如图,在RTB上配置了访问列表,控制从S0/0⼝出去向外部的由192.168.15.32/29段发起的telnet流量,其它流量允许通过。telnet使⽤23号端⼝,由此可以排除掉ABC三个选项。该题选择D,E.
