访问控制列表(ACL)

ACL工作原理

ACL用途

• 限制流量: 例如不允许视频传输
• 流量控制: 限制路由更新的传输
• 限制网络访问, 提高安全性
• 过滤流量: 例如不允许telnet传输
• 拒绝网络服务的访问: 例如拒绝用户访问http

数据包过滤

访问控制条目ACE, 由permit和deny构成, 分析传入和传出的数据包, 然后根据特定条件转发或丢弃分析后的数据包

• 标准IPv4 ACL 是在网络接入层生效, 分析数据IP, 在ACE中从上至下比对
• 不满足任何一条就不允许传入
• 如果匹配到最后都没有满足还是不传入

入站出站ACL

• 每个端口都可以传入/传出流量
• 控制传入/传出规则的是出/入站ACL

通配符掩码

• 通配符掩码和IP地址结构相同
• 与IP地址做异或运算, 即掩码是0的部分会被保留, 1的部分会被舍弃
• 保留的部分是要在ACE中比较的部分

常用的例子

• 要比较每一位IP地址

  IP=192.168.1.1
  掩码=0.0.0.0
  或者
  掩码=host 192.168.1.1
  

• 允许所有IP

  掩码=0.0.0.0 255.255.255.255
  或
  掩码=any
  

• 比较前24位, 禁止192.168.1.1/24网段的

  掩码=0.0.0.255
  

• 允许/拒绝某个网段的IP访问, 通配符掩码=255.255.255.255-子网掩码

ACL创建规则

• 指导规则
  • 内网和外网交界处使用ACL
  • 网络两个部分交界处
  • 网络边界的路由器
  • 边界路由器不同的网络协议
• 为每种协议, 每个方向, 每个接口配置ACL

ACL放置原则

• 扩展ACL, 放置在尽可能靠近需要过滤的流量源的位置上, 这样, 减少网络流量.
• 标准ACL, 不会指定目标地址, 要靠近目标

标准IPv4ACL

修改ACL

• 直接编辑

    no access-list 1
    access-list 1 deny host 192.168.10.10
    access-list 1 permit 192.168.0.0 0.0.255.255
  

• 使用序号

  show access-lists 1
  conf t
  ip access-list standard 1
  no 10 // 删除编号为10的ACL语句
  10 deny host 192.168.10.10
  end
  

• 将ACL添加到端口

  inter g0/0
  no ip access-group 20 in // 删除ACL
  ip access-group 10 in // 添加access-list 10 到入站口
    
  

验证ACL

show ip inter 
show access-lists
show running-config | include access-list 1

• show access-lists会显示统计匹配到的数据包的数量, 使用 clear access-list counters 删除统计

限制远程接入

在vty上配置ACL

line vty 0 4
login local
transport input ssh
access-class 21 in // 限制传入
exit
access-list 21 permit host 192.168.10.2
access-list 21 deny any

排除ACL故障

使用ACL处理数据包

• ACE写的顺序要从小范围到大范围, 以防先匹配大范围忽略特定IP. 思科路由器会自动排序.

• 路由器接到数据处理流程

  • 检查MAC地址
  • 匹配入站ACL
  • 匹配出站ACL