CCNA課程精彩回放之訪問控制列表

2019-11-05 00:02:10

字體：大中小

供稿：網(wǎng)友

　　訪問控制列表（access Control List，ACL) 是路由器接口的指令列表，用來控制端口進(jìn)出的數(shù)據(jù)包。ACL適用于所有的被路由協(xié)議，如ip、IPX、AppleTalk等。
　　
　　ACL的定義也是基于每一種協(xié)議的。假如路由器接口配置成為支持三種協(xié)議（IP、AppleTalk以及IPX）的情況，那么，用戶必須定義三種ACL來分別控制這三種協(xié)議的數(shù)據(jù)包。
　　
　　ACL的作用
　　
　　ACL可以限制網(wǎng)絡(luò)流量、提高網(wǎng)絡(luò)性能。例如，ACL可以根據(jù)數(shù)據(jù)包的協(xié)議，指定數(shù)據(jù)包的優(yōu)先級。
　　
　　ACL提供對通信流量的控制手段。例如，ACL可以限定或簡化路由更新信息的長度，從而限制通過路由器某一網(wǎng)段的通信流量。
　　
　　ACL是提供網(wǎng)絡(luò)安全訪問的基本手段。如圖1所示，ACL答應(yīng)主機(jī)A訪問人力資源網(wǎng)絡(luò)，而拒絕主機(jī)B訪問。
　　
　　ACL可以在路由器端口處決定哪種類型的通信流量被轉(zhuǎn)發(fā)或被阻塞。例如，用戶可以答應(yīng)E-mail通信流量被路由，拒絕所有的Telnet通信流量。
　　
　　ACL的執(zhí)行過程
　　
　　一個端口執(zhí)行哪條ACL，這需要按照列表中的條件語句執(zhí)行順序來判定。假如一個數(shù)據(jù)包的報頭跟表中某個條件判定語句相匹配，那么后面的語句就將被忽略，不再進(jìn)行檢查。
　　
　　ACL具體的執(zhí)行流程見圖2。
　　
　　在圖2中，數(shù)據(jù)包只有在跟第一個判定條件不匹配時，它才被交給ACL中的下一個條件判定語句進(jìn)行比較。假如匹配（假設(shè)為答應(yīng)發(fā)送），則不管是第一條還是最后一條語句，數(shù)據(jù)都會立即發(fā)送到目的接口。假如所有的ACL判定語句都檢測完畢，仍沒有匹配的語句出口，則該數(shù)據(jù)包將視為被拒絕而被丟棄。
　　
　　這里要注重，ACL不能對本路由器產(chǎn)生的數(shù)據(jù)包進(jìn)行控制。
　　
　　ACL的分類
　　
　　目前有兩種主要的ACL:標(biāo)準(zhǔn)ACL和擴(kuò)展ACL。
　　
　　這兩種ACL的區(qū)別是，標(biāo)準(zhǔn)ACL只檢查數(shù)據(jù)包的源地址; 擴(kuò)展ACL既檢查數(shù)據(jù)包的源地址，也檢查數(shù)據(jù)包的目的地址，同時還可以檢查數(shù)據(jù)包的特定協(xié)議類型、端口號等。
　　
　　網(wǎng)絡(luò)治理員可以使用標(biāo)準(zhǔn)ACL阻止來自某一網(wǎng)絡(luò)的所有通信流量，或者答應(yīng)來自某一特定網(wǎng)絡(luò)的所有通信流量，或者拒絕某一協(xié)議簇（比如IP）的所有通信流量。
　　
　　擴(kuò)展ACL比標(biāo)準(zhǔn)ACL提供了更廣泛的控制范圍。例如，網(wǎng)絡(luò)治理員假如希望做到“答應(yīng)外來的Web通信流量通過，拒絕外來的FTP和Telnet等通信流量”，那么，他可以使用擴(kuò)展ACL來達(dá)到目的，標(biāo)準(zhǔn)ACL不能控制這么精確。
　　　

　　在路由器配置中，標(biāo)準(zhǔn)ACL和擴(kuò)展ACL的區(qū)別是由ACL的表號來體現(xiàn)的，上表指出了每種協(xié)議所答應(yīng)的合法表號的取值范圍。
　　
　　正確放置ACL
　　
　　ACL通過過濾數(shù)據(jù)包并且丟棄不希望抵達(dá)目的地的數(shù)據(jù)包來控制通信流量。然而，網(wǎng)絡(luò)能否有效地減少不必要的通信流量，這還要取決于網(wǎng)絡(luò)治理員把ACL放置在哪個地方。
　　
　　假設(shè)在圖3所示的一個運(yùn)行TCP/IP協(xié)議的網(wǎng)絡(luò)環(huán)境中，網(wǎng)絡(luò)只想拒絕從RouterA的T0接口連接的網(wǎng)絡(luò)到RouterD的E1接口連接的網(wǎng)絡(luò)的訪問，即禁止從網(wǎng)絡(luò)1到網(wǎng)絡(luò)2的訪問。
　　
　　根據(jù)減少不必要通信流量的通行準(zhǔn)則，網(wǎng)管員應(yīng)該盡可能地把ACL放置在靠近被拒絕的通信流量的來源處，即RouterA上。假如網(wǎng)管員使用標(biāo)準(zhǔn)ACL來進(jìn)行網(wǎng)絡(luò)流量限制，因為標(biāo)準(zhǔn)ACL只能檢查源IP地址，所以實際執(zhí)行情況為：凡是檢查到源IP地址和網(wǎng)絡(luò)1匹配的數(shù)據(jù)包將會被丟掉，即網(wǎng)絡(luò)1到網(wǎng)絡(luò)2、網(wǎng)絡(luò)3和網(wǎng)絡(luò)4的訪問都將被禁止。由此可見，這個ACL控制方法不能達(dá)到網(wǎng)管員的目的。同理，將ACL放在RouterB和RouterC上也存在同樣的問題。只有將ACL放在連接目標(biāo)網(wǎng)絡(luò)的RouterD上（E0接口），網(wǎng)絡(luò)才能準(zhǔn)確實現(xiàn)網(wǎng)管員的目標(biāo)。由此可以得出一個結(jié)論: 標(biāo)準(zhǔn)ACL要盡量靠近目的端。
　　
　　網(wǎng)管員假如使用擴(kuò)展ACL來進(jìn)行上述控制，則完全可以把ACL放在RouterA上，因為擴(kuò)展ACL能控制源地址（網(wǎng)絡(luò)1），也能控制目的地址（網(wǎng)絡(luò)2），這樣從網(wǎng)絡(luò)1到網(wǎng)絡(luò)2訪問的數(shù)據(jù)包在RouterA上就被丟棄，不會傳到RouterB、RouterC和RouterD上，從而減少不必要的網(wǎng)絡(luò)流量。因此，我們可以得出另一個結(jié)論：擴(kuò)展ACL要盡量靠近源端。
　　
　　ACL的配置
　　
　　ACL的配置分為兩個步驟：
　　
　　第一步:在全局配置模式下，使用下列命令創(chuàng)建ACL：
　　
　　Router (config)# access-list access-list-number {permit deny } {test-conditions}
　　
　　其中，access-list-number為ACL的表號。人們使用較頻繁的表號是標(biāo)準(zhǔn)的IP ACL（1—99）和擴(kuò)展的IP ACL（100－199）。
　　
　　在路由器中，假如使用ACL的表號進(jìn)行配置，則列表不能插入或刪除行。假如列表要插入或刪除一行，必須先去掉所有ACL，然后重新配置。當(dāng)ACL中條數(shù)很多時，這種改變非常煩瑣。一個比較有效的解決辦法是：在遠(yuǎn)程主機(jī)上啟用一個TFTP服務(wù)器，先把路由器配置文件下載到本地，利用文本編輯器修改ACL表，然后將修改好的配置文件通過TFTP傳回路由器。
　　
　　這里需要非凡注重的是，在ACL的配置中，假如刪掉一條表項，其結(jié)果是刪掉全部ACL，所以在配置時一定要小心。

　　
　　在Cisco IOS11.2以后的版本中，網(wǎng)絡(luò)可以使用名字命名的ACL表。這種方式可以刪除某一行ACL，但是仍不能插入一行或重新排序。所以，筆者仍然建議使用TFTP服務(wù)器進(jìn)行配置修改。
　　
　　第二步：在接口配置模式下，使用access-group命令A(yù)CL應(yīng)用到某一接口上：
　　
　　Router (config-if)# {PRotocol} access-group access-list-number {in out }
　　
　　其中，in和out參數(shù)可以控制接口中不同方向的數(shù)據(jù)包，假如不配置該參數(shù)，缺省為out。
　　
　　ACL在一個接口可以進(jìn)行雙向控制，即配置兩條命令，一條為in，一條為out，兩條命令執(zhí)行的ACL表號可以相同，也可以不同。但是，在一個接口的一個方向上，只能有一個ACL控制。
　　
　　值得注重的是，在進(jìn)行ACL配置時，網(wǎng)管員一定要先在全局狀態(tài)配置ACL表，再在具體接口上進(jìn)行配置，否則會造成網(wǎng)絡(luò)的安全隱患。
　　