網(wǎng)絡(luò)通信技術(shù)應(yīng)用 課件 2.13 訪問控制列表（ACL）技術(shù)

訪問控制列表（ACL）技術(shù)訪問控制列表（ACL）技術(shù)數(shù)據(jù)包過濾與訪問控制列表(ACL)思科華為標(biāo)準(zhǔn)訪問控制列表技術(shù)思科華為擴(kuò)展訪問控制列表技術(shù)作業(yè)十二實(shí)驗(yàn)14*實(shí)驗(yàn)15訪問控制列表（ACL）技術(shù)前面學(xué)習(xí)的技術(shù)，主要解決怎樣使信息在網(wǎng)絡(luò)中能夠順利到達(dá)目的地。本講要學(xué)習(xí)在網(wǎng)絡(luò)信息到達(dá)目的地已經(jīng)沒有問題情況下，如何設(shè)置一些規(guī)則對流經(jīng)網(wǎng)絡(luò)的數(shù)據(jù)包進(jìn)行過濾的技術(shù)。一、數(shù)據(jù)包過濾與訪問控制列表(ACL)1.數(shù)據(jù)包過濾概述數(shù)據(jù)包過濾（packetfiltering）是一種采用軟件或硬件技術(shù)，對向網(wǎng)絡(luò)上傳輸或從網(wǎng)絡(luò)下載的數(shù)據(jù)流，進(jìn)行有選擇的控制過程?？刂品绞绞窃试S或拒絕通過。對數(shù)據(jù)包進(jìn)行過濾，可以基于如下因素：該數(shù)據(jù)包所屬的協(xié)議（TCP、UDP，或ICMP、IP等協(xié)議）；數(shù)據(jù)包發(fā)出的源IP地址、將要接收數(shù)據(jù)包的目的IP地址；邏輯端口號（服務(wù)類型）；時(shí)間段；數(shù)據(jù)包的傳輸方向（向外傳出，還是向內(nèi)傳入）；等等。一、數(shù)據(jù)包過濾與訪問控制列表(ACL)數(shù)據(jù)包過濾，就是通信過程中對網(wǎng)絡(luò)中轉(zhuǎn)發(fā)的數(shù)據(jù)包，按照事先約定的規(guī)則，允許或禁止其通過。進(jìn)行包過濾的前提：網(wǎng)絡(luò)IP規(guī)劃、設(shè)備連接都已做好，網(wǎng)絡(luò)路由已完全暢通。可以進(jìn)行數(shù)據(jù)包過濾的設(shè)備：路由器、三層交換機(jī)、防火墻等（網(wǎng)絡(luò)層或以上層的設(shè)備）。2.訪問控制列表ACL訪問控制列表（AccessControlList，ACL）是一種具體的數(shù)據(jù)包過濾技術(shù)——對經(jīng)過網(wǎng)絡(luò)設(shè)備的數(shù)據(jù)包，按照一定的規(guī)則進(jìn)行過濾——允許通過|禁止通過。一、數(shù)據(jù)包過濾與訪問控制列表(ACL)訪問控制列表ACL的主要功能是對數(shù)據(jù)包中的源IP、目標(biāo)IP、協(xié)議(ICMP,TCP,UDP,OSPF,IP等)、端口號、訪問時(shí)間等因素的進(jìn)行合法性判斷，合法的（允許的）則讓其通過，不合法的（禁止、拒絕）則丟棄。例如圖2-13-1中路由器Router1按照預(yù)先設(shè)定的規(guī)則，對本路由器左、右接口流出的數(shù)據(jù)包進(jìn)行過濾，合規(guī)的讓其通過，不合規(guī)的就拒絕其通過（丟棄）。一、數(shù)據(jù)包過濾與訪問控制列表(ACL)3.ACL配置的基本步驟(1)定義ACL規(guī)則(2)ACL部署(3)過濾應(yīng)用其中第(1)(2)步由人工配置，第(3)步由設(shè)備自動(dòng)執(zhí)行。一、數(shù)據(jù)包過濾與訪問控制列表(ACL)4.ACL的類型（1）標(biāo)準(zhǔn)ACL標(biāo)準(zhǔn)ACL又分為基于編號的標(biāo)準(zhǔn)ACL、基于名稱的標(biāo)準(zhǔn)ACL。（2）擴(kuò)展ACL擴(kuò)展ACL又分為基于編號的擴(kuò)展ACL、基于名稱的擴(kuò)展ACL。擴(kuò)展ACL的編號范圍，思科（銳捷）：100~199、華為：3000~3999；擴(kuò)展ACL的名稱，與程序設(shè)計(jì)中變量命名規(guī)則相似?；诰幪柕臉?biāo)準(zhǔn)(擴(kuò)展)ACL，主要應(yīng)用于路由器；基于名稱的標(biāo)準(zhǔn)(擴(kuò)展)ACL，只應(yīng)用于三層交換機(jī)。二、思科華為標(biāo)準(zhǔn)訪問控制列表技術(shù)1.標(biāo)準(zhǔn)ACL概述標(biāo)準(zhǔn)ACL（基本ACL）的主要功能是針對數(shù)據(jù)報(bào)中源IP地址制定訪問規(guī)則，對某一接口流進(jìn)/流出數(shù)據(jù)報(bào)的源IP地址進(jìn)行合法性判斷，決定允許還是拒絕該數(shù)據(jù)報(bào)通過。標(biāo)準(zhǔn)ACL工作流程如下。(1)ACL規(guī)則定義。針對源IP定義訪問控制列表ACL，以數(shù)字序號或名稱命名，每一個(gè)ACL可包含多條規(guī)則。(2)ACL部署。將ACL部署到某一接口（入、出）。(3)ACL過濾。通信時(shí)，路由器（交換機(jī)）按照ACL規(guī)則，自動(dòng)對合法(permit)的數(shù)據(jù)報(bào)，予以通過（轉(zhuǎn)發(fā)）；對不合法(deny)的數(shù)據(jù)報(bào)，予以丟棄。二、思科華為標(biāo)準(zhǔn)訪問控制列表技術(shù)1.標(biāo)準(zhǔn)ACL概述標(biāo)準(zhǔn)ACL分為基于編號的標(biāo)準(zhǔn)ACL和基于名稱的標(biāo)準(zhǔn)ACL，編號的標(biāo)準(zhǔn)ACL主要用于路由器；基于名稱的標(biāo)準(zhǔn)ACL則用于三層交換機(jī)中。標(biāo)準(zhǔn)ACL的編號范圍，思科（銳捷）：1~99、華為：2000~2999?；诿Q的標(biāo)準(zhǔn)ACL，就是給一個(gè)標(biāo)準(zhǔn)ACL取一個(gè)名稱（只有名稱沒有編號，或者既有名稱又有編號），標(biāo)準(zhǔn)ACL的名稱，與程序設(shè)計(jì)中的變量命名規(guī)則相似。二、思科華為標(biāo)準(zhǔn)訪問控制列表技術(shù)2.思科（銳捷）基于編號的標(biāo)準(zhǔn)訪問控制列表（ACL）Cisco（Ruijie）基于編號的標(biāo)準(zhǔn)ACL用于路由器上。(1)定義標(biāo)準(zhǔn)ACL命令格式（全局模式下）

access-list

n{permit|deny}source-IPwild-mask其中：n：標(biāo)準(zhǔn)ACL編號，取值范圍:1~99；source-IPwild-mask：源IP(網(wǎng)絡(luò)/子網(wǎng)地址)和反掩碼，確定源IP的范圍；

當(dāng)源IP是一個(gè)主機(jī)IP時(shí)，可用host

source-IP取代；

源IP是任意IP時(shí)，用any取代。

access-listn{permit|

deny}……..//定義access-listn的下一條規(guī)則同一個(gè)access-listn（n相同），可包含多條規(guī)則，規(guī)則的先后次序按照定義順序。二、思科華為標(biāo)準(zhǔn)訪問控制列表技術(shù)(2)ACL部署到接口（接口模式下）標(biāo)準(zhǔn)訪問控制列表，一般應(yīng)用于距目標(biāo)較近端口將編號型ACL應(yīng)用到路由器接口命令（接口模式）

ipaccess-group

n{in|out}n：標(biāo)準(zhǔn)ACL編號，范圍:1~99；in：過濾從接口流入路由器的數(shù)據(jù)包；out：過濾從接口流出路由器的數(shù)據(jù)包。(3)通信時(shí)包過濾，自動(dòng)執(zhí)行。二、思科華為標(biāo)準(zhǔn)訪問控制列表技術(shù)例如，對以下網(wǎng)絡(luò)編寫一個(gè)基于編號的標(biāo)準(zhǔn)ACL——access-list18，規(guī)則與命令如下。二、思科華為標(biāo)準(zhǔn)訪問控制列表技術(shù)(1)允許/24網(wǎng)絡(luò)的通信流量通過。命令：

access-list18permit55(2)禁止地址為0的主機(jī)的通信流量。命令：

access-list18deny0

或者access-list18denyhost0(3)拒絕來自/24網(wǎng)絡(luò)的通信流量。命令：

access-list18deny55(4)允許所有的通信流量通過。命令：

access-list18permit

any

將編號18的標(biāo)準(zhǔn)ACL應(yīng)用于路由器Router1接口fa0/0，對流出方向的數(shù)據(jù)包過濾。intfa0/0

ipaccess-group18out

二、思科華為標(biāo)準(zhǔn)訪問控制列表技術(shù)關(guān)于標(biāo)準(zhǔn)ACL中規(guī)則的順序。ACL通常是一組具有相同listn編號的規(guī)則有序集合，由一系列的ACL語句構(gòu)成。語句處理順序?yàn)椋鹤陨隙拢饤l比較，相符則執(zhí)行，不符則看下一條。

課堂練習(xí)：基于編號的標(biāo)準(zhǔn)ACL應(yīng)用，設(shè)計(jì)標(biāo)準(zhǔn)ACL規(guī)則，使得路由器Router0的fa0/1接口上Server1(IP:)，拒絕來自主機(jī)2的數(shù)據(jù)包，拒絕來自/24網(wǎng)段的數(shù)據(jù)包，允許其他所有數(shù)據(jù)包通過。二、思科華為標(biāo)準(zhǔn)訪問控制列表技術(shù)參考配置命令如下。Router0(全局模式下)配置命令:access-li10deny2access-li10deny55access-li10permitany//其中，2可以換寫為

host2interfa0/1//進(jìn)入接口ipaccess-group10out//在接口的流出方向部署ACL10二、思科華為標(biāo)準(zhǔn)訪問控制列表技術(shù)2.思科（銳捷）基于名稱的標(biāo)準(zhǔn)訪問控制列表（ACL）Cisco/Ruijie基于名稱的標(biāo)準(zhǔn)ACL的定義與部署，如下所示。(1)Cisco基于名稱標(biāo)準(zhǔn)ACL的規(guī)則定義：

ipaccess-liststandard

aclname//定義一個(gè)標(biāo)準(zhǔn)acl名為aclname{permit

|deny}sourceIPwild-mask|hostsourceIP|any{permit

|deny}sourceIPwild-mask|hostsourceIP|any……(2)在三層交換機(jī)的vlan虛接口應(yīng)用：

intvlan

n

ipaccess-group

aclname{in|out}二、思科華為標(biāo)準(zhǔn)訪問控制列表技術(shù)譬如，對于圖2-13-4所示的交換機(jī)網(wǎng)絡(luò)，VLAN、IP地址等都已配置好，網(wǎng)絡(luò)暢通。二、思科華為標(biāo)準(zhǔn)訪問控制列表技術(shù)現(xiàn)在要建立如下ACL規(guī)則：(1)拒絕主機(jī)訪問server1;(2)拒絕網(wǎng)絡(luò)/24訪問server1;(3)拒絕網(wǎng)絡(luò)/25訪問server1;(4)允許所有網(wǎng)絡(luò)段訪問。在Switch1上建立基于名稱的標(biāo)準(zhǔn)ACL（全局模式下）ipaccess-liststandardmyacl001denydeny55deny27permitanyexit二、思科華為標(biāo)準(zhǔn)訪問控制列表技術(shù)將myacl001部署在交換機(jī)Switch1虛接口intvlan16的流出方向。intvlan16ipaccess-groupmyacl001out將myacl001部署到Swtich1的vlan16虛接口以后，PC1、PC3、PC5不能訪問Server1了，PC2、PC4仍然可以訪問Server1了。圖2-13-5(a)(b)顯示出：myacl001部署前PC3可以訪問Server1，myacl001部署以后PC3不能訪問Server1了；myacl001部署前、后，PC4都可以訪問Server1，圖2-13-5(c)。二、思科華為標(biāo)準(zhǔn)訪問控制列表技術(shù)3.華為基于編號的標(biāo)準(zhǔn)訪問控制列表（ACL）Huawei基于編號的標(biāo)準(zhǔn)ACL，可用于路由器也可以用于三層交換機(jī)。規(guī)則定義與部署如下。(1)Huawei定義標(biāo)準(zhǔn)ACL命令格式（系統(tǒng)視圖）

aclnumber

n

rule

a{permit|deny}sourcex.x.x.xw.w.w.w

[time-rangetname]

rule

b……其中：n：標(biāo)準(zhǔn)ACL編號，取值范圍:2000~2999;

a、b:正整數(shù)1、2、3、4等；x.x.x.xw.w.w.w：源IP地址(網(wǎng)絡(luò)地址)與反掩碼；

當(dāng)源IP是一個(gè)主機(jī)IP時(shí)，可用x.x.x.x0取代；

源IP是任意IP時(shí)，x.x.x.xw.w.w.w用any取代；time-rangetname：時(shí)間范圍（可選項(xiàng)），tname在此前已定義好的時(shí)間常量。二、思科華為標(biāo)準(zhǔn)訪問控制列表技術(shù)(2)將標(biāo)準(zhǔn)ACL部署到接口

標(biāo)準(zhǔn)訪問控制列表，一般應(yīng)用于距目標(biāo)較近端口

將編號型ACL應(yīng)用到路由器（或三層交換機(jī)）接口的命令（Huawei接口視圖）

traffic-filter

{inbound|outbound}acl

n其中：n：標(biāo)準(zhǔn)ACL編號，范圍:2000~2999；inbound：過濾從接口流進(jìn)路由器的數(shù)據(jù)報(bào)；outbound：過濾從接口流出路由器的數(shù)據(jù)報(bào)。二、思科華為標(biāo)準(zhǔn)訪問控制列表技術(shù)(3)通信時(shí)自動(dòng)進(jìn)行包過濾例如，有如下AS網(wǎng)絡(luò)，已配置好路由，所有主機(jī)都能相互通信。如圖2-13-6所示。二、思科華為標(biāo)準(zhǔn)訪問控制列表技術(shù)前提：所有IP設(shè)備已能互通。

數(shù)據(jù)報(bào)過濾規(guī)則：A.允許網(wǎng)絡(luò)段/24訪問服務(wù)器server1；B.允許網(wǎng)絡(luò)段/24訪問服務(wù)器server1；C.禁止本接口、該方向上其它網(wǎng)絡(luò)段訪問server1。Huawei命令這樣寫，在AR1定義ACL2002（系統(tǒng)視圖下）：aclnumber2002rule1permitsource55rule2permitsource55rule3denysourceany二、思科華為標(biāo)準(zhǔn)訪問控制列表技術(shù)在部署ACL2002之前，先檢測一下各主機(jī)對Server1(6)的訪問情況，如圖2-13-7所示，PC2、PC1都能正常訪問Server1。二、思科華為標(biāo)準(zhǔn)訪問控制列表技術(shù)然后，在AR1的g0/0/1接口流出方向部署acl2002：intg0/0/1traffic-filteroutboundacl2002就可以了。當(dāng)有數(shù)據(jù)報(bào)從AR1的g0/0/1接口流出時(shí)，自動(dòng)按照ACL規(guī)則過濾。此時(shí)，再來檢測一下從PC2、PC1訪問服務(wù)器的情況，如圖2-13-8所示。從圖2-13-8可以看出，在AR1的g0/0/1接口部署完ACL2002以后，PC1仍然能正常訪問Server1，PC2就不能訪問Server1了。二、思科華為標(biāo)準(zhǔn)訪問控制列表技術(shù)(4)time-range定義與調(diào)用（系統(tǒng)視圖）Huawei標(biāo)準(zhǔn)訪問控制列表的每一條規(guī)則后都可以加一個(gè)時(shí)間限定字段。在訪問控制列表的具體規(guī)則的后面，可加上時(shí)間限制選項(xiàng)[time-rangetname]，tname是已定義好的一個(gè)時(shí)間范圍名稱（相當(dāng)于時(shí)間常量）。使用時(shí)間常量前，須先定義。時(shí)間段分為絕對時(shí)間段、周期性時(shí)間段兩種。時(shí)間段常量也分為絕對時(shí)間常量、周期性時(shí)間常量兩種。Huawei設(shè)備顯示當(dāng)前時(shí)間和已定義的時(shí)間段命令：Disptime-rangeall二、思科華為標(biāo)準(zhǔn)訪問控制列表技術(shù)（a）絕對時(shí)間段time-range定義time-rangexnamefromhh:mmyyyy/mm/ddtohh:mmyyyy/mm/dd(從)(到)xname：時(shí)間段常量名稱，自定義hh:mmyyyy/mm/dd：起始、終止時(shí)刻(時(shí):分,年/月/日)例如：time-rangetime01from8:102025/5/4to20:302025/5/4time-rangetime02from0:02025/5/5to6:592025/5/10二、思科華為標(biāo)準(zhǔn)訪問控制列表技術(shù)（b）周期性時(shí)間段time-range定義time-rangetnamehh:mmto

hh:mmperiod_daytname：時(shí)間段常量名稱，自定義hh:mm：起始、終止時(shí):分period_day：周期性日期，可以為daily每天off-day周末（星期六和星期日）working-day工作日（從星期一到星期五）period_day:還可以為：0|sun：星期日(Sunday)1|mon：星期一(Monday)2|tue：星期二(Tuesday)3|wed：星期三(Wednesday)4|thu：星期四(Thursday)5|fri：星期五(Friday)6|sat：星期六(Saturday)二、思科華為標(biāo)準(zhǔn)訪問控制列表技術(shù)例如：time-rangetime030:0to6:30daily//每天0:0到6:30time-rangetime048:0to17:30working-day//工作日8:0到17:30再譬如：(1)從今天(2025/6/4)16:28到17:15time-rangename05from16:282025/6/4to17:152025/6/4(2)每星期五的8:00到12:00time-rangetime068:00to12:00fri(3)周末18:00到23:59time-rangetime0718:00to23:59off-day二、思科華為標(biāo)準(zhǔn)訪問控制列表技術(shù)（c）周期性時(shí)間段time-range的使用

將已定義的時(shí)間常量應(yīng)于ACL具體規(guī)則后面aclnumbernrule

a{permit|deny}sourcex.x.x.xw.w.w.wtime-rangetnametname:時(shí)間段常量名稱，此前已定義例如：aclnumber2003

rule1denysource55time-rangetime03二、思科華為標(biāo)準(zhǔn)訪問控制列表技術(shù)4.華為基于名稱的標(biāo)準(zhǔn)訪問控制列表（ACL）Huawei基于名稱的標(biāo)準(zhǔn)ACL，用于三層交換機(jī)上。(1)Huawei基于名稱的標(biāo)準(zhǔn)ACL規(guī)則定義(系統(tǒng)視圖)：

aclname

xnamebasic

rule

a{permit|deny}sourcesourceIPwild-mask|hostIP|any[time-rangetname]

ruleb……

說明：hostIP：單個(gè)主機(jī)的IP二、思科華為標(biāo)準(zhǔn)訪問控制列表技術(shù)(2)應(yīng)用于三層交換機(jī)的接口(物理接口):traffic-filter

{inbound|outbound}aclname

xname

若將圖2-13-6中的路由器AR1換成三層交換機(jī)Switch1（接口名保持不變），采用基于名稱的ACL定義為：aclnamenam002basic

rule1............

在華為三層交換機(jī)Switch1部署基于名稱的ACL的命令為：intg0/0/1

traffic-filteroutboundaclnamename002二、思科華為標(biāo)準(zhǔn)訪問控制列表技術(shù)注意：(1)華為與思科基于名稱的ACL，部署接口要求不一樣！思科（銳捷）要將基于名稱的ACL部署在三層交換機(jī)的vlan虛接口下，華為則是將基于名稱的ACL直接部署在三層交換機(jī)的物理接口下。(2)思科基于編號的ACL只用于路由器，基于名稱的ACL只用于三層交換機(jī)；華為基于編號的ACL既可用于路由器、也可用與三層交換機(jī)，華為基于名稱的ACL只用于三層交換機(jī)。(3)華為的訪問控制列表規(guī)則中可分時(shí)段進(jìn)行控制，銳捷的訪問控制列表也可以按時(shí)間段控制，但PT仿真里的思科路由器和三層交換機(jī)都不能設(shè)置時(shí)間段控制。二、思科華為標(biāo)準(zhǔn)訪問控制列表技術(shù)5.課堂小實(shí)驗(yàn)（1）為保護(hù)服務(wù)器(/24)，在路由器上設(shè)計(jì)一個(gè)標(biāo)準(zhǔn)ACL，除允許/24網(wǎng)段的數(shù)據(jù)包訪問服務(wù)器Server1以外，拒絕其它所有IP訪問Server1。并將這個(gè)標(biāo)準(zhǔn)ACL部署在Router0的適當(dāng)接口。三、思科華為擴(kuò)展訪問控制列表技術(shù)1.擴(kuò)展訪問控制列表ACL概述與標(biāo)準(zhǔn)訪問控制列表主要考慮源IP地址這一個(gè)因素不同，擴(kuò)展訪問控制列表考慮的因素較多。擴(kuò)展訪問控制列表考慮的因素有：源IP、目的IP、源端口、目的端口和協(xié)議等。擴(kuò)展訪問控制列表的部署位置選擇：（1）網(wǎng)絡(luò)中有具體的保護(hù)對象時(shí)，ACL距保護(hù)端較近的端口部署；（2）網(wǎng)絡(luò)無具體保護(hù)對象卻有具體的被控制對象時(shí)，ACL距被控制端較近端口部署。部署方向：（1）入棧應(yīng)用（in/inbound）（2）出棧應(yīng)用（out/outbound）三、思科華為擴(kuò)展訪問控制列表技術(shù)ACL部署完以后，路由器/三層交換機(jī)自動(dòng)對經(jīng)過的數(shù)據(jù)進(jìn)行過濾，ACL的工作流程圖如右。三、思科華為擴(kuò)展訪問控制列表技術(shù)2.思科（銳捷）基于編號的擴(kuò)展訪問控制列表（ACL）（1）Cisco(Ruijie)基于編號的擴(kuò)展ACL基本格式access-list

n{permit|deny}protocolsourceIPwild-mask[operandport]destIPwild-mask[operandport][time-rangetname(ruijie)]編號n，取值范范：100~199；協(xié)議項(xiàng)protocol，可以是傳輸層TCP、UDP，網(wǎng)絡(luò)層IP、ICMP等協(xié)議；operand，可選eq(等于),gt(大于),lt(小于),neq(不等于)；port，是應(yīng)用層協(xié)議在傳輸層對應(yīng)的端口號(或典型應(yīng)用名)；sourceIPwild-mask、destIPwild-mask，源IP地址與反掩碼、目的IP地址與反掩碼，若是一臺主機(jī)，用hostx.x.x.x或x.x.x.x；三、思科華為擴(kuò)展訪問控制列表技術(shù)time-rangetname，在tname規(guī)定時(shí)間段發(fā)揮作用.只Ruijie有這個(gè)選項(xiàng)，PacketTracer里Cisco設(shè)備無該選項(xiàng)。擴(kuò)展ACL的因素這么多，我們先來看一條具體的擴(kuò)展ACL規(guī)則命令：access-list103denytcpanyhost6eqwwwtime-rangetname這條規(guī)則的功能是：在tname規(guī)定的時(shí)間內(nèi)，拒絕一切主機(jī)訪問目的主機(jī)6的www服務(wù)（該服務(wù)基于TCP協(xié)議，端口號80，命令中的www可以更換為80）。（2）關(guān)于時(shí)間段的定義（Ruijie）時(shí)間常量tname這樣自定義(Ruijie,全局模式下)：三、思科華為擴(kuò)展訪問控制列表技術(shù)time-rangetname具體時(shí)間定義為絕對時(shí)間段

absolutestart

hh:mmyyyy-mm-ddendhh:mmyyyy-mm-dd具體時(shí)間定義為周期性時(shí)間段

periodic

daily[weekdays|weekend|Monday|…]hh:mmto

hh:mm周期性時(shí)間定義更常用。例如：time-rangetime001

periodicweekdays23:00to6:30

periodicweekend00:00to6:00三、思科華為擴(kuò)展訪問控制列表技術(shù)（3）關(guān)于源端口號和目的端口號源端口號和目的端口號，分別對應(yīng)報(bào)文發(fā)送方和接收方的應(yīng)用程序。常用應(yīng)用程序與端口號對應(yīng)關(guān)系如表2.13.1所示（思科銳捷、華為等相同）。三、思科華為擴(kuò)展訪問控制列表技術(shù)也可以在建立擴(kuò)展ACL規(guī)則時(shí)，用？查詢有哪些常用端口號，如圖2-13-2所示。三、思科華為擴(kuò)展訪問控制列表技術(shù)例如，某個(gè)擴(kuò)展ACL102有如下規(guī)則定義。第一條：允許主機(jī)8接收來自任何網(wǎng)絡(luò)的電子郵件報(bào)文。access-list102permittcpanyhost8eqsmtp第二條：允許主機(jī)2接收來自任何網(wǎng)絡(luò)的Web訪問請求。access-list102permittcpanyhost2eqwww第三條：禁止從網(wǎng)段內(nèi)的主機(jī)，建立與網(wǎng)段內(nèi)的主機(jī)的端口號大于128的UDP連接。access-list102denyudp5555gt128定義規(guī)則時(shí)，每一條規(guī)則的ACL號都為102。部署(接口模式下)：ipaccess-group102in|out。三、思科華為擴(kuò)展訪問控制列表技術(shù)（4）思科（銳捷）擴(kuò)展ACL應(yīng)用實(shí)例由2臺思科（銳捷）路由器、2臺服務(wù)器、3臺PC機(jī)組成的AS網(wǎng)絡(luò)系統(tǒng)，如圖2-13-3所示。其中，Server1是WWW服務(wù)器，Server2是DNS服務(wù)器，PC1-PC3代表幾個(gè)用戶網(wǎng)絡(luò)段。在該AS網(wǎng)絡(luò)系統(tǒng)里，設(shè)置以下數(shù)據(jù)包過濾規(guī)則：(a)禁止/24訪問server2的DNS服務(wù);(b)禁止/24ping服務(wù)器網(wǎng)絡(luò)段/24;(c)禁止/24訪問server1的www服務(wù)；(d)允許其它訪問行為。三、思科華為擴(kuò)展訪問控制列表技術(shù)先將路由器Router1、Router2的IP地址按圖2-13-2的標(biāo)示配置好，將所有主機(jī)的參數(shù)（IP地址、子網(wǎng)掩碼、默認(rèn)網(wǎng)關(guān)、DNS服務(wù)器地址等）也按圖配置好。在Server1里找到HTTP，在HTTPServices里的index.html網(wǎng)頁編輯一下、加入自己的內(nèi)容，并啟動(dòng)HTTP服務(wù)（WWW服務(wù)）。在Server2里啟動(dòng)DNS服務(wù)，在DNSServices里為Server1添加(Add)一條A記錄，該A記錄將域名()解析為Server1的IP地址(6)。如圖2-13-4所示。三、思科華為擴(kuò)展訪問控制列表技術(shù)設(shè)置好2臺服務(wù)器以后，給Router1、Router2分別配置以下靜態(tài)路由。Router1靜態(tài)路由命令：iprouteiprouteiprouteRouter2靜態(tài)路由命令：iproute配置好靜態(tài)路由以后，我們來檢測一下網(wǎng)絡(luò)的通信情況。從PC機(jī)pingWWW服務(wù)器域名的辦法，能全面測試IP地址、DNS域名解析。三、思科華為擴(kuò)展訪問控制列表技術(shù)分別從PC1、PC2、PC3上運(yùn)行DOS命令：ping檢測結(jié)果，分別如圖圖2-13-5(a)(b)(c)所示。從檢測結(jié)果可以看到：PC1、PC2、PC3與Server1的通信是暢通的，PC1、PC2、PC3與Server2的通信是暢通的，而且Server2將域名正確地解析為IP地址6。為了檢測一下Server1的HTTP服務(wù)（WWW網(wǎng)站）是否能正常訪問，在PC3的瀏覽器地址欄輸入，再按“Go”按鈕，馬上出現(xiàn)WWW網(wǎng)站首頁index.html的內(nèi)容，如圖2-13-5(d)所示。三、思科華為擴(kuò)展訪問控制列表技術(shù)下面來設(shè)計(jì)擴(kuò)展ACL規(guī)則命令。將這4條規(guī)則設(shè)計(jì)成擴(kuò)展訪問控制列表103。(a)禁止/24訪問server2的DNS服務(wù);access-list103denyudp55host30eqdomain(b)禁止/24ping服務(wù)器網(wǎng)絡(luò)段/24;access-list103denyicmp5555(c)禁止/24訪問server1的www服務(wù)；access-list103denytcp556eqwww(d)允許其它訪問行為。access-list103permitipanyany三、思科華為擴(kuò)展訪問控制列表技術(shù)在Router1上執(zhí)行以下命令創(chuàng)建ACL103（全局模式下）：access-list103denyudp55host30eqdomainaccess-list103denyicmp5555access-list103denytcp556eqwwwaccess-list103permitipanyany然后，在Router1的fa0/1接口流入方向部署ACL103：intfa0/1ipaccess-group103in三、思科華為擴(kuò)展訪問控制列表技術(shù)部署好ACL103以后，再來測試一下擴(kuò)展訪問控制列表103的效果。先在PC1的瀏覽器地址欄輸入，單擊“Go”，等一段時(shí)間后，出現(xiàn)“HostNameUnresolved”，就是不認(rèn)識域名的意思；接著直接在PC1的瀏覽器地址欄輸入6，單擊"Go"，馬上出現(xiàn)WWW服務(wù)器的首頁。如圖2-13-6(a)(b)所示。這說明，PC1（屬于/24網(wǎng)絡(luò)段）可以訪問WWW服務(wù)器（Server1）的HTTP服務(wù)，但不能訪問DNS服務(wù)器（Server2）的域名解析（domain）服務(wù)。體現(xiàn)了“(a)禁止/24訪問server2的DNS服務(wù)”和“(d)允許其它訪問行為”規(guī)則。三、思科華為擴(kuò)展訪問控制列表技術(shù)打開PC3（/24網(wǎng)絡(luò)段的主機(jī)）的DOS命令窗口，運(yùn)行ping，通信正常；再打開PC3的瀏覽器，在地址欄輸入，單擊“Go”，過一段時(shí)間后出現(xiàn)“RequestTimeout”（超時(shí)），也就是從PC3不能訪問WWW服務(wù)器（HTTP服務(wù)）的網(wǎng)頁。如圖2-13-6(c)(d)所示。體現(xiàn)了“(c)禁止/24訪問server1的www服務(wù)”和“(d)允許其它訪問行為”規(guī)則。三、思科華為擴(kuò)展訪問控制列表技術(shù)我們再來測試一下PC2（/24網(wǎng)絡(luò)段的主機(jī)）訪問Server1、Server2的情況。打開PC2的DOS命令窗口，先運(yùn)行ping，不通，但是能將域名解析為IP地址6；再運(yùn)行ping6，也不通。然后，打開PC2的瀏覽器，在瀏覽器的地址欄里輸入，單擊“Go”，可以正常瀏覽WWW服務(wù)器（Server1）首頁！如圖2-13-7所示。體現(xiàn)了“(b)禁止/24ping服務(wù)器網(wǎng)絡(luò)段/24”和“(d)允許其它訪問行為”的規(guī)則。這從側(cè)面反映出一個(gè)現(xiàn)象：ping不通時(shí)，網(wǎng)絡(luò)不一定真的不通，也許網(wǎng)絡(luò)信息傳輸是暢通的，只是ICMP報(bào)文不讓通過而已。三、思科華為擴(kuò)展訪問控制列表技術(shù)3.思科（銳捷）基于名稱的擴(kuò)展訪問控制列表（ACL）Cisco(Ruijie)基于名稱的擴(kuò)展ACL定義：ipaccess-listextended

aclname

permit|denyprotocol…………[eq|gt|lt|neqport][time-rangetimename]

permit|deny……部署時(shí)，將aclname應(yīng)用于三層交換機(jī)的邏輯接口（vlan虛接口）：ipaccess-group

aclnamein|out在思科（銳捷）系列設(shè)備里，只有銳捷路由器（三層交換機(jī)）可以配置time-rangetimename參數(shù)；PacketTracer里的思科路由器和三層交換機(jī)都沒有time-rangetimename選項(xiàng)。三、思科華為擴(kuò)展訪問控制列表技術(shù)譬如將圖2-13-2所示網(wǎng)絡(luò)里的Router1換成三層交換機(jī)Switch1，即可采用基于名稱的擴(kuò)展訪問控制列表技術(shù)。將上述基于編號的擴(kuò)展ACL103變成name005，按如下定義與部署即可。ipaccess-listextendedname005//Switch1上定義name005deny……deny……deny……permit……intvlan??//進(jìn)入Switch1的vlan??虛接口ipaccess-groupname005in運(yùn)行效果與基于編號的訪問控制列表相同。三、思科華為擴(kuò)展訪問控制列表技術(shù)4.華為基于編號的擴(kuò)展訪問控制列表（ACL）（1）Huawei基于編號的擴(kuò)展ACL規(guī)則定義基本格式aclnumbern

rule

a{permit|deny}protocolsources.s.s.sw.w.w.w[source-portoperandport]destinationd.d.d.dw.w.w.w[destination-portoperandport][time-rangetname]

rule

b……n：編號取值范圍:3000~3999，a、b取正整數(shù):1,2,3,…；protocol：

可以是傳輸層、網(wǎng)絡(luò)層協(xié)議：TCP、UDP、IP、ICMP、ospf等協(xié)議，不能為應(yīng)用層協(xié)議；operand：可選eq(等于),gt(大于),lt(小于),rangep1p2；port：是應(yīng)用層協(xié)議在傳輸層對應(yīng)的端口號(或典型應(yīng)用名，見表2.13.1)；time-rangetname：指定生效的時(shí)間段tname（前面已有介紹）。三、思科華為擴(kuò)展訪問控制列表技術(shù)（2）Huawei基于編號擴(kuò)展ACL的部署命令（先進(jìn)入接口視圖，再部署）：

interface

??/?//進(jìn)入物理接口??/?

traffic-filterinbound|outboundacl

n

（3）Huawei基于編號的擴(kuò)展ACL的應(yīng)用實(shí)例用2臺華為路由器、4臺主機(jī)（Server1、PC1、Client1和Client2）組建成一個(gè)擴(kuò)展ACL網(wǎng)絡(luò)測試自治系統(tǒng)。如圖2-13-8所示。（eNSP中只有Client有瀏覽器，Client可測試www功能）三、思科華為擴(kuò)展訪問控制列表技術(shù)設(shè)定數(shù)據(jù)報(bào)過濾規(guī)則如下：(a)定義一個(gè)規(guī)定的時(shí)間段常量(每天零時(shí)1分至6時(shí)59分);(b)在規(guī)定時(shí)間內(nèi)，禁止/24網(wǎng)段ping/24網(wǎng)段；(c)在規(guī)定時(shí)間內(nèi)，禁止/24網(wǎng)段訪問/24網(wǎng)段內(nèi)的www服務(wù)；(d)允許其它所有ip報(bào)文通過。先按圖2-13-8所示將所有主機(jī)的IP地址等參數(shù)都配置好，將2臺路由器的６個(gè)接口的IP地址也都配置好，并將Server1啟動(dòng)HTTP服務(wù)（指定HTTP網(wǎng)站所對應(yīng)的實(shí)際目錄）。再在路由器AR1、AR2上都配置好全部的靜態(tài)路由(略)。三、思科華為擴(kuò)展訪問控制列表技術(shù)配置好路由以后，我們來測試一下網(wǎng)絡(luò)通信情況。分別在Client1和Client2上pingServer1(6)，能正常通信，如圖2-13-9(a)(b)所示；三、思科華為擴(kuò)展訪問控制列表技術(shù)再分別在Client1和Client2的瀏覽器里瀏覽6網(wǎng)站文件，單擊“獲取”，都能正常下載、打開網(wǎng)站文件（aabbcc.html是HTTP網(wǎng)站對應(yīng)物理目錄下一個(gè)網(wǎng)頁文件），如圖2-13-9(c)(d)所示。三、思科華為擴(kuò)展訪問控制列表技術(shù)現(xiàn)在，我們給路由器AR1來定義擴(kuò)展ACL、設(shè)置時(shí)間常量，并部署好。定義時(shí)間常量time01如下（系統(tǒng)視圖下）：time-rangetime0100:01to06:59working-day

//定義(a)規(guī)定的時(shí)間段擴(kuò)展ACL3001規(guī)則定義如下（系統(tǒng)視圖下）：aclnumber3001//進(jìn)入acl視圖

rule1denyicmpsource55destination55time-rangetime01//實(shí)現(xiàn)過濾規(guī)則(b)rule2denytcpsource55destination55destination-porteqwwwtime-rangetime01//實(shí)現(xiàn)過濾規(guī)則(c)

rule3permitip//實(shí)現(xiàn)過濾規(guī)則(d)quit//返回系統(tǒng)視圖三、思科華為擴(kuò)展訪問控制列表技術(shù)AR1上部署ACL3001：intg0/0/1//進(jìn)入g0/0/1接口視圖traffic-filteroutboundacl3001//部署acl3001,流出方向

在AR1的g0/0/1接口部署ACL3001后，我們再來測試網(wǎng)絡(luò)通信情況。先用ping命令測試，Client1（0/24）可以ping通AR1直連的主機(jī)(0)，Client2（0/24）卻不能ping通AR1直連的主機(jī)(6)，如圖2-13-10(a)(b)所示。三、思科華為擴(kuò)展訪問控制列表技術(shù)再用Client瀏覽器測試，在Client1的瀏覽器地址欄輸入6/aabbcc.html，點(diǎn)擊