ACL(访问控制列表)的应用

《ACL(访问控制列表)的应用》由会员分享，可在线阅读，更多相关《ACL(访问控制列表)的应用（15页珍藏版）》请在装配图网上搜索。

1、概述ACL的应用属于ios包过滤防火墙的一部分，但是现在不仅仅是用在这个方面。现在可以应用在：1、data plan通过一些对数据包的匹配，抓到数据包对数据包进行丢弃或者转发等操作（对象：数据包、数据帧）2、control plan对路由条目的匹配，对路由条目执行策略（路由条目）理论以及命令全局模式下：access-list IP标准访问控制列表 IP扩展访问控制列表协议类型代码访问控制列表没有明确标准的应用的流量DEC net访问控制列表48bit MAC地址访问控制列表扩展的48bit MAC地址访问控制列表IP标准访问控制列表IP扩展访问控制列表这些包含了常见的IP的二层协议和三层协议

2、1、标准只能匹配协议中的一个地址（源地址）命令access-list 1 permit （允许）/deny （拒绝）/remark hostname/x.x.x.x/any （所有 主机通配符32个1）/host （一台单一主机通配符 32个0） 掩码：/nn&x.x.x.x log/例子 access-list 1 permit 1.1.1.1访问控制列表必须在某种技术环节下调用，否则不存在任何意义。一般调用在接 口下，比较常用。调用的时候有方向：in或者out注意：每条访问控制列表后面都有一个隐式拒绝一个编号的访问控制列表可以使用多行，默认一般都是以10开始编号，间隔是10,最大是2147

3、483647。一般认为无上限。ACL书写的时候注意，是金字塔式的，从上到下，匹配的范围越来越大。因为ACL 一旦匹配，就会立即执行动作，不会放到后一条。例子：first: deny 192.168.1.0Seco nd: permit 192.168.0.0Third: deny 192.0.0.0ACL使用反掩码（标识一个子网的范围）和通配符（不连续）确定所写的网段的路由范围反掩码与通配符的不同，是通配符不用连续例子：192.168.1.0192.168.3.0 192.168.5.0 如何用通配符匹配192.168.1.0192.168.00000001.0192.168.3.0192.1

4、68.00000011.0192.168.5.0192.168.00000101.0红位标注为不一致的地方，其他均为一致的地方，一致的地方使用0标识不一致 的地方使用1标识，而且匹配IP地址最后的几个比特不做严格限制，最后结果 是：192.168.1.0（ 3.0、5.0都行最后默认都会变成1.0）0.0.6.255（通配符）网络号是匹配路由的时候使用，IP是对数据包进行匹配show ip access-lists查询出匹配了多少包clear ip access-lists coun ters acl num /没加反掩码或者通配符的话，那么后面自动跟上0.0.0.0如果先permit any

5、再permit明细的话，会报错。扩展访问控制列表不会（因为 有不同协议等）2、扩展可以匹配两个地址（源目的）、协议号、端口号等扩展访问控制列表可以控制源和目的。全局模式下：access-list 100 permit/deny/remark协议/协议编号范围x.x.x.x（源地址）/any/host/object-groupx.x.x.x （目的地址）/any/host/object-group如果用的是IP协议最后还可以加上IP包头当中的不同字段如果是TCP协议最后还可以加tcp包中的各种位如果加上eq（等于）/gt（大于）/lt（小于）可以匹配TCP端口号如果在eq xx后面还可以加某些端

6、口下的特殊位eq xx还可以放在源地址和目的地址之间。如果eq xx放在源地址后，匹配源端口；放在目的地址后匹配目的端口号 和标准访问控制列表一样需要调用。3、访问控制列表调用接口下调用：in /out切记ACL不能控制本地始发流量，环回接口也是一样。ciscoIOS特性如果想过滤始发流量：第一种方法：route-map第二种方法：service-policy4、偏移列表偏移列表（只能跟标准的）offset-list x in /out x fx/x （进接口）acl x匹配的路由都会在原有的 metric上加x此时acl时需要注意匹配的写法需要和路由表中的显示的一样，如果不想保持一致，可以使

7、用通配符匹配，例如：1.1.1.0 0.0.0.255注意：标准访问控制列表只能匹配路由条目，扩展访问控制列表可以匹配条目和掩码。5、前缀列表特点：可以增量修改，比n umberACL来讲删除一条整条就删除了，前缀列表可 以单独删除活添加。在IOS12.0以后的版本使用。比ACL有性能的改进。如果ACL超过1000条以上，此时更改成前缀列表，那么 可能消耗资源占用会降低70%-85%命令：ip prefix-list xxx deny/permit/description/seq x.x.x.x/nn ge 大于 /le 小于/ 规贝U: lenge-value=le-value在大部分IGP

8、当中扩展访问控制列表不生效。应当使用标准访问控制列表。列表中的序列号：可以将列表排序和动态单独删除、插入，前缀列表起始是5,间隙是5。ip prefix-list seque nce-nu mber 不起作用前缀列表注意命名的时候不要使用s或者seq，因为有命令混淆。6、命名访问控制列表命令：ip access-list extended（扩展）/standard （标准） word/number permit/deny x.x.x.x 等等与普通 ACL一样还可以在动作之间直接加上序号。但是都显示在末尾。Rl#show ip access-listsStandard IP access li

9、st 110 permit26 permit 2*2*2.2 30 permit 3*33311 permit 10,10*10*10为什么会这样，是因为这几个地址都是 32位主机地址，互相不冲突就会添 加到最后。但如果形成冲突Rl#show ip access-listsStandard IP access list 119 permit 1.1.1420 permit 岛 wildcard bits 0.0.255.255 38 permit 1卫屯wildcard bits 0.255,255,255例如：这样的金字塔匹配，明显中间似乎少匹配了一个 1.1.1.0 输入这样的命令：R1(

10、c on fig)#ip access-list sta ndard 1R1(co nfig-std-nacl)#11 permit 1.1.1.0 0.0.0.255 显示结果：Rl#show ip access-lists Standard IP access list 110 permit 1*1*1111 permit l.l.l.Oj20 permit U樟30 permit l000fwildcard bitswildcard bitswildcard bits0.0.0,2550.0.255.2550.255*255.255命名访问控制列表可以兼容号和名称，最好用名称。利于标记

11、命名注意： 对于字母来讲：没有空格对于数字来讲：开头如果就是数字，那么一直是数字。否则出错。如果都是数字 不能与默认ACL的号冲突。类型需要匹配。对于特殊字符来讲：不能作为开头，特殊的就是“？ ”如果想输入的话要同时按 住ctrl+v松手输入“？”。注意带问号的命令可以敲，但是不可以复制，因为复 制不上。在acl进程下还有一些命令：R1(c on fig)#ip access-list sta ndard aaaR1(co nfig-std-nacl)#?Stan dard Access List con figurati on comma nds: 1-2147483647Sequenee

12、Numberdefault deny exit no permit remarkSet a comma nd to its defaults 初始化命令Specify packets to rejectExit from access-list configuration modeNegate a comma nd or set its defaultsSpecify packets to forwardAccess list en try comme nt标记在外面也有一些命令:R1(c on fig)#ip access-listexte ndedExte nded Access List

13、扩展helper助地址，只能做Access List acts on helper-address 访问控制列表扮演帮egress上面的check(做出项检查，对目的地的过滤检查)log-updateControl access list log updates控制日志更新R1(c on fig)#ip access-list log-update threshold0-2147483647Access list log-update threshold (number of hits更新间隔的阀 值匹配多少个包显示一次logg ingCon trol access list logg ing

14、 控制日志输入R1(c on fig)#ip access-list logg ing ?hash-ge nerati on En able syslog hash code gen eration生 成系统日志的 hash 代 码intervalSet access list logging interval 达到了每 x 毫秒一个包的时候，产生一个log信息。范围0-2147483647resequenee Resequenee Access Lis重新排序如果有个acl是这样：Standarxl TP accessbbb10 permit20 permit12 permit11 perm

15、it需要在11和12之间插入440.0插入不进去，则需要重新排序。R1(config)#ip access-list resequence xxx starting sequence numbe(起始号) step to in creme nt the seque nce nu mber(间隔号) 比如输入：R1(co nfig)#ip access-list reseque nce bbb 10 10显示：Standard IP access list bbb10 permit 1.120 permit 2.2*2*230 permit 44*4*0这样很显然就可以在30和40之间插入了 s

16、ta ndardStan dard Access List7、基于时间的访问控制列表会有很多策略需要在某段时间内生效。比如中午午休，晚上加班等等。GW(c on fig)#ip access-list exte nded aaaGW(config-ext-nacl)#permit ip host 12.1.1.1 any time-range OUT 启用acl aaa关联上time-range名字叫OUT，证明acl aaa中的那条acl只能在 time-ra nge OUT生效的情况下生效。GW(co nfig)#i nt e0/1GW(config-if)#ip access-group

17、 aaa in挂起在 e0/1 接口 in 方向time-ra nge 配置：GW(co nfig)#time-ra nge OUTGW(co nfig-time-ra nge)#?Time range con figurati on comma nds: absolute absolute time and date命令：GW(con fig-time-ra nge)#absolute ?end ending time and date结束时间，没有没有定义则永远生效 start starti ng time and date 开始时间，没有定义的话就是从现在开始，直到 某一个时间点结束。d

18、efault Set a comma nd to its defaultsexitExit from time-ra nge con figurati on modenoNegate a comma nd or set its defaultsperiodic periodic time and date周期性生效 每x怎么怎么样GW(c on fig-time-ra nge)#periodic ?FridayFridayMon day Mo ndaySaturday SaturdaySundaySundayThursday ThursdayTuesday TuesdayWednesday W

19、ednesdaydaily Every day of the week 每天都生效 weekdays Mon day thru Friday 工作日生效 weeke nd Saturday and Sun day 周末生效 命令：GW(c on fig-time-ra nge)#periodic weekdays Start ing time to Ending time例子：GW(config-time-range)#periodic weekdays 12:00 to 13:00时间范围：是从12:00:00到13:00:59如果在内部机器更改本地时间的话对ACL无影响。但是更改GW的时间

20、是有影响的。GW#show ip access-listsExte nded IP access list aaa10 permit ip host 12.1.1.1 any time-ra nge OUT (in active如 果是 in active 是无 效，如果是active是激活GW#show time-ra ngetime-ra nge en try: OUT (in active)periodic weekdays 12:00 to 13:00 used in: IP ACL entry标准访问控制列表是没有time-range这个选项。8、动态访问控制列表可以动态的区分服务的

21、对象。与Autocommand命令结合使用Autocommand 例子：li ne vty 0 4logi n localautocomma nd show ip int bruser name 123 password 123使用直连机器tel net这台设备 输入用户名密码正确则会自动执行 show ip int br 这条命令，并且自动退出线程。注意某些命令需要15级，比如show run联合 dynamic acl使用li ne vty 0 4autocomma nd access-e nablelogi n localuser name xxx privilege 15 passwo

22、rd xxxip access-list exte nded aaapermit tcp host x.x.x.x host x.x.x.x eq 23dynamic xxx (不能与 aaa相同)permit ip any any然后再接口上挂载acl,如果不使用line vty 0 4线程登录的话是不可能启用动态 acl的。如果使用line vty 0 4线程登录的话，启用动态 acl则可以启用acl中的内 容。GW#show ip access-listsExte nded IP access list aaa10 permit tcp host 12.1.1.1 host 12.1.1

23、.2 eq tel net (23 matches)20 Dyn amic bbb permit ip any any permit ip any any (5 matches)动态列表激活后会生成一个一摸一样的 acl copy 下来。动态访问控制列表可以添加扩展访问控制列表后面的参数还可以控制动态访问控制列表的存活时间。GW(c on fig-ext -n acl)#d yn amic bbb timeout 1 permit ip any anyTimeout是时间范文1-9999以分钟计数。每telnet 次时间清零重新计数。一个访问控制列表只能写一个 dynamic，最好把所有的dy

24、namic属性放在acl最 后输入。在vty 线程下使用 autocommand access-enable host做出谁telnet谁才能上网， 不能一个人tel net成功所有人都能上了。但是如果换成与认证成功的主机的ip，那么acl就检测不到了只有扩展的访问控制列表才能支持。命令：access-list dynamic-extended将密钥超时时间延长到 6分钟。9、自反ACL内部网络可以发送数据出去，但是一般从in ternet以外为源发起的数据进来 的话可能会引起安全隐患。但是如果在外网口做策略防止流量进入，那么就会把一些合法的数据流量阻止，比如，内网发起的连接，外网响应的数据回

25、包。自反ACL可以控制内部发起的连接的回包可以进来，其他的回包不可以。单用established缺点：只能使用TCP因为他匹配的就是TCP中的established位 黑客如果伪装，虽然不可以窃取数据，但是完全可以DOS攻击自反使用三个ACL组成：内网允许出去的acl 外网拒绝所有的acl 外网生成的返回数据的acl 第一条：ip access-list exte nded aaapermit ip any any reflect bbb放过数据以后建立一个反向的acl叫做bbb，然后把这个acl挂在接入内网的接口 上ip access-list exte nded deny all eval

26、uate bbb 先行评估 bbb deny ip any any此时从内ping外insideiping 100-1.1.3Type escape sequence to abort.Sending E, 100-byte ICMP Echos to 100.1.1.tineout is 2 seconds:I ! I I ISuccess rate is 100 percent C5/5)j round-trip min/avg/max = 4/5/S ms此时从外ping内R3#ping 12* L L 1_Type escape sequence to abort*Sending 5,

27、 100-byte ICMP Echos to 12. 1. 1. 1 timeout is 2 seconds:U. (J. (JSuccess rat e is C percent (0/5)此时再查看ACLGW show ip acceGWhow ip access-listsExtended IP access list aaa10 permit ip any any reflect bbb (5 matches)Reflexive IP access lis bbbpermit icmp host 100. 1. L 3 host 12* 1. 1. 1(10 matches) (t

28、Like left 252)Extended IP aceess list deny all10 evaluat e bbb20 deny ip any any (5 Hatches)多出来一条acl，超时时间是300s，使用命令可调GW(c on fig-ext- nacl)#permit ip any any reflect bbb timeout ? Maximum time to live in seco nds自反访问控制列表的缺点：多端口号的业务，因为没有表项造成不能回来数据流。10、ACL的 LOG如果在一个网络当中，某一台服务器收到了某一台PC的攻击，可以使用ACL的LOG属性

29、很快的定位出是哪台机器发起的攻击。类似于下图R1ser4.4.4.4R1、R2上使用换回接口 1.1.1.1和222.2模拟PCR3上利用换回接口 444.4模拟server那么其中的一台PC向444.4发起狂ping,那么我在R3上如何看到是那个IP给 我发过来的攻击呢？可以使用 ACL的LOG使用标准acl的方法access-list 1 permit any log挂在进接口上此时由2.2.2.2 pi ng 4.4.4.4在R3上会显示-Nov 15 04:41:46.284: %sec-6-ipaccesslognp: list 1 permitted 0 2,2.2.2 - 4.4

30、.41 packet此时我们可以看出访问444.4的IP是2.2.2.2但是为了防止日志刷屏，只显示出1个包的日志如果想看看剩余的发包情况，可以直接no掉access-list就会显示出剩余包的日 志FiJCcorfi g)#-Nov 15 04:47:09 h641; %sec-6-IPACCE55L0GNP: 11st 1 permitted 0 2.2,2.2 - 4 h4.4+4d 斗 packets局限性：只能基于any去做，因为标准访问控制列表是基于源来匹配的，并且 只能精确到IP地址。在使用DHCP网络中或者攻击者虚拟IP,那么就不能确定是真实的是哪台机器 发起的攻击。那么使用扩

31、展访问控制列表：access-list 100 permit ip any host 444.4 log/log-i nput仅使用log的时候和标准访问控制列表一样，使用log-input的时候可以显示很 多access-list 100 permit ip any any此条我觉得应该在真实环境下写，因为不写的 话可能，只能放过对444.4的流量不能放过对其他的流量。但是对于本实验没 有影响。把着个acl挂在接口进方向上可以得到信息：R3#-”伽15 04:弭：1儿9畀；9fi$EC-6-lPACCE$SLMDP; list 100 permitted icmp 1.1，1.1 CEthe

32、rntO/O 4+4.4+4 (0/0), 1 packet显示出了使用什么协议访问，攻击者的ip，攻击者的MAC，攻击者的物理端 口号。Log log in put默认5分钟提示一次结果Logging rate-limit num限制debug的输出/all限制所有的信息/console只限制 con sole 消息Terminal mon itorTerminal no mon itor 关闭11、ACL precedence dscp在 QOS 中介绍) 如果在ACL中匹配了 precede nee的值，那么他会查询数据包的IP层字段中 的TOS位。access-list 100 per

33、mit ip any host 4.4.4.4 precede nee 0此命令是指匹配访问444.4，并且TOS=1的数据包 应当使用扩展pingRippingProro 匚 口1 ip:Target IP address: 4.4.4.4Repeat count 5:Datagram size 100:Timeout seconds 2：Extended commands n: ySource address or interface: 1*1.1.1Type of servlce 0:Set DF bit in IP header? no:Vaii date reply data? no

34、:Data pattern OxABCD:Loose! Strict, RecordP TimestampT Verbosenone:Sweep rang色 of sizes n:Type escape sequenew to abort FSending 5f 100-byte ICMP Echos to 44.4.4, timeout is 2 seconds: Packet sent with a source address of 1.1.1.1! ! ! !Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/

35、1 ms默认使用的precede nee就是0那么就会允许 如果把precede nee的值设置为50Rl#pingprotocol Ip:Target IP address: 4,4,4.4Repeat count 5:Datagram size 100:Timeout “口 secondw 2:Extended commands 门:ysource address or interface: 丄11Type of service 0: 50Set DF bit 讪 IP header? no:Validate reply data? no:Data pattern OxABCD:Loose

36、 f Strict, Record, Timestamp, Verbose none:Sweep range of sizes n:Type es匚ape sequence to abort,Sending 5, 100-byte ICMP Echos to 4.4,4.4, timeout is 2 seconds:Packet sent with a source address of 1.1.1.1u.u.uSuccess rate is 0 口e匚ent (0/5)就不通了12、ACL fragments是否允许分片包的发送。会检查DF位.access-list 100 permit

37、ip any host 444.4 fragme nts检查所有访问4.444的数据包flag offset位的值如果FO0则允许 如果FO=0则不允许挂在接口的进方向Ripping 4.4.4.4 so 1.1.1.1Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 4.4.4.4, timeout is 2 seconds:Packet sent with a source address of 1,1丄UUUSuccess rate is 0 pe匚ent (0/5)不过如果是两台机器直连，类似于这样的拓扑在f

38、0/0下使用ip mtu 100然后再R1上ping的时候大小用size关键字设置为 400那么这些ping包就会分片。但是依然是ping不通。因为ping包的分片里面的第一个包FO=0其他的FO1那么导致FO=0的数据 被去掉，包不完整，所以ping不通（个人理解）。那么一般的来说在上网的路由器，会接受到很多很多分片的，不完整的包。类似于网关内部有一台 webserver。那么可以在外网的接口使用deny语句把那些分片的deny掉。 类似于这样的拓扑InternetWWW Server1H.1GL2X1只允许所有的人使用 HTTP访问www server可以这么写：access-list 1

39、00 permit tcp any host 171.16.23.1 eq 80 access-list 100 deny ip any any如果想拒绝一些个分片包可以这么写：access-list 101 deny ip any host 171.16.23.1 fragme ntsaccess-list 101 permit tcp any host 171.16.23.1 eq 80access-list 101 deny ip any any13、ACL option选项R3(confi add-ext any-options com-security dps encode eool

40、 extip ext-secjrity f-inn imitel Isr mtup inrurno-op nsapa record-route roLiteral ert sdb security ssr stream-id timestamp traceraute ump vi sa zsuaccess-1ist 100 permit 1p any host 4.4.4.4 option ? IP options valueMateMateMateMateMateMateMateMateMateMateMateMateMateMateMateMateMateMateMateMateMateM

41、ateMateMateMateMatei packets i packets i packets i packets i packets i packets i packets i packets i packets i packets i packets i packets i packets i packets i packets i packets i packets i packets i packets i packets i packets i packets i packets i packets i packets i packetswith with with with wi

42、 th with with wi th wi th with wi th wi th with wi th wi th wi th wi th wi th wi th wi th wi th wi th wi th wi th wi th wi thAddress Extension option (147) any option commercial security option Dynamic Facket state option Encode option (15) End of options (0) Extended ip option (145) Extended securi

43、ty option (133) Experimental Fix control option (205) imi Traffic Desriptor opticn (144) Loose source Route option (131) mtu Probe option CH J mtu Reply option C12) no operation option nsap Addresses option (ISO) Record Route Option (7) Router Alert option (148) selective Directed Broadcast option (

44、149) Basic security Dption (130) strict source Routing option (137) stream ID option (136) Time stamp option (68) Trace Route option (82)Upstream Multicast Packet option (152) Experimental Access control opfion (142) Experimental Measurement option (10)IP数据包里面有OPTION选项，如果需要匹配 OPTION选项的话需要在访问控制 列表以后加

45、上。但是在新的IOS中有一个问题，当你写入的时候会提示一个错误R3(c on fig)#access-list 100 permit ip any host 4.4.4.4 opti on n sapa% IP Option filtering is allowed on named ACLs only在新的IOS中对于Option选项的匹配需要写在命名的 ACL当中R3(c on fig)#ip access-list exte nded aaaR3(co nfig-ext- nacl)#permit ip any host 4.4.4.4 opti on n sapa14、ACL rema

46、rkaccess-list 100 remark R1-2-R2-ICMP-DENYaccess-list 100 de ny icmp host 192.168.1.1 host 192.168.1.2 在show run的时候可以查看，在每条 ACL之前写上就可以了 在 show ip access-list里面没有Show ip access-list 只能看 IP access-listShow access-list 什么都可以看15、ACL rate-limitR3(config)#access-list rate-limit ? Precedence ACL index MAC

47、address ACL index 200-299 mpls exp ACL index使用它可以同时匹配多个做了 TOS标记的值。原来使用一条acl匹配一种打标的 流量，使用它就可以使用一条 ACL匹配多种打标流量。3Cconfig)#access-List rate-limit 1 mask Precedence bit原来可以这样写R3 Cconf ig)#access-list 100permitipanyanyprecedence1R3(config)#access-list 100permitipanyanyprecedence2R3Cconfig)#access-list 100

48、permitipanyanyprecedence3可以得到一条aclR3(co nfig)#access-list rate-limit 1 mask C0C0如何得到的TOS=1=OO1OOOOOTOS=2=O1OOOOOOTOS=3=O11OOOOO三个数做与运算，计算出的八位组为11OOOOOO,他的十六进制为COR3#show access-lists rate-limitRate-limit access list 1mask CO16、 ACL compiled对访问控制列表的优化TurboACL加快ACL在系统中查询速度。如果ACL的条目大概是12-18个，那么开不开turboA

49、CL没区别如果ACL的条目比12个还少，开了 turboACL查询更慢如果ACL的条目超过19个，开了 turboACL大大加大查询速度。因为开了这个技 术以后就会占用2.1M的内存。每2000条大约需要1M内存。会在开启的一瞬间 扫描所有ACL并添加标记。相当于做了二次缓存，那么就不按照以前的ACL条目查找，就按照turbo标记去查找。Turbo有5个状态：Operation成功编译Delete 空Un suitable不能被编译，如：定时，反射Buildi ng正在编译Out of memory内存不足不能编译如果标记成功只在成功编译和正在编译当中查找。R3#show access-lists compiled 查看状态【天津新盟教育CCNA课程内部材料】