Lab_ 9 ACL

Lab_ 9 ACL

1. 访问控制列表概述

2. 标准访问控制列表

3. 扩展访问控制列表

4. 基于名称的访问控制列表

5. 动态访问控制列表

6. 自反访问控制列表：

7. 基于时间的访问控制列表

8. 访问控制列表流量记录

9. ACL group

访问控制列表概述

访问控制列表简称为ACL，访问控制列表使用包过滤技术，在路由器上读取第三层及第四层包头中的信息如源地址，目的地址，源端口，目的端口等，根据预先定义好的规则对包进行过滤，从而达到访问控制的目的。

标准访问控制列表

标准访问列表：只能够检查源地址 编号:1-99 1300-1999

——————————————————

实例：

access-list 1 permit host 172.16.4.13

access-list 1 deny any

int e 1

ip access-group 1 in

CISCO默认添加了DENY ANY的语句在每个ACL中，所以上面的access-list 1 deny any这句命令可以省略

标准ACL占用路由器资源很少

扩展访问控制列表

扩展访问列表：能检查源、目标和协议 编号:100-199 2000-2699

---------------------------------------

access-list ACL号 [permit|deny] [协议] [定义过滤源主机范围] [定义过滤源端口] [定义过滤目的主机访问] [定义过滤目的端口]

access-list 101 permit tcp any 172.16.4.13 0.0.0.0 eq www

access-list 101 permit ip any any

int e 0

ip access-group 101 out

基于名称的访问控制列表

---------------------------------------------

ip access-list [standard|extended] [ACL名称]

permit 1.1.1.1 0.0.0.0

permit 2.2.2.2 0.0.0.0

permit 3.3.3.3 0.0.0.0

IOS版本在11.2以后的

可以单独添加或删除一条语句

重新排列序列号 100开始 间隔5

将其在接口上调用 马上就能看到统计信息

清除统计信息

动态访问控制列表

--------------------------------------------

lock-and-key是cisco ios的一种安全特性，它使用户能在防火墙中临时打开一个缺口，而不会破坏其它已配置的安全限制。该特性通过一种被称为动态访问控制列表的扩展访问控制列表来配置。在实践中，lock-and-key的用户一般都是高级用户或系统管理员，因为用户必须登录到cisco路由器上才能在防火墙打开一条通道。然而，有些管理员可能会配置一些脚本（或其它自动化的过程），以让中级用户也能利用该特性。
动态访问控制列表使指定的用户能够获得对受保护资源的临时访问权，而不管它们是通过什么ip源地址进行访问。在配置之后，lock-and-key特性将修改接口上的现有ip访问控制列表，以让它允许指定用户的ip地址访问特定的目的地。在用户切断连接之后，lock-and-key特性将复原该访问列表
为了让lock-and-key特性能工作，用户必须先要telnet到路由器上。telnet给用户一个机会来告诉路由器它使谁（通过用户名和口令进行认证），以及它目前在使用哪个源ip地址。如果用户成功地通过认证，该用户的源ip地址就被授权临时通过路由器进行访问的权限。由动态访问控制列表的配置决定所允许访问的范围。\Y
下面的步骤总结了lock-and-key的操作：4
1：用户向一台配置了lock-and-key特性的防火墙或路由器发起一个telnet会话。用户的连接时通过路由器上的某条vty线路进行的。0j$NQn
2：cisco ios收到telnet数据包，打开一个telnet会话，提示用户输入一个口令，并执行一个认证过程。认证可以由路由器本身或通过一台安全服务器（例如tacacs+或radius服务器）执行。当一个用户通过了认证之后，该telnet会话就会被切断，ios软件将在动态访问控制列表中创建一个临时性条目（根据具体的配置，该临时性条目可以限制用户被授权临时访问权的目的网络范围）!E<
3：用户通过防火墙中的临时通道交换数据$hNK8a
4：当达到了一个预先配置好的超时限制后，或当管理员手工清除它时，ios软件就删除该临时性访问控制列表条目。该超时限制可以是一个空闲超时值，或一个绝对超时值。临时性访问控制列表条目不是在用户结束一个会话后自动被删除的，它在达到超时限制或被系统管理员手工清除之前将一直存在。

这可以设定决定时间 默认为不限制

这里也可以在VTY下配置 这里的time是指空闲时间

认证成功 产生一条条目

空闲时间超时后

自反访问控制列表：

--------------------------------------------

自反访问列表的英文名字是Reflexive Access Lists。所谓自反，就是会根据一个访问控制列表，自动创建出另外一个访问控制列表。这个访问控制列表和原来的访问控制列表中的源和目的地址颠倒、源端口号和目的端口号也相互颠倒。此自反访问控制列表自动创建，且有一定的时间限制，过了一定的时间，就会超时，这个新创建的访问控制列表就会消失。

在这里我我们实现R1能Telnet到R3但 R3不能telnet到R1

注意关键词 refect，当由符合tcp any any 的数据流通过的时候，就会产生一个名字叫做telnet的自反列表

在R2上会自动产生一条ACL

已经产生了一个自反访问控制列表，他的源端口是23，目的端口是24538，正好是我们刚才从R1上telnet的返回的数据流。

此时R3 telnet 到R1

我们还可以对这个自反列表存在时间进行控制，我们看看这个自反列表
permit tcp host 3.3.3.3 eq telnet host 10.1.1.1 eq 24538 (76 matches) (time left 283)，time left 283是指如果没有数据流的情况下，再过283秒，这个自反列表既要从缓存中被清掉。这无疑增加了安全性，降低了被IP欺骗的可能。

这个时间我们可以用如下的方式修改：

另外在全局模式下，可以使用另外一个命令修改超时时间：

这样就把时间改成了10分钟，而默认是5分钟

自反ACL 的一些特点：
1．只限于临时开启表项（因为该表项是动态注入的）
2．只用于扩展IP 访问控制列表(ip access-list extended **)
3．Default-timeout = 300s
4．reflect name [timeout **] 中的timeout 与 ip reflexive-list timeout ** 略有不同，前者
中的缺省时间亦为300s，该缺省值不用于TCP 通信报文。
局限性：
1．表中的语句有严格顺序，不能弄反
2．只支持单通道（即只有一个port，如telnet:23 web:80 皆为单通道，但FTP 则不行了，因
为它用两个port ：20 、21）操作。

基于时间的访问控制列表：

-------------------------------------

在有些情况下，系统管理员可能只想在工作时间才允许某些数据流通过，或只允许用户在一天中的某些固定时段访问某些资源，这时就可以考虑使用基于时间的访问
控制列表

例如：我们在星期一到星期五 上午9：00 到下午8：00不允许R1Telnet到R3

此时将时间改为

访问控制列表流量记录

---------------------

log 192.168.1.1 为路由器指定一个日志服务器地址，该地址为192.168.1.1

access-list 101 permit tcp any any eq www log

在希望监测的扩展ACL最后加上LOG命令，这样就会把满足该条件的信息保存到指定的日志服务器192.168.1.1中。

注意：

如果在扩展ACL最后加上log-input，则不仅会保存流量信息，还会将数据包通过的端口信息也进行保存。

访问控制列表其他特性

转载于:https://blog.51cto.com/netpro/299848