ACL 在路由器上的應用

鄭 彬

Access Control List

•簡稱 ACL 。•網路存取控制。•許可或阻擋封包通過。

• CCNA 證照考試重要單元之一。

可参考文魁資訊的網路工程概論 (N2014)

符合第一個條件

符合第二個條件

以上皆非 許可或拒絕

拒絕封包deny any

傳送封包

yes

yes

yes

no

no

no

ACL 流程圖

yes

no

.........

預設值為拒絕所有封包

permit or deny

查驗工作IP 範圍及欲管制之指令

ACL 規則• 依序由逐列檢查，直到符合條件。• 若比對成功，就 再對後面其他列作比對。• 清單的結尾為一個預設的「拒絕」。• 每一個清單中，至少要有一個 permit 條件，否則會擋掉

所有封包。

Access Control List

•定義 ACL ：Router(config)#access-list 編號 {permit|deny}

條件敍述 ......

•放置 ACL ： ( 放在介面卡設定上，必需設定 )

Router(config-if)#ip access-group 編號 [{in|out}]

in 為輸入至路由器， out 為由路由器輸出

Wildcard Mask

• 共四個位元組或 32bits 。

• 0 代表不可變動 ( 若想符合條件 )， ACL 會檢查該位元。• 0 也可視為眼睛，代表欲檢出符合條件的封包。• 1 表示隨意， ACL會檢查該位元。

• 例如：要 ACL 查驗 174.40.0.0 至 174.40.255.255 的封包，則設 WM(Wildcard Mask)為 0.0.255.255 。

Access Control List

• 例如：要查驗 174.40.16.0 至 174.40.31.255 的封包，則設 WM為 0.0.15.255 。

10101110 00101000 00010000 00000000

10101110 00101000 00011111 11111111

00000000 00000000 00001111 11111111

174.40.16.0

174.40.31.255

0.0.15.255

0 代表「檢查位元」

紅色部分為同號

檢查位元會與設定的網段值比較

Access Control List

• 例如：要查驗 174.40.16.0 至 174.40.63.255 的封包，則需設 WM為何？

10101110 00101000 00010000 00000000 (174.40.16.0)

10101110 00101000 00011111 11111111 (174.40.31.255)

00000000 00000000 00001111 11111111 (174.40.15.255)

10101110 00101000 00100000 11111111 (174.40.32.0)

10101110 00101000 00111111 11111111 (174.40.63.255)

00000000 00000000 00011111 11111111 (174.40.31.255)

分成两個區段

查驗的範圍為 2的次方• 連續的 0在左，連續的 1在右，可全 0或全 1。• 例如： 2、 8、 16 、 32 、 64 、 128 、 256 。• 若查驗 35個網段，則需設 64，因為 32太小，不夠用。• 若查驗 14個網段，則需設 16，因為 32太大，造成浪費。

Access Control List

• Standard ACL( 簡單型 ) (1~99 及 1300~1999) 標準式存取清單

• Extended ACL( 常用 ) (100~199 及 2000~2699) 延伸式存取清單

• Named ACL 名稱式存取清單

其他號碼由其他型式的 access list 使用

ACL 名詞• host ：代表單一主機 IP，例： host 192.172.2.56• permit ：許可• deny ：拒絕• any ：代表任何 IP ( 等於 0.0.0.0 255.255.255.

255)• eq ：等於

Standard Access Control List 語法

• Router(config)# access-list access-list-number {deny | permit} source [source-wildcard ] [log]

• Router(config)# no access-list access-list-number

• log ： 回傳訊息

Standard Access Control List

• 允許介於 174.40.16.0 至 174.40.63.255 的封包進入• Router(config)#access-list 20 permit 174.40.16.0 0.0.15.255• Router(config)#access-list 20 permit 174.40.32.0 0.0.31.255

• 不允許介於 174.40.16.0 至 174.40.63.255 的封包進入• Router(config)#access-list 10 deny 174.40.16.0 0.0.15.255• Router(config)#access-list 10 deny 174.40.32.0 0.0.31.255• Router(config)#access-list 10 permit any

ACL 的尾端預設值為 deny any 只管來源封包

清單編號 來源 IP 遮罩

此編號為 10 的清單共有 3行

重點回顧R1(config)#access-list 15 deny 175.17.30.0 0.0.7.255請問此指令會阻檔那些區間的封包？(ANS:由 175.17.30.0 至 175.17.37.0)

R1(config)#access-list 15 permit 175.17.32.0 0.0.63.255請問此指令會允那些區間的封包？(ANS:由 175.17.30.0 至 175.17.95.0)

放置 ACL 到介面範例• Router(config)#int FastEthernet 0• Router(config-if)#ip access-group 110 in

• Router(config)#int s 0• Router(config-if)#ip access-group 110 out

管制輸入至路由器

管制由路由器輸出

路由器輸入 輸出

輸入輸出

s0/0

e0/1

s0/1

e0/1

交通管制

Extended ACL( 常用 )

指令参數 說明

編號 100~199 ( 共 100 個 )permit|deny協定 例： ip,icp,icmp,igrp...來源位址來源遮罩目的位址目的遮罩邏輯運算子 例： gt,eq,lt,neq...埠號 0~65535

Extended ACL 語法• Router(config)#access-list access-list-number {per

mit | deny} protocol source [source-mask destination destination-mask operator operand] [established]

• operator operand:lt, gt, eq, neq(less than, greater than, equal, not equal) port number

port keyword

20 ftp-data

21 ftp

23 telnet

25 smtp53 domain

69 tftp80 http

110 pop3

161 snmp520 rip

Extended ACL 範例

• Router(config)#access-list 120 permit ip any any

來源 IP(0.0.0.0 255.255.255.255)

目的 IP(0.0.0.0 255.255.255.255)

預設值是拒絕所有網路交通

允許所有的封包通過

句後無指令

表示任何網路協定

允許任何人使用 telnet

• Router(config)#access-list 120 deny tcp any any eq telnet

此欄位亦可使用：ftp (21)

telnet (23)www (80)

或也可寫成：Router(config)#access-list 120 deny tcp any any eq 23

允許任何人使用 telnet

• Router(config)#access-list 120 deny tcp any any eq telnet

此欄位亦可使用：icmp (Internet Control Message Protocol)

ip (Internet Protocol)tcp (Transmission Control Protocol)

udp (User Datagram Protocol)

eq 指令需配合適當指令

延伸式 ACL 範例

• 允許任何人瀏覽在某網址上的網頁• Router(config)#access-list 120 permit tcp any 192.1.1.2 0.0.0.0 eq www

• 禁止連接到網段 192.192.232.0 上的所有電腦• access-list 123 deny ip any 192.192.232.0 0.0.0.255

• 禁止網段 192.192.232.0 上的所有電腦使用 FTP• access-list 123 deny tcp 192.192.232.0 0.0.0.255 any eq ftp

• 開放網段 192.192.232.0 上的所有電腦使用任何網路• access-list 123 permit ip 192.192.232.0 0.0.0.255 any

或 host 192.1.1.2

延伸式 ACL 範例

• 删除某 ACL定義• Router(config)#no access-list 編號

• 由介面中删除某 ACL設定• Router(config-if)#no ip access-group 編號 {in|out}

• 查看 ACL內容• Router#show access-list

• 查看 ACL是否放置到介面• Router#show run

延伸式 ACL 範例

• 顯示所有 ACL 的內容• show access-lists

• 顯示介面卡用了那些 ACL 設定• show ip int

Named ACL

• 命名式 ACL• 可將數字編號改為文字，以方便使用者識別• 或當標準式 ACL超過 99個，延伸式 ACL超過 100 個• 在 Cisco IOS 11.2版前的不能使用

Named ACL 語法• Router(config)#ip access-list standard 名稱• Router(config-std-nacl)#{permit|deny}來源位址 來源遮罩 [log]

或者

• Router(config)#ip access-list extended 名稱• Router(config-ext-nacl)# {permit|deny}協定 來源位址 來源遮罩 目的

位址 目的遮罩 邏輯運算子 埠號

Named ACL 範例R1(config)#ip access-list extended my-serverR1(config-ext-nacl)#permit TCP any host 135.100.100.34 eq smtpR1(config-ext-nacl)#permit UDP any host 135.100.100.34 eq domainR1(config-ext-nacl)#deny ip any any logR1(config-ext-nacl)#^z

設定到介面卡上R1(config)#int fa0/0R1(config-if)#ip access-group my-server outR1(config-if)#^z

access-class

• 管制遠端登入 telnet• 指令 show users 可查看有多少人連線• 指令 disconnect 可切斷連線

• 只允許 192.11.23.5 的主機可遠端登入：R1(config)#access-list 40 permit 192.11.23.5R1(config)#line vty 0 4R1(config-line)#access-class 40 in

查看存取清單

指令 目的

show access-list 顯示所有清單內容

show access-list 120 顯示清單 120

show ip access-list 顯示 IP上的清單

show ip interface 顯示哪些介面有清單

show running-config 顯示清單及介面

重點回顧• 請問 ACL 有何功能？• 請簡述 Wildcard Mask 的工作原理。• 請使用 ACL ，允許任何人瀏覽在某網址 (192.192.232.17) 上的網頁。並置放在 s0/0 輸出介面上。

• 請使用 ACL ，禁止連接到網段 192.192.232.0 上的所有電腦。並置放在 e0/0 輸出介面上。

• 請使用 ACL ，禁止網段 192.192.232.0 上的所有電腦使用 FTP 。並置放在 s0/1 輸出介面上。

• 請使用 ACL ，開放網段 192.192.232.0 上的所有電腦使用任何網路。並置放在 s0/0 輸入介面上。