路由交换机ACL原理及配置PPT课件

.,1,访问控制列表ACL原理及配置,.,2,ACL基本原理,ACL配置步骤,ACL应用实例,内容提要,.,3,ACL（访问控制列表）定义：当网络流量不断增长的时候，对数据流进行管理和限制的方法作为通用判别标准应用到不同场合ACL是一个对经过路由器的数据进行判断、分类的方法。常见的ACL的应用是将ACL应用到接口上。其主要作用是根据数据包与数据段的特征来进行判断，决定是否允许数据包通过路由器转发，其主要目的是对数据流量进行管理和控制。如果不使用ACL，路由器无法对流量进行限制。,什么是ACL?,.,4,哪些场合需要使用ACL？允许或禁止对路由器或来自路由器的telnet访问QOS与队列技术策略路由数据速率限制路由策略端口流镜像NAT,ACL的使用场合,.,5,标准ACL仅以源IP地址作为过滤标准只能粗略的限制某一大类协议扩展ACL以源IP地址、目的IP地址、源端口号、目的端口号、协议号作为过滤标准，可以精确的限制到某一种具体的协议Inbound或Outbound,数据包出接口,数据包入接口,ACL处理过程,允许?,协议,ACL的分类,.,6,ACL如何工作,数据包入接口,下面以应用在外出接口方向的ACL为例说明ACL的工作流程：首先数据包进入路由器的接口，根据目的地址查找路由表，找到转发接口（如果路由表中没有相应的路由条目，路由器会直接丢弃此数据包，并给源主机发送目的不可达消息）。确定外出接口后需要检查是否在外出接口上配置了ACL，如果没有配置ACL，路由器将做与外出接口数据链路层协议相同的2层封装，并转发数据。,.,7,ACL如何工作,数据包入接口,如果在外出接口上配置了ACL，则要根据ACL制定的原则对数据包进行判断，如果匹配了某一条ACL的判断语句并且这条语句的关键字果是permit，转发数据包。,.,8,数据包出接口,否,是,丢弃处理,选择接口,路由表?,否,ACL匹配控制,允许?,是,ACL如何工作,ACL?,是,数据包入接口,否,.,9,ACL的匹配顺序,ACL内部处理具体过程：,丢弃处理,是,目的接口,拒绝,拒绝,是,匹配第一条规则?,允许,.,10,ACL的匹配顺序,ACL内部处理具体过程：,丢弃处理,是,目的接口,是,匹配第一条规则?,否,下一条?,是,是,拒绝,拒绝,拒绝,允许,允许,.,11,ACL的匹配顺序,ACL内部处理具体过程：,丢弃处理,是,目的接口,是,匹配第一条规则?,否,匹配下一条?,匹配最后一条?,是,是,否,是,是,拒绝,拒绝,拒绝,拒绝,允许,允许,允许,.,12,ACL的匹配顺序,ACL内部处理具体过程：,丢弃处理,是,目的接口,是,匹配第一条规则?,否,匹配下一条?,匹配最后一条?,是,是,否,是,是,*,*说明：当ACL的最后一条不匹配时，系统使用隐含的“丢弃全部”进行处理！,拒绝,拒绝,拒绝,拒绝,允许,允许,允许,否,.,13,目的IP地址,源IP地址,协议号,目的端口,段(如TCP报头),数据,数据包(IP报头),帧报头(如HDLC),使用ACL检测数据包,拒绝,允许,ACL的判别依据五元组,源端口,.,14,ACL的规则总结,按照由上到下的顺序执行，找到第一个匹配后既执行相应的操作（然后跳出ACL）每条ACL的末尾隐含一条denyany的规则ACL可应用于某个具体的IP接口的出方向或入方向ACL可应用于系统的某种特定的服务（如针对设备的TELNET）在引用ACL之前，要首先创建好ACL对于一个协议，一个接口的一个方向上同一时间内只能设置一个ACL,思考：我们应该按照怎样一个顺序配置ACL,.,15,ACL基本原理,ACL配置步骤,ACL应用实例,内容提要,.,16,1:设置判断标准语句(一个ACL可由多个语句组成),access-listaccess-list-numberpermit|denytestconditions,Router(config)#,ACL配置步骤,2:将ACL应用到接口上,ipaccess-groupaccess-list-numberin|out,Router(config-if)#,IPaccess-list-number范围1-99或100-199,.,17,号码范围,IPACL类型,1-99100-199,StandardExtended,标准ACL(1to99)根据源IP地址对数据包进行控制扩展ACL(100to199)判别依据包括源/目的地址,协议类型,源/目的端口号,ACL号码范围,.,18,标准与扩展ACL的比较,标准ACL,扩展ACL,基于源地址过滤.,允许/拒绝整个TCP/IP协簇.,指定特定的IP协议和协议号,范围从100到199.,范围从1到99,基于五元组过滤.,.,19,通配符的作用,0代表对应位必须与前面的地址相应位一致1代表对应位可以是任意值,忽略所有比特位,=,0,0,0,0,0,0,0,0,忽略最后六个比特位,匹配所有比特位,忽略最后四个比特位,匹配最后两个比特位,例子,.,20,匹配条件:匹配所有32位地址-主机地址,9,,(匹配所有32位),通配符:,匹配特定主机地址,.,21,55意为接受所有地址可简写为any,匹配条件:匹配任意地址（任意地址都被认为符合条件）,,55,(忽略所有位的比较),AnyIPaddress,通配符:,匹配任意地址,.,22,指定特定地址范围/24到/24,,通配符:00001111|00010000=1600010001=1700010010=18:00011111=31,地址与通配符如下55,匹配特定子网,.,23,access-listaccess-list-numberpermit|denysourcemask,ZXR10(config)#,IP标准ACL使用列表号1至99缺省通配符为“noaccess-listaccess-list-number”删除整个ACL,在接口上应用ACL设置进入或外出方向“noipaccess-groupaccess-list-number”去掉接口上的ACL设置,ZXR10(config-if)#,ipaccess-groupaccess-list-numberin|out,配置标准ACL,.,24,,,3,S0,Fei_1/1,非网段,只允许两边的网络互相访问,access-list1permit55(access-list1deny55)隐含拒绝全部interfaceFei_1/2ipaccess-group1outinterfaceFei_1/1ipaccess-group1out,Fei_1/2,标准ACL配置示例1,.,25,access-list1denyaccess-list1permitany(access-list1deny55)隐含拒绝全部interfacefei_1/2ipaccess-group1out,,,3,S0,拒绝特定主机3对网段的访问,非网段,Fei_1/1,Fei_1/2,标准ACL配置示例2,.,26,拒绝特定子网对网段的访问,,,3,S0,非网段,access-list1deny55access-list1permitany(access-list1deny55)别忘了系统还有隐含的这条规则！interfacefei_1/2ipaccess-group1out,Fei_1/1,Fei_1/2,标准ACL配置示例3,.,27,过滤telnet对路由器的访问,利用ACL针对地址限制进入的vty连接,linetelentaccess-classaccess-list-number,ZXR10(config)#,.,28,实例控制telent访问,只允许网段中的主机才能对路由器进行telnet访问,access-list12permit55linetelnetaccess-class12,/24网段,我只接受来自/24的telnet访问！,/24网段,telnet,/24网段,INTERNET,ZXR10(config)#,.,29,扩展ACL的配置,ZXR10(config)#,设置扩展ACL,access-listaccess-list-numberpermit|denyprotocolsourcesource-wildcardoperatorportdestinationdestination-wildcardoperatorportestablished,ZXR10(config)#ipaccess-groupaccess-list-numberin|out,应用到接口,.,30,access-list101denytcp5555eq21access-list101denytcp5555eq20access-list101permitipanyanyinterfacefei_2/1ipaccess-group101out,拒绝从子网到子网通过fei_2/1口出去的FTP访问允许其他所有流量,扩展ACL的配置实例1,,,3,S0,非网段,Fei_1/1,Fei_2/1,ZXR10(config)#,.,31,access-list101denytcp55anyeq23access-list101permitipanyanyinterfacefei_2/1ipaccess-group101out,扩展ACL的配置实例2,,,3,S0,仅拒绝从子网通过fei_2/1口外出的Telnet允许其他所有流量,非网段,Fei_1/1,Fei_2/1,ZXR10(config)#,.,32,ACL配置原则,ACL语句的顺序很关键ACL按照由上到下的顺序执行，找到一个匹配语句后既执行相应的操作，然后跳出ACL而不会继续匹配下面的语句。所以配置ACL语句的顺序非常关键！自上到下的处理顺序具体的判别条目应放置在前面标准ACL可以自动排序：主机网段any隐含的拒绝所有的条目除非最后有明确的允许语句，否则最终拒绝所有流量，所以ACL中必须有允许条目存在，否则一切流量被拒绝,.,33,如何