路由交换机ACL原理及配置课件

1、访问控制列表ACL原理及配置,1,PPT学习交流,ACL基本原理,ACL配置步骤,ACL应用实例,内容提要,2,PPT学习交流,ACL（访问控制列表）定义： 当网络流量不断增长的时候，对数据流进行管理和限制的方法 作为通用判别标准应用到不同场合 ACL是一个对经过路由器的数据进行判断、分类的方法。 常见的ACL的应用是将ACL应用到接口上。其主要作用是根据数据包与数据段的特征来进行判断，决定是否允许数据包通过路由器转发，其主要目的是对数据流量进行管理和控制。如果不使用ACL，路由器无法对流量进行限制。,什么是ACL?,3,PPT学习交流,哪些场合需要使用ACL？ 允许或禁止对路由器或来自路由器

2、的telnet访问 QOS与队列技术 策略路由 数据速率限制 路由策略 端口流镜像 NAT ,ACL的使用场合,4,PPT学习交流,标准ACL 仅以源IP地址作为过滤标准 只能粗略的限制某一大类协议 扩展ACL 以源IP地址、目的IP地址、源端口号、目的端口号、协议号作为过滤标准，可以精确的限制到某一种具体的协议 Inbound 或 Outbound,数据包出接口,数据包入接口,ACL处理过程,允许?,协议,ACL的分类,5,PPT学习交流,ACL如何工作,数据包入接口,下面以应用在外出接口方向的ACL为例说明ACL的工作流程： 首先数据包进入路由器的接口，根据目的地址查找路由表，找到转发接口

3、（如果路由表中没有相应的路由条目，路由器会直接丢弃此数据包，并给源主机发送目的不可达消息）。确定外出接口后需要检查是否在外出接口上配置了ACL，如果没有配置ACL，路由器将做与外出接口数据链路层协议相同的2层封装，并转发数据。,6,PPT学习交流,ACL如何工作,数据包入接口,如果在外出接口上配置了ACL，则要根据ACL制定的原则对数据包进行判断，如果匹配了某一条ACL的判断语句并且这条语句的关键字果是permit，转发数据包。,7,PPT学习交流,数据包出接口,否,是,丢弃处理,选择接口,路由表?,否,ACL 匹配控制,允许?,是,ACL如何工作,ACL?,是,数据包入接口,否,8,PPT学

4、习交流,ACL的匹配顺序,ACL内部处理具体过程：,丢弃处理,是,目的接口,拒绝,拒绝,是,匹配 第一条规则?,允许,9,PPT学习交流,ACL的匹配顺序,ACL内部处理具体过程：,丢弃处理,是,目的接口,是,匹配 第一条规则?,否,下一条?,是,是,拒绝,拒绝,拒绝,允许,允许,10,PPT学习交流,ACL的匹配顺序,ACL内部处理具体过程：,丢弃处理,是,目的接口,是,匹配 第一条规则?,否,匹配 下一条?,匹配 最后一条?,是,是,否,是,是,拒绝,拒绝,拒绝,拒绝,允许,允许,允许,11,PPT学习交流,ACL的匹配顺序,ACL内部处理具体过程：,丢弃处理,是,目的接口,是,匹配 第一

5、条规则?,否,匹配 下一条?,匹配 最后一条?,是,是,否,是,是,*,*说明：当ACL的最后一条不匹配时，系统使用隐含的“丢弃全部”进行处理！,拒绝,拒绝,拒绝,拒绝,允许,允许,允许,否,12,PPT学习交流,目的IP地址,源IP地址,协议号,目的端口,段 (如TCP报头),数据,数据包 (IP报头 ),帧报头 (如HDLC),使用ACL检测数据包,拒绝,允许,ACL的判别依据五元组,源端口,13,PPT学习交流,ACL的规则总结,按照由上到下的顺序执行，找到第一个匹配后既执行相应的操作（然后跳出ACL） 每条ACL的末尾隐含一条deny any 的规则 ACL可应用于某个具体的IP接口的

6、出方向或入方向 ACL可应用于系统的某种特定的服务（如针对设备的TELNET） 在引用ACL之前，要首先创建好ACL 对于一个协议，一个接口的一个方向上同一时间内只能设置一个ACL,思考：我们应该按照怎样一个顺序配置ACL,14,PPT学习交流,ACL基本原理,ACL配置步骤,ACL应用实例,内容提要,15,PPT学习交流,1: 设置判断标准语句(一个ACL可由多个语句组成),access-list access-list-number permit | deny test conditions ,Router(config)#,ACL配置步骤,2: 将ACL应用到接口上,ip access-

7、group access-list-number in | out,Router(config-if)#,IP access-list-number 范围 1-99 或 100-199,16,PPT学习交流,号码范围,IP ACL 类型,1-99 100-199,Standard Extended,标准ACL (1 to 99) 根据源IP地址对数据包进行控制 扩展ACL (100 to 199) 判别依据包括 源/目的地址, 协议类型, 源/目的端口号,ACL号码范围,17,PPT学习交流,标准与扩展ACL的比较,标准ACL,扩展ACL,基于源地址过滤.,允许/拒绝整个 TCP/IP 协簇.

8、,指定特定的 IP 协议和协议号,范围从 100 到 199.,范围从1 到 99,基于五元组过滤.,18,PPT学习交流,通配符的作用,0 代表对应位必须与前面的地址相应位一致 1 代表对应位可以是任意值,忽略所有比特位,=,0,0,0,0,0,0,0,0,忽略最后六个比特位,匹配所有比特位,忽略最后四个比特位,匹配最后两个比特位,例子,19,PPT学习交流,匹配条件: 匹配所有32位地址-主机地址,9,,(匹配所有32位),通配符:,匹配特定主机地址,20,PPT学习交流, 55 意为接受所有地址 可简写为 any

9、,匹配条件: 匹配任意地址（任意地址都被认为符合条件）,,55,(忽略所有位的比较),Any IP address,通配符:,匹配任意地址,21,PPT学习交流,指定特定地址范围 /24 到 /24,,通配符: 0 0 0 0 1 1 1 1 | 0 0 0 1 0 0 0 0 = 16 0 0 0 1 0 0 0 1 =17 0 0 0 1 0 0 1 0 =18 : : 0 0 0 1 1 1 1 1 =31,地址与通配符如下 55,匹配特定子网

10、,22,PPT学习交流,access-list access-list-number permit|deny source mask,ZXR10(config)#,IP 标准ACL使用列表号 1 至 99 缺省通配符为 “no access-list access-list-number” 删除整个ACL,在接口上应用ACL 设置进入或外出方向 “no ip access-group access-list-number” 去掉接口上的ACL设置,ZXR10(config-if)#,ip access-group access-list-number in | out ,配置标

11、准ACL,23,PPT学习交流,,,3,S0,Fei_1/1,非网段,只允许两边的网络互相访问,access-list 1 permit 55 (access-list 1 deny 55)隐含拒绝全部 interface Fei_1/2 ip access-group 1 out interface Fei_1/1 ip access-group 1 out,Fei_1/2,标准ACL配置示例1,24,PPT学习交流,access-

12、list 1 deny 3 access-list 1 permit any (access-list 1 deny 55) 隐含拒绝全部 interface fei_1/2 ip access-group 1 out,,,3,S0,拒绝特定主机3对网段的访问,非网段,Fei_1/1,Fei_1/2,标准ACL配置示例2,25,PPT学习交流,拒绝特定子网对网段的访问,172.1

13、6.3.0,,3,S0,非网段,access-list 1 deny 55 access-list 1 permit any (access-list 1 deny 55) 别忘了系统还有隐含的这条规则！ interface fei_1/2 ip access-group 1 out,Fei_1/1,Fei_1/2,标准ACL配置示例3,26,PPT学习交流,过滤 telnet 对路由器的访问,利用ACL针对地址限制进入的 vty 连接,line telen

14、t access-class access-list-number,ZXR10(config)#,27,PPT学习交流,实例控制 telent 访问,只允许 网段中的主机才能对路由器进行 telnet 访问,access-list 12 permit 55 line telnet access-class 12,/24网段,我只接受来自/24 的telnet访问！,/24网段,telnet,/24网段,INTERNET,ZXR10(config)#,28

15、,PPT学习交流,扩展ACL的配置,ZXR10(config)#,设置扩展ACL,access-list access-list-number permit | deny protocol source source-wildcard operator port destination destination-wildcard operator port established ,ZXR10(config)# ip access-group access-list-number in | out ,应用到接口,29,PPT学习交流,access-list 101 deny tcp 172.16

16、.4.0 55 55 eq 21 access-list 101 deny tcp 55 55 eq 20 access-list 101 permit ip any any interface fei_2/1 ip access-group 101 out,拒绝从子网 到子网 通过fei_ 2/1口出去的FTP访问 允许其他所有流量,扩展ACL的配置实例1,,,3,S0

17、,非网段,Fei_1/1,Fei_2/1,ZXR10(config)#,30,PPT学习交流,access-list 101 deny tcp 55 any eq 23 access-list 101 permit ip any any interface fei_ 2/1 ip access-group 101 out,扩展ACL的配置实例2,,,3,S0,仅拒绝从子网 通过 fei_ 2/1口外出的Telnet 允许其他所有流量,非网段,Fei_1/1,Fei_2/1,ZXR10(config)#,31,PPT学习交流,ACL配置原则,ACL语句的顺序很关键 ACL按照由上到下的顺序执行，找到一个匹配语句后既执行相应的操作，然后跳出ACL而不会继续匹配下面的语句。所以配置ACL语句的顺序非常关键！ 自上到下的处理顺序 具体的判别条目应放置在前面 标准ACL可以自动排序： 主机 网段 any 隐含的拒绝所有的条目 除非最后有明确的允许语句，否则最终拒绝所有流量，所以ACL中必须有允许条目存在，否则一切流量被拒绝,32,PPT学习交流,如何放置ACL