REUB_501_C1_E系列路由交换机ACL原理及配置V1[1].1(42).ppt

reub_501_c1 zxr 10 ip功能特性原理和配置 e系列访问控制列表acl原理及配置,v1.1,本章学习目标,经过本章的学习，你可以获得以下收获： 了解acl的概念，及其作用 了解acl的工作原理和过程 掌握acl的基本配置，实现对数据流的控制,课程内容,acl基本原理 acl配置步骤 acl应用实例,,,internet,acl（访问控制列表）定义： 当网络流量不断增长的时候，对数据流进行管理和限制的方法 作为通用判别标准应用到不同场合,什么是acl?,acl的使用场合,哪些场合需要使用acl？ 允许或禁止对路由器或来自路由器的telnet访问 qos与队列技术 策略路由 数据速率限制 路由策略 端口流镜像 nat ,标准acl 仅以源ip地址作为过滤标准 只能粗略的限制某一大类协议 扩展acl 以源ip地址、目的ip地址、源端口号、目的端口号、协议号作为过滤标准，可以精确的限制到某一种具体的协议 inbound 或 outbound,数据包出接口,数据包入接口,acl处理过程,允许?,协议,acl的分类,否,是,丢弃处理,选择出接口,否,acl?,路由表?,数据包出接口,acl如何工作,数据包入接口,数据包出接口,否,是,丢弃处理,选择接口,路由表?,否,acl 匹配控制,允许?,是,acl如何工作,acl?,是,数据包入接口,数据包出接口,否,是,丢弃处理,选择接口,路由表?,否,acl 匹配控制,允许?,是,acl如何工作,acl?,是,数据包入接口,否,acl的匹配顺序,acl内部处理具体过程：,丢弃处理,是,目的接口,拒绝,拒绝,是,匹配 第一条规则?,允许,acl的匹配顺序,acl内部处理具体过程：,丢弃处理,是,目的接口,是,匹配 第一条规则?,否,下一条?,是,是,拒绝,拒绝,拒绝,允许,允许,acl的匹配顺序,acl内部处理具体过程：,丢弃处理,是,目的接口,是,匹配 第一条规则?,否,匹配 下一条?,匹配 最后一条?,是,是,否,是,是,拒绝,拒绝,拒绝,拒绝,允许,允许,允许,acl的匹配顺序,acl内部处理具体过程：,丢弃处理,是,目的接口,是,匹配 第一条规则?,否,匹配 下一条?,匹配 最后一条?,是,是,否,是,是,*,*说明：当acl的最后一条不匹配时，系统使用隐含的“丢弃全部”进行处理！,拒绝,拒绝,拒绝,拒绝,允许,允许,允许,否,目的ip地址,源ip地址,协议号,目的端口,段 (如tcp报头),数据,数据包 (ip报头 ),帧报头 (如hdlc),使用acl检测数据包,拒绝,允许,acl的判别依据五元组,源端口,acl的规则总结,按照由上到下的顺序执行，找到第一个匹配后既执行相应的操作（然后跳出acl） 每条acl的末尾隐含一条deny any 的规则 acl可应用于某个具体的ip接口的出方向或入方向 acl可应用于系统的某种特定的服务（如针对设备的telnet） 在引用acl之前，要首先创建好acl 对于一个协议，一个接口的一个方向上同一时间内只能设置一个acl,思考：我们应该按照怎样一个顺序配置acl,课程内容,acl基本原理 acl配置步骤 acl应用实例,1: 设置判断标准语句(一个acl可由多个语句组成),access-list access-list-number permit | deny test conditions ,router(config)#,acl配置步骤,2: 将acl应用到接口上,ip access-group access-list-number in | out,router(config-if)#,ip access-list-number 范围 1-99 或 100-199,号码范围,ip acl 类型,1-99 100-199,standard extended,标准acl (1 to 99) 根据源ip地址对数据包进行控制 扩展acl (100 to 199) 判别依据包括 源/目的地址, 协议类型, 源/目的端口号,acl号码范围,标准与扩展acl的比较,标准acl,扩展acl,基于源地址过滤.,允许/拒绝整个 tcp/ip 协簇.,指定特定的 ip 协议和协议号,范围从 100 到 199.,范围从1 到 99,基于五元组过滤.,通配符的作用,0 代表对应位必须与前面的地址相应位一致 1 代表对应位可以是任意值,忽略所有比特位,=,0,0,0,0,0,0,0,0,忽略最后六个比特位,匹配所有比特位,忽略最后四个比特位,匹配最后两个比特位,例子,匹配条件: 匹配所有32位地址-主机地址,9,,(匹配所有32位),通配符:,匹配特定主机地址, 55 意为接受所有地址 可简写为 any,匹配条件: 匹配任意地址（任意地址都被认为符合条件）,,55,(忽略所有位的比较),any ip address,通配符:,匹配任意地址,指定特定地址范围 /24 到 /24,,通配符: 0 0 0 0 1 1 1 1 | 0 0 0 1 0 0 0 0 = 16 0 0 0 1 0 0 0 1 = 17 0 0 0 1 0 0 1 0 = 18 : : 0 0 0 1 1 1 1 1 = 31,地址与通配符如下 55,匹配特定子网,access-list access-list-number permit|deny source mask,zxr10(config)#,ip 标准acl使用列表号 1 至 99 缺省通配符为 “no access-list access-list-number” 删除整个acl,在接口上应用acl 设置进入或外出方向 “no ip access-group access-list-number” 去掉接口上的acl设置,zxr10(config-if)#,ip access-group access-list-number in | out ,配置标准acl,,,3,s0,fei_1/1,非网段,只允许两边的网络互相访问,access-list 1 permit 55 (access-list 1 deny 55)隐含拒绝全部 interface fei_1/2 ip access-group 1 out interface fei_1/1 ip access-group 1 out,fei_1/2,标准acl配置示例1,access-list 1 deny 3 access-list 1 permit any (access-list 1 deny 55) 隐含拒绝全部 interface fei_1/2 ip access-group 1 out,,,3,s0,拒绝特定主机3对网段的访问,非网段,fei_1/1,fei_1/2,标准acl配置示例2,拒绝特定子网对网段的访问,,,3,s0,非网段,access-list 1 deny 55 access-list 1 permit any (access-list 1 deny 55) 别忘了系统还有隐含的这条规则！ interface fei_1/2 ip access-group 1 out,fei_1/1,fei_1/2,标准acl配置示例3,过滤 telnet 对路由器的访问,利用acl针对地址限制进入的 vty 连接,line telent access-class access-list-number,zxr10(config)#,实例控制 telent 访问,只允许 网段中的主机才能对路由器进行 telnet 访问,access-list 12 permit 55 line telnet access-class 12,/24网段,我只接受来自/24 的telnet访问！,/24网段,telnet,/24网段,internet,zxr10(config)#,扩展acl的配置,zxr10(config)#,设置扩展acl,access-list access-list-number permit | deny protocol source source-wildcard operator port destination destination-wildcard operator port established ,zxr10(config)# ip access-group access-list-number in | out ,应用到接口,access-list 101 deny tcp 55 55 eq 21 access-list 101 deny tcp 55 55 eq 20 access-list 101 permit ip any any interface fei_2/1 ip access-group 101 out,拒绝从子网 到子网 通过fei_ 2/1口出去的ftp访问 允许其他所有流量,扩展acl的配置实例1,,,3,s0,非网段,fei_1/1,fei_2/1,zxr10(config)#,access-list 101 deny tcp 55 any eq 23 access-list 101 permit ip any any interface fei_ 2/1 ip access-group 101 out,扩展acl的配置实例2,,,3,s0,仅拒绝从子网 通过 fei_ 2/1口外出的telnet 允许其他所有流量,非网段,fei_1/1,fei_2/1,zxr10(config)#,acl配置原则,acl语句的顺序很关键 acl按照由上到下的顺序执行，找到一个匹配语句后既执行相应的操作，然后跳出acl而不会继续匹配下面的语句。所以配置acl语句的顺序非常关键！ 自上到下的处理顺序 具体的判别条目应放置在前面 标准acl可以自动排序： 主机 网段 any 隐含的拒绝所有的条目 除非最后有明确的允许语句，否则最终拒绝所有流量，所以acl中必须有允许条目存在，否则一切流量被拒绝,如何放置acl？,标准acl应该在什么位置路由器上设置？ 对于标准acl，应该被配置在距离目的网络最近的路由器上。 扩展acl应该在什么位置路由器上设置？ 对于扩展acl，应该被配置在距离源网络最近的路由器上。,e0,e0,e1,s0,to0,s1,s0,s1,e0,e0,b,a,d,pc_a,pc_b,zxr10#show ip access-list 1 standard ip access list 1 permit 55 permit 55,acl配置显示,课程内容,acl基本原理 acl配置步骤 acl应用实例,acl实用案例- 反向acl防范病毒攻击（1）,需求： /24网段是服务器，为了保证服务器的安全，需要防止/24对该网段的攻击 /24还要能够使用服务器提供的www服务,,,3,s0,非网段,fei_1/1,fei_2/1,acl实用案例- 反向acl防范病毒攻击（2）,access-list 101 permit tcp 55 3 eq www /24可以访问服务器的www服务 access-list 101 permit tcp