计算机硬件及网络DCN-TS07-ACL的应用课件

ACL应用客户服务中心ACL应用客户服务中心ACL的应用ACL定义ACL功能ACL配置步骤ACL应用举例ACL与其它厂家的对比2ACL的应用ACL定义2ACL的定义ACL(AccessControlLists)是交换机实现的一种数据包过滤机制，通过允许或拒绝特定的数据包进出网络，交换机可以对网络访问进行控制，有效保证网络的安全运行。3ACL的定义ACL(AccessControlList标准检查源地址允许或禁止所有的协议OutgoingPacketE0S0IncomingPacketAccessListProcessesPermit?SourceACL的定义4标准OutgoingE0S0IncomingAccessL

标准检查源地址允许或禁止所有的协议扩展检查目的地址允许或禁止特定的协议OutgoingPacketE0S0IncomingPacketAccessListProcessesPermit?Sourceand

DestinationProtocolACL的定义5标准OutgoingE0S0In

标准检查源地址允许或禁止所有的协议扩展检查目的地址允许或禁止特定的协议InboundorOutbound

OutgoingPacketE0S0IncomingPacketAccessListProcessesPermit?Sourceand

DestinationProtocolACL的定义6标准OutgoingE0S0InInternet管理随网络扩张而增长的网络流量过滤通过交换机和路由器的数据包为什么使用访问控制列表？7Internet管理Interface(s)DestinationPacketstointerfacesintheaccessgroupPacket

DiscardBucketYDenyDenyYMatchFirstTest?Permit列表的检测-允许或禁止8Interface(s)DestinationPacketsPacketstoInterface(s)intheAccessGroupPacket

DiscardBucketYInterface(s)DestinationDenyDenyYMatchFirstTest?PermitNDenyPermitMatchNextTest(s)?YY列表的检测-允许或禁止9PacketstoInterface(s)PacketPacketstoInterface(s)intheAccessGroupPacket

DiscardBucketYInterface(s)DestinationDenyDenyYMatchFirstTest?PermitNDenyPermitMatchNextTest(s)?DenyMatchLastTest

?YYNYYPermit列表的检测-允许或禁止10PacketstoInterface(s)PacketPacketstoInterface(s)intheAccessGroupPacket

DiscardBucketYInterface(s)DestinationDenyYMatchFirstTest?PermitNDenyPermitMatchNextTest(s)?DenyMatchLastTest

?YYNYYPermitImplicitDeny如果没有匹配DenyDenyN列表的检测-允许或禁止11PacketstoInterface(s)PacketNumberRange/IdentifierAccessListTypeIP

1-99Standard标准IP列表(1to99)检查所有包的源地址怎样定义访问控制列表？12NumberRange/IdentifierAccessNumberRange/IdentifierAccessListTypeIP

1-99100-199StandardExtended标准IP列表(1to99)检查所有包的源地址扩展IP列表(100to199)能够检查源地址和目的地址，特定的TCP/IP协议,，和目的端口怎样定义访问控制列表？13NumberRange/IdentifierAccessNumberRange/IdentifierIP

1-99100-199,1300-1999,2000-2699Name(CiscoIOS11.2andlater)800-899900-9991000-1099Name(CiscoIOS11.2.Fandlater)StandardExtendedSAPfiltersNamedStandardExtendedNamedAccessListTypeIPX标准IP列表(1to99)检查所有包的源地址扩展IP列表(100to199)能够检查源地址和目的地址，特定的TCP/IP协议,，和目的端口其它的访问列表号对应其他的网络协议怎样定义访问控制列表？14NumberRange/IdentifierIP 1-9SourceAddressSegment(forexample,

TCPheader)DataPacket(IPheader)FrameHeader(forexample,

HDLC)DenyPermitUseaccessliststatements1-99标准列表检查过程15SourceSegmentDataPacketFrameDDestinationAddressSourceAddressProtocolPortNumberSegment(forexample,

TCPheader)DataPacket(IPheader)FrameHeader(forexample,

HDLC)Useaccessliststatements1-99or100-199to

testthepacketDenyPermit扩展列表检查过程16DestinationSourceProtocolPortS二、ACL功能1、拒绝特定的数据包进/出端口。2、允许特定的数据包进端口。3、和Qos配合，特定的数据包限制流量进入网络。问题1：如何描述“特定”？问题2：如何与Qos配合？17二、ACL功能1、拒绝特定的数据包进/出端口。17问题1：“特定”？特定：用户通过规则（rule）来定义自己的需求，Rule包含的信息可以包括源MAC、目的MAC、源IP、目的IP、IP协议号、tcp端口等条件的有效组合，我们当前的规则分为3大类：1、MAC规则2、IP规则3、MAC-IP规则注意：过滤功能若使能，则每个端口都还有一个规则：1、默认规则18问题1：“特定”？特定：用户通过规则（rule）来定义自己的1、MAC规则1、MAC规则：包含源/目的MAC地址，帧类型，802.1Q的tag（cos和vlanid），上层报文类型。命令举例：[no]{deny|permit}{any-source-mac|{host-source-mac<host_smac>}|{<smac><smac-mask>}}{any-destination-mac|{host-destination-mac<host_dmac>}|{<dmac><dmac-mask>}}[tagged-eth2[cos<cos-val>[<cos-bitmask>]][vlanId<vid-value>[<vid-mask>]][ethertype<protocol>[<protocol-mask>]]]功能：创建一条匹配tagged以太网2帧类型的MAC访问规则(rule)；no操作为删除此命名扩展MAC访问规则（rule）191、MAC规则1、MAC规则：包含源/目的MAC地址，帧MAC规则举例用户有如下配置需求：交换机的10端口连接的网段的MAC地址是00-12-11-23-XX-XX，并且不允许802.3的数据报文发出。配置步骤：1、

创建相应的MACACL2、

配置过滤默认动作（默认动作：没有定义规则的报文动作）3、

绑定ACL到端口配置举例如下：

Switch(Config)#access-list1100deny00-12-11-23-00-0000-00-00-00-ff-ffanyuntagged-802.3Switch(Config)#access-list1100deny00-12-11-23-00-0000-00-00-00-ff-ffanytagged-802.3Switch(Config)#firewallenableSwitch(Config)#firewalldefaultpermitSwitch(Config)#interfaceethernet0/0/10Switch(Config-Ethernet0/0/10)#ipaccess-group1100in20MAC规则举例用户有如下配置需求：交换机的10端口连接的网2、IP规则包含源/目的IP地址，协议类型（IP，TCP/UDP（源/目的tcp/udp端口号），ICMP（icmp包类型），Igmp（igmp包类型），和其它任意协议类型，precedence和tos（服务类型）。命令举例：[no]{deny|permit}udp{{<sIpAddr>

<sMask>}|any-source|{host-source<sIpAddr>}}[sPort<sPort>]{{<dIpAddr>

<dMask>}|any-destination|{host-destination<dIpAddr>}}[dPort<dPort>][precedence<prec>][tos<tos>]功能：创建一条udp命名扩展IP访问规则（rule）；本命令的no操作为删除此命名扩展IP访问规则（rule）。

212、IP规则包含源/目的IP地址，协议类型（IP，TCP/UIP规则举例用户有如下配置需求：交换机的10端口连接/24网段，管理员不希望用户使用ftp，也不允许外网ping此网段的任何一台主机。配置步骤：1．

创建相应的IPACL2．

配置过滤默认动作（默认动作：没有定义规则的报文动作）3．

绑定ACL到端口配置举例如下：

Switch(Config)#access-list110denytcp55any-destinationd-port21Switch(Config)#access-list120denyicmpany-source55Switch(Config)#firewallenableSwitch(Config)#firewalldefaultpermitSwitch(Config)#interfaceethernet0/0/10Switch(Config-Ethernet0/0/10)#ipaccess-group110inSwitch(Config-Ethernet0/0/10)#ipaccess-group120out22IP规则举例用户有如下配置需求：交换机的10端口连接10.03、MAC-IP规则包含源/目的MAC地址，源/目的IP地址，协议类型（IP，TCP/UDP（源/目的tcp/udp端口号），ICMP（icmp包类型），Igmp（igmp包类型），和其它任意协议类型，precedence和tos（服务类型）。命令举例：{deny|permit}{any-source-mac|{host-source-mac<host_smac>}|{<smac><smac-mask>}}{any-destination-mac|{host-destination-mac<host_dmac>}|{<dmac><dmac-mask>}}udp{{<source><source-wildcard>}|any-source|{host-source<source-host-ip>}}[s-port<port1>]{{<destination><destination-wildcard>}|any-destination|{host-destination<destination-host-ip>}}[d-port<port3>][precedence<precedence>][tos<tos>]功能：创建一条tcp命名扩展MAC-IP访问规则（rule）；本命令的no操作为删除此命名扩展IP访问规则（rule）。

233、MAC-IP规则包含源/目的MAC地址，源/目的IP地址MAC-IP规则举例用户有如下配置需求：交换机的10端口连接的网段的MAC地址是00-12-11-23-XX-XX，并且IP为/24网段，管理员不希望用户使用ftp，也不允许外网ping此网段的任何一台主机。配置步骤：1、

创建相应的MAC-IPACL2、

配置过滤默认动作（默认动作：没有定义规则的报文动作）3、

绑定ACL到端口配置举例如下：Switch(Config)#access-list3110deny00-12-11-23-00-0000-00-00-00-FF-FFanytcp55any-destinationd-port21Switch(Config)#access-list3120denyany00-12-11-23-00-0000-00-00-00-FF-FFicmpany-source55Switch(Config)#firewallenableSwitch(Config)#firewalldefaultpermitSwitch(Config)#interfaceethernet0/0/10Switch(Config-Ethernet0/0/10)#mac-ipaccess-group3110inSwitch(Config-Ethernet0/0/10)#mac-ipaccess-group3120out24MAC-IP规则举例用户有如下配置需求：交换机的10端口连接默认规则默认规则：匹配所有的IP报文，但是优先级最低，所以当数据包同时匹配用户规则和默认规则时，用户规则起作用。默认动作：permit或者deny，二者必选其一配置举例：Switch(Config)#firewalldefaultpermit（默认规则permit）Switch(Config)#firewalldefaultdeny

（默认规则deny）

25默认规则默认规则：匹配所有的IP报文，但是优先级最低，所以当问题2:如何与Qos配合第一步：定义“特定”的报文，即是定义报文通过规则（rule），规则的分类如问题1所描述。第二步：Qos中的定义流量分类时选用该ACL规则。第三步：Qos中定义该流量分类的策略（流量大小，优先级等）。第四步：在某个接口上使能该策略，Qos功能生效26问题2:如何与Qos配合第一步：定义“特定”的报文，即是定义Qos方案与ACL的关系Classification（分类）Policing（监管）Mark（重写）Queueing（整形）和Scheduling（排程）

ACL的应用端口信任dscp/ip-precedence/cos/port27Qos方案与ACL的关系Classification（分类）三、ACL的配置步骤1.

配置access-list(定义所需要的规则)2.

配置包过滤功能将access-list绑定到特定端口的特定方向；或者，将access-list关联到相应Qos流量分类中。28三、ACL的配置步骤1.

配置access-list(定思考Acl应用在交换机的端口还是vlan？应用入方向还是出方向？还是都可以？是否影响交换机性能？能否实现单向访问？29思考Acl应用在交换机的端口还是vlan？29学以致用，让网络应用普遍成功！学以致用，让网络应用普遍成功！ACL应用客户服务中心ACL应用客户服务中心ACL的应用ACL定义ACL功能ACL配置步骤ACL应用举例ACL与其它厂家的对比32ACL的应用ACL定义2ACL的定义ACL(AccessControlLists)是交换机实现的一种数据包过滤机制，通过允许或拒绝特定的数据包进出网络，交换机可以对网络访问进行控制，有效保证网络的安全运行。33ACL的定义ACL(AccessControlList标准检查源地址允许或禁止所有的协议OutgoingPacketE0S0IncomingPacketAccessListProcessesPermit?SourceACL的定义34标准OutgoingE0S0IncomingAccessL

标准检查源地址允许或禁止所有的协议扩展检查目的地址允许或禁止特定的协议OutgoingPacketE0S0IncomingPacketAccessListProcessesPermit?Sourceand

DestinationProtocolACL的定义35标准OutgoingE0S0In

标准检查源地址允许或禁止所有的协议扩展检查目的地址允许或禁止特定的协议InboundorOutbound

OutgoingPacketE0S0IncomingPacketAccessListProcessesPermit?Sourceand

DestinationProtocolACL的定义36标准OutgoingE0S0InInternet管理随网络扩张而增长的网络流量过滤通过交换机和路由器的数据包为什么使用访问控制列表？37Internet管理Interface(s)DestinationPacketstointerfacesintheaccessgroupPacket

DiscardBucketYDenyDenyYMatchFirstTest?Permit列表的检测-允许或禁止38Interface(s)DestinationPacketsPacketstoInterface(s)intheAccessGroupPacket

DiscardBucketYInterface(s)DestinationDenyDenyYMatchFirstTest?PermitNDenyPermitMatchNextTest(s)?YY列表的检测-允许或禁止39PacketstoInterface(s)PacketPacketstoInterface(s)intheAccessGroupPacket

DiscardBucketYInterface(s)DestinationDenyDenyYMatchFirstTest?PermitNDenyPermitMatchNextTest(s)?DenyMatchLastTest

?YYNYYPermit列表的检测-允许或禁止40PacketstoInterface(s)PacketPacketstoInterface(s)intheAccessGroupPacket

DiscardBucketYInterface(s)DestinationDenyYMatchFirstTest?PermitNDenyPermitMatchNextTest(s)?DenyMatchLastTest

?YYNYYPermitImplicitDeny如果没有匹配DenyDenyN列表的检测-允许或禁止41PacketstoInterface(s)PacketNumberRange/IdentifierAccessListTypeIP

1-99Standard标准IP列表(1to99)检查所有包的源地址怎样定义访问控制列表？42NumberRange/IdentifierAccessNumberRange/IdentifierAccessListTypeIP

1-99100-199StandardExtended标准IP列表(1to99)检查所有包的源地址扩展IP列表(100to199)能够检查源地址和目的地址，特定的TCP/IP协议,，和目的端口怎样定义访问控制列表？43NumberRange/IdentifierAccessNumberRange/IdentifierIP

1-99100-199,1300-1999,2000-2699Name(CiscoIOS11.2andlater)800-899900-9991000-1099Name(CiscoIOS11.2.Fandlater)StandardExtendedSAPfiltersNamedStandardExtendedNamedAccessListTypeIPX标准IP列表(1to99)检查所有包的源地址扩展IP列表(100to199)能够检查源地址和目的地址，特定的TCP/IP协议,，和目的端口其它的访问列表号对应其他的网络协议怎样定义访问控制列表？44NumberRange/IdentifierIP 1-9SourceAddressSegment(forexample,

TCPheader)DataPacket(IPheader)FrameHeader(forexample,

HDLC)DenyPermitUseaccessliststatements1-99标准列表检查过程45SourceSegmentDataPacketFrameDDestinationAddressSourceAddressProtocolPortNumberSegment(forexample,

TCPheader)DataPacket(IPheader)FrameHeader(forexample,

HDLC)Useaccessliststatements1-99or100-199to

testthepacketDenyPermit扩展列表检查过程46DestinationSourceProtocolPortS二、ACL功能1、拒绝特定的数据包进/出端口。2、允许特定的数据包进端口。3、和Qos配合，特定的数据包限制流量进入网络。问题1：如何描述“特定”？问题2：如何与Qos配合？47二、ACL功能1、拒绝特定的数据包进/出端口。17问题1：“特定”？特定：用户通过规则（rule）来定义自己的需求，Rule包含的信息可以包括源MAC、目的MAC、源IP、目的IP、IP协议号、tcp端口等条件的有效组合，我们当前的规则分为3大类：1、MAC规则2、IP规则3、MAC-IP规则注意：过滤功能若使能，则每个端口都还有一个规则：1、默认规则48问题1：“特定”？特定：用户通过规则（rule）来定义自己的1、MAC规则1、MAC规则：包含源/目的MAC地址，帧类型，802.1Q的tag（cos和vlanid），上层报文类型。命令举例：[no]{deny|permit}{any-source-mac|{host-source-mac<host_smac>}|{<smac><smac-mask>}}{any-destination-mac|{host-destination-mac<host_dmac>}|{<dmac><dmac-mask>}}[tagged-eth2[cos<cos-val>[<cos-bitmask>]][vlanId<vid-value>[<vid-mask>]][ethertype<protocol>[<protocol-mask>]]]功能：创建一条匹配tagged以太网2帧类型的MAC访问规则(rule)；no操作为删除此命名扩展MAC访问规则（rule）491、MAC规则1、MAC规则：包含源/目的MAC地址，帧MAC规则举例用户有如下配置需求：交换机的10端口连接的网段的MAC地址是00-12-11-23-XX-XX，并且不允许802.3的数据报文发出。配置步骤：1、

创建相应的MACACL2、

配置过滤默认动作（默认动作：没有定义规则的报文动作）3、

绑定ACL到端口配置举例如下：

Switch(Config)#access-list1100deny00-12-11-23-00-0000-00-00-00-ff-ffanyuntagged-802.3Switch(Config)#access-list1100deny00-12-11-23-00-0000-00-00-00-ff-ffanytagged-802.3Switch(Config)#firewallenableSwitch(Config)#firewalldefaultpermitSwitch(Config)#interfaceethernet0/0/10Switch(Config-Ethernet0/0/10)#ipaccess-group1100in50MAC规则举例用户有如下配置需求：交换机的10端口连接的网2、IP规则包含源/目的IP地址，协议类型（IP，TCP/UDP（源/目的tcp/udp端口号），ICMP（icmp包类型），Igmp（igmp包类型），和其它任意协议类型，precedence和tos（服务类型）。命令举例：[no]{deny|permit}udp{{<sIpAddr>

<sMask>}|any-source|{host-source<sIpAddr>}}[sPort<sPort>]{{<dIpAddr>

<dMask>}|any-destination|{host-destination<dIpAddr>}}[dPort<dPort>][precedence<prec>][tos<tos>]功能：创建一条udp命名扩展IP访问规则（rule）；本命令的no操作为删除此命名扩展IP访问规则（rule）。

512、IP规则包含源/目的IP地址，协议类型（IP，TCP/UIP规则举例用户有如下配置需求：交换机的10端口连接/24网段，管理员不希望用户使用ftp，也不允许外网ping此网段的任何一台主机。配置步骤：1．

创建相应的IPACL2．

配置过滤默认动作（默认动作：没有定义规则的报文动作）3．

绑定ACL到端口配置举例如下：

Switch(Config)#access-list110denytcp55any-destinationd-port21Switch(Config)#access-list120denyicmpany-source55Switch(Config)#firewallenableSwitch(Config)#firewalldefaultpermitSwitch(Config)#interfaceethernet0/0/10Switch(Config-Ethernet0/0/10)#ipaccess-group110inSwitch(Config-Ethernet0/0/10)#ipaccess-group120out52IP规则举例用户有如下配置需求：交换机的10端口连接10.03、MAC-IP规则包含源/目的MAC地址，源/目的IP地址，协议类型（IP，TCP/UDP（源/目的tcp/udp端口号），ICMP（icmp包类型），Igmp（igmp包类型），和其它任意协议类型，precedence和tos（服务类型）。命令举例：{deny|permit}{any-source-mac|{host-source-mac<host_smac>}|{<smac><smac-mask>}}{any-destination-mac|{host-destination-mac<host_dmac>}|{<dmac><dmac-mask>}}udp{{<source><source-wildcard>}|any-source|{host-source<source-host-ip>}}[s-port<port1>]{{<destination><destination-wildcard>}|any-destination|{host-destination<destination-host-ip>}}[d-port<port3>][precedence<precedence>][tos<tos>]功能：创建一条tcp命名扩展MAC-IP访问规则（rule）；本命令的no操作为删除此命名扩展IP访问规则（rule）。

533、MAC-IP规则包含源/目的MAC地址，源/目的IP地址MAC-IP规则举例用户有如下配置需求