CHP6访问控制列表

访问控制列表(ACL)Page2学习目标

学完本课程后，您应该能：掌握ACL在企业网络中的应用掌握ACL的工作原理掌握ACL的配置Page3ACLACL应用场景Page4服务器AG0/0/0G0/0/1/.2/24ACL是由一系列规则组成的集合。ACL通过定义规则来允许或拒绝流量的通过，对网络设备自身产生的数据包不起作用。

RTASWA主机A主机B主机C主机DACL应用场景Page5G0/0/0数据未匹配数据数据加密后数据匹配ACL可以根据需求来定义过滤的条件以及匹配条件后所执行的动作。/.2/24SWA主机A主机B主机C主机DRTAACL作用1．限制网络流量、提高网络性能。2．提供对通信流量的控制手段。3．提供网络访问的基本安全手段。4．在路由器接口处，决定哪种类型的通信流量被转发、哪种类型的通信流量被阻塞。5．在QoS实施中对数据包进行分类。6.定义IPSecVPN的感兴趣流量。7.匹配NAT的源。8.路由导入时匹配路由条目。9.PBR中定义策略Page6ACL分类Page7分类编号范围参数基本ACL2000-2999源IP地址等高级ACL3000-3999源IP地址、目的IP地址、

源端口、目的端口等二层ACL4000-4999源MAC地址、目的MAC地址、以太帧协议类型等ACL两种匹配顺序：配置顺序(默认采用)和自动排序。配置顺序按ACL规则编号从小到大的顺序进行匹配。自动排序使用“深度优先”的原则进行匹配，即根据规则的精确度排序。ACL规则Page8如果未匹配如果未匹配/24/24RTARTBrule15denysource55每个ACL可以包含多个规则，RTA根据规则来对数据流量进行过滤。一个ACL可以由多条“deny

|

permit”语句组成ARG3系列路由器默认规则编号的步长是5。rule10denysource55acl2000rule5denysource55ACL条件匹配顺序Page9根据各描述语句的判断条件，对数据包进行检查。一旦找到了某一匹配条件，就结束比较过程，不再检查以后的其他条件判断语句。ACL通配符掩码通配符掩码使用以下规则匹配二进制1和0:通配符掩码位0—匹配地址中对应位的值通配符掩码位1—忽略地址中对应位的值每个ACL都应该放置在最能发挥作用的位置。基本的规则是：将复杂ACL尽可能靠近要拒绝流量的源。这样，才能在不需要的流量流经网络之前将其过滤掉.因为基本ACL不会指定目的地址，所以其位置应该尽可能靠近目的地.放置ACL位置S1/0/0G0/0/1G0/0/1G0/0/0G0/0/1G0/0/1G0/0/0S1/0/0S1/0/1S1/0/1基于时间的

ACL什么是基于时间的ACL?基于时间的ACL允许根据时间执行访问控制.基于时间的ACL具有许多优点，例如:在允许或拒绝资源访问方面为网络管理员提供了更多的控制权.允许网络管理员控制日志消息。time-rangetime-range

time-name

{

start-time

to

end-time

days

|

from

time1date1

[

to

time2date2

]}[Huawei]time-rangetestfrom0:02016/1/1to23:592016/12/31配置时间段test，从2016年1月1日00:00起到2016年12月31日23:59生效[Huawei]time-rangetest8:00to18:00working-day配置时间段test，在周一到周五每天8:00到18:00生效[Huawei]time-rangetest14:00to18:00off-day配置时间段test，在周六、周日下午14:00到18:00生效Page13ACL配置命令编号ACL:acl

[

number

]

acl-number

[

match-order

{

auto

|

config

}][Huawei]acl2000命名ACL:aclname

acl-name

[

advance

|

basic

|

link

|

acl-number

][

match-order

{

auto

|

config

}][Huawei]aclnameHuaweibasicPage14基本ACL配置Page15G0/0/0/24/24主机A主机BRTA[RTA]acl2000[RTA-acl-basic-2000]ruledenysource55[RTA]interfaceGigabitEthernet0/0/0[RTA-GigabitEthernet0/0/0]traffic-filteroutboundacl2000[RTA]user-interfacevty04[RTA-ui-vty0-4]acl2001inbound配置确认Page16[RTA]displayacl2000BasicACL2000,1ruleAcl'sstepis5rule5denysource55[RTA]displaytraffic-filterapplied-record

InterfaceDirectionAppliedRecord

GigabitEthernet0/0/0outboundacl2000

[RTA]displaytraffic-filterstatisticsinterfaceg0/0/0outbound*interfaceGigabitEthernet0/0/0outboundMatched:5(Packets)Passed:0(Packets)Dropped:5(Packets)高级ACL配置Page17RTA/24/24FTP服务器私有服务器G0/0/0/24/24主机A主机B[RTA]acl3000[RTA-acl-adv-3000]ruledenytime-rangeTESTtcpsource55destinationdestination-porteq21[RTA-acl-adv-3000]ruledenytime-rangeTESTtcpsource55destination[RTA-acl-adv-3000]rulepermitip[RTA-GigabitEthernet0/0/0]traffic-filteroutboundacl3000配置验证Page18[RTA]displayacl3000AdvancedACL3000,3rulesAcl'sstepis5rule5denytcpsource55destination0destination-porteqftptime-rangeTESTrule10denytcpsource55destination0time-rangeTESTrule15permitip[RTA]displaytraffic-filterapplied-record

InterfaceDirectionAppliedRecord

GigabitEthernet0/0/0outboundacl3000

<RTA>displaytime-rangeTESTCurrenttimeis23:50:246-5-2016Sunday

Time-range:TEST(Active)

00:00to23:59off-dayACL应用-NATPage19RTA/24/24主机A主机BG0/0/0本例要求通过ACL来实现主机A和主机B分别使用不同的公网地址池来进行NAT转换。地址池2……0地址池1……5Page20ACL应用-NAT[RTA]nataddress-group15[RTA]nataddress-group20010[RTA]acl2000[RTA-acl-basic-2000]rulepermitsource55[RTA]acl2001[RTA-acl-basic-2001]rulepermitsource55[RTA-acl-basic-2001]interfaceGigabitEthernet0/0/0[RTA-GigabitEthernet0/0/0]natoutbound2000address-group1[RTA-GigabitEthernet0/0/0]natoutbound2001address-group2[RTA-GigabitEthernet0/0/0]natstaticprotocoltcpglobal0080inside190080[RTA-GigabitEthernet0/0/0]natstaticglobal01inside01NATALG(FTP为例)Page21

主动模式（PORT）的连接过程

被动模式（PASV）的连接过程natalg

{

all

|

dns

|

ftp

|

rtsp

|

sip

}

enable，使能NATALG功能[RTA]displaynatalgNATApplicationLevelGatewayInformation:

ApplicationStatus

dnsEnabled

ftpEnabled

rtspEnabled

sipEnabledPage22二层ACL二层ACLacl

[

number

]

acl-number

[

match-order

{

auto

|

config

}]，使用编号创建一个二层ACLaclname

acl-name

{

link

|

acl-number

}[

match-order

{

auto

|

config

}]，使用名称创建一个二层ACLrule

{

permit

|

deny

}[

l2-protocol

type-value

[

type-mask

]|

destination-mac

dest-mac-address

[

dest-mac-mask

]|

source-mac

source-mac-address

[

source-mac-mask

]|

vlan-id

vlan-id

[

vlan-id-mask

]|

8021p

802.1p-value

|[

time-range

time-range-name

]]

*创建规则Page23二层ACL举例（1）要求AR1在接口G0/0/0对源MAC为5489-98e9-2ece的报文进行流量统计,并将报文丢弃Page24二层ACL举例（1）[R1]aclnumber4000[R1-acl-L2-4000]rule10permitsource-mac5489-98e9-2eceffff-ffff-ffff[R1-acl-L2-4000]q[R1]trafficclassifierc1[R1-classifier-c1]if-matchacl4000[R1-classifier-c1]q[R1]trafficbehaviorb1[R1-behavior-b1]deny[R1-behavior-b1]statisticenable[R1-behavior-b1]q[R1]trafficpolicyp1[R1-trafficpolicy-p1]classifierc1behaviorb1[R1-trafficpolicy-p1]q[R1]interfaceGigabitEthernet0/0/0[R1-GigabitEthernet0/0/0]traffic-policyp1inboundPage25验证二层ACL[R1]displayaclall

TotalquantityofnonemptyACLnumberis1L2ACL4000,1ruleAcl'sstepis5

rule10permitsource-mac5489-98e9-2ece(3matches)[R1]displaytraffic-policyapplied-record

PolicyName:p1

PolicyIndex:0

Classifier:c1Behavior:b1*interfaceGigabitEthernet0/0/0

traffic-policyp1inbound

slot0:successPage26验证二层ACL[R1]displaytrafficpolicystatisticsinterfaceg0/0/0inbound

Interface:GigabitEthernet0/0/0

Trafficpolicyinbound:p1

Rulenumber:1

Currentstatus:OK!ItemSum(Packets/Bytes)Rate(pps/bps)Matched3/0/

2520

+--Passed0/0/

00

+--Dropped3/0/

2520

+--Filter3/0/

2520Page27二层ACL举例（2）要求CLIENT1不能访问CLIENT2，拒绝CLIENT1到CLIENT3的ARP流量Page28二层ACL举例（2）[S1]acl4000[S1-acl-L2-4000]rule10denyl2-protocolarpdestination-mac5489-9862-2FF8ffff-ffff-ffffsource-mac5489-9803-2C28ffff-ffff-ffff[S1-acl-L2-4000]rule20denysource-mac5489-9862-2FF8ffff-ffff-ffffdestination-macffff-ffff-ffffffff-ffff-ffff

[S1-acl-L2-4000]intg0/0/1[S1-GigabitEthernet0/0/1]traffic-filterinacl4000Page29验证二层ACL[S1]displayaclallTotalnonemptyACLnumberis1

L2ACL4000,2rulesAcl'sstepis5rule10denyl2-protocolarpdestination-mac5489-9862-2ff8source-mac5489-9803-2c28rule20denydestination-macffff-ffff-ffffsource-mac5489-9862-2ff8

[S1]displaytraffic-appliedinterfaceinboundACLappliedinboundinterfaceGigabitEthernet0/0/1

ACL4000rule10denyl2-protocolarpdestination-mac5489-9862-2ff8source-mac5489-9803-2c28ACTIONS:filter

ACL4000rule20denydestination-macffff-ffff-ffffsource-mac5489-9862-2ff8ACTIONS:filterPage30ACL配置防火墙Page31ACL配置防火墙定义防火墙过滤规则[R1]aclnumber3000[R1-acl-adv-3000]rule10permittcpdestination00destination-porteqwww[R1-acl-adv-3000]rule20denyip[R1-acl-adv-3000]q[R1]aclnumber3001[R1-acl-adv-3001]rule10permitipsource55[R1-acl-adv-3001]rule20denyip[R1-acl-adv-3001]qPage32