HCIA路由交换技术实战（微课版） 课件 项目13基本ACL

项目13基本ACLACL的基本原理1、ACL的基本概念

访问控制列表ACL（AccessControlList）是由一系列规则组成的集合，ACL通过这些规则对报文进行分类，从而使设备可以对不同类报文进行不同的处理。

一个ACL通常由若干条“deny｜permit”语句组成，每条语句就是该ACL的一条规则，每条语句中的“deny｜permit”就是与这条规则相对应的处理动作。处理动作“permit”的含义是“允许”，处理动作“deny”的含义是“拒绝”。ACL是一种应用非常广泛的网络安全技术，配置了ACL的网络设备的工作过程可以分为以下两个步骤。（1）根据事先设定好的报文匹配规则对经过该设备的报文进行匹配；（2）对匹配的报文执行事先设定好的处理动作。ACL的基本原理2、ACL的规则ACL负责管理用户配置的所有规则，并提供报文匹配规则的算法。ACL的规则管理的基本思想如下：①每个ACL作为一个规则组，一般可以包含多个规则。②ACL中的每一条规则通过规则ID（rule-id）来标识，规则ID可以自行设置，也可以由系统根据步长自动生成，即设备会在创建ACL的过程中自动为每一条规则分配一个ID。③默认情况下，ACL中的所有规则均按照规则ID从小到大的顺序与规则进行匹配。④规则ID之间会留下一定的间隔。如果不指定规则ID时，具体间隔大小由“ACL的步长”来设定。ACL的基本原理3、ACL的规则匹配

配置了ACL的设备在接收到一个报文之后，会将该报文与ACL中的规则逐条进行匹配。如果不能匹配上当前这条规则，则会继续尝试去匹配下一条规则。一旦报文匹配上了某条规则，则设备会对该报文执行这条规则中定义的处理动作（permit或deny），并且不再继续尝试与后续规则进行匹配。如果报文不能匹配上ACL的任何一条规则，则设备会对该报文执行“permit”这个处理动作。ACL的基本原理4、ACL分类

根据ACL所具备的特性不同，我们可以将ACL分成不同的类型。分别是基本ACL、高级ACL、二层ACL、用户自定义ACL，其中应用最为广泛的是基本ACL和高级ACL。各种类型ACL的区别，如表所示。ACL类型编号范围规则制订的主要依据基本ACL2000～2999报文的源IP地址等信息。高级ACL3000～3999报文的源IP地址、目的IP地址、报文优先级、IP承载的协议类型及特性等三、四层信息。二层ACL4000～4999报文的源MAC地址、目的MAC地址、802.1p优先级、链路层协议类型等二层信息用户自定义ACL5000～5999用户自定义报文的偏移位置和偏移量、从报文中提取出相关内容等信息基本ACL的命令格式基本ACL只能基于IP报文的源IP地址、报文分片标记和时间段信息来定义规则。配置基本ACL规则的命令具有如下结构：rule[rule-id]{permit|deny}[source{source-addresssource-wildcard｜any}|fragment|logging|time-rangetime-name]基本ACL的配置1、案例

基本ACL的配置（1）案例背景与要求：某公司网络包含了外来人员办公区、项目部办工区和财务部办公区域。在外来人员办公区中，有一台专门供外来人员使用的计算机PC2，IP地址为192.168.2.1/24，出于网络安全方面的考虑，我们需要禁止财务部办公区接收外来人员发送的IP报文。为了满足这样的网络需求，我们可以在路由器R1上配置基本ACL。基本ACL可以根据源IP地址信息识别出外来办公人员发出的IP报文，然后在GE0/0/3接口的出方向（Outbound方向）上拒绝放行这样的IP报文。基本ACL的配置基本ACL的配置示意图如下。PC2GE0/0/3外来人员办公区192.168.2.0/24财务部办公区192.168.3.0/24R1项目部办公区192.168.1.0/24PC1PC3GE0/0/2GE0/0/1报文A报文A基本ACL：在GE0/0/3接口的出方向拒绝放行源IP地址为192.168.2.1的报文AIP:192.168.2.1/24IP:192.168.3.1/24IP:192.168.1.1/24基本ACL的配置（2）案例配置过程①配置路由器R1。首先，我们在路由器R1的系统视图下，创建一个编号为2000的基本ACL。[R1]acl2000[R1-acl-basic-2000]基本ACL的配置（2）案例配置过程②然后，在ACL2000的视图下创建如下的规则。[R1-acl-basic-2000]ruledenysource192.168.2.10.0.0.0[R1-acl-basic-2000]基本ACL的配置（2）案例配置过程③最后，使用报文过滤技术中的traffic-filter命令将ACL2000应用在路由器R1的GE0/0/3接口的出方向上。[R1-acl-basic-2000]quit[R1]interfacegigabitethernet0/0/3[R1-GigabitEthernet0/0/3]traffic-filteroutboundacl2000[R1-GigabitEthernet0/0/3]基本ACL配置实例2、案例

基本ACL配置实例（1）案例背景与要求：Jan16公司有网管办公区、市场部办公区、项目部办公区、财务部办公区和服务器区。出于网络安全方面的考虑，我们希望只有网管办公区的PC1才能通过Telnet方式登录到路由器R1上，其他区域的PC都不能通过Telnet方式登录到路由器R1。公司基础网络拓扑如图所示。基本ACL配置实例GE0/0/3公司服务器区192.168.2.0/24财务部办公区192.168.3.0/24R1项目部办公区192.168.1.0/24GE0/0/1网管办公区192.168.4.0/24PC1IP：192.168.4.1/24GE0/0/4文件服务器............市场部办公区192.168.5.0/24......GE0/0/2GE0/0/5R1各接口IP均为X。254/24基本ACL配置实例（2）案例配置思路①在路由器R1上创建基本ACL。②在制定基本ACL规则。③在路由器的VTY（VirtualTypeTerminal）上应用所配置的基本ACL。基本ACL配置实例（3）案例配置过程①在路由器R1上创建ACL。<Router>system-view[R1]acl2000[R1-acl-basic-2000]基本ACL配置实例（3）案例配置过程②配置路由器R1的允许规则和拒绝规则。[R1-acl-basic-2000]rulepermitsource192.168.4.10[R1-acl-basic-2000]ruledenysourceany基本ACL配置实例（3）案例配置过程③制定完路由器R1的允许规则和拒绝规则之后，我们可以使用displayacl2000命令来查看ACL2000的配置信息。[R1-acl-basic-2000]quit[R1]quit<R1>displayacl2000BasicACL2000,2rulesACL'sstepis5rule5permitsource192.168.4.10(0timesmatched)rule10deny(0timesmatched)基本ACL配置实例（3）案例配置过程④在路由器R1的VTY上应用ACL。<R1>system-view[R1]user-interfacevty04[R1-ui-vty0-4]acl2000inbound基本ACL配置实例（4）案例验证①在PC1上验证Telnet功能。<PC>telnet192.168.4.254Trying192.168.4.254...PressCTRL+KtoabortConnectedto192.168.4.254...Info：ThemaxnumberofVTYusersis10,andthenumberofcurrentVTYusersonlineis1Thecurrentlogintimeis2020-01-2209:08:00基本ACL配置实例（4）案例验证②在路由器上重新查看ACL2000的配置信息。<R1>displayacl2000BasicACL2000，2rulesACL'sstepis5rule5permitsource192.168.4.10(1timesmatched)rule10deny(0timesmatched)基本ACL配置实例（4）案例验证③在市场部PC上验证Telnet功能。<PC>telnet192.168.2.254Trying192.168.2.254...PressCTRL+KtoabortError:Failed