中职教育二年级上学期电子与信息《ACL的原理与配置》教学课件

访问控制列表-ACL技术交通有序目录ACL基本原理1基本ACL和高级ACL2ACL基本概念介绍ACL基本概念访问控制列表ACL（AccessControlList）是由一系列规则组成的集合，ACL通过这些规则对报文进行分类，从而使设备可以对不同类报文进行不同的处理。一个ACL通常由若干条“deny｜permit”语句组成，每条语句就是该ACL的一条规则，每条语句中的“deny｜permit”就是与这条规则相对应的处理动作。处理动作“permit”的含义是“允许”处理动作“deny”的含义是“拒绝”ACL是一种应用非常广泛的网络安全技术，配置ACL网络设备的工作过程可分为以下两个步骤：根据事先设定好的报文匹配规则对经过该设备的报文进行匹配；对匹配的报文执行事先设定好的处理动作。ACL规则ACL规则匹配ACL规则匹配（1）配置了ACL的设备在接收到一个报文之后，会将该报文与ACL中的规则逐条进行匹配；（2）如果不能匹配上当前这条规则，则会继续尝试去匹配下一条规则；（3）一旦报文匹配上了某条规则，则会对该报文执行这条规则中定义的处理动作（permit或deny），并且不再继续尝试与后续规则进行匹配；（4）如果报文不能匹配上ACL的任何一条规则，则设备会对该报文执行“permit”这个处理动作。ACL的匹配顺序华为设备支持以下两种匹配顺序。（1）匹配顺序按照用户配置ACL规则的先后序列进行匹配，先配置的规则先匹配。根据ACL中语句的顺序，把数据包和判断条件进行比较。一旦匹配，就采用语句中的动作并结束比较过程，不再检查以后的其他条件判断语句。如果没有任何语句匹配，数据包将被放行。（2）自动排序（auto）使用“深度优先”的原则进行匹配。“深度优先”根据ACL规则的精确度排序，如果匹配条件（如协议类型、源和目的IP地址范围等）限制越严格，规则就越先匹配。基本IPv4的ACL的“深度优先”顺序判断原则及步骤如下：①判断规则中是否带VPN实例，带VPN实例的规则优先。②比较源IP地址范围例如，“

”指定了一个IP地址，而“55”指定了一个网段~55。因前者指定的地址范围比后者小，所以在规则中优先。，源IP地址范围小（即通配符掩码中“0”位的数量多）的规则优先。③如果源IP地址范围相同，则规则ID(rule-id)小的规则优先。ACL分类根据ACL所具备的特性不同，可将ACL分成不同类型，如：基本ACL高级ACL二层ACL用户自定义ACL其中应用最广泛的是基本ACL和高级ACL。各种类型ACL区别，如表所示。ACL类型编号范围规则制订的主要依据基本ACL2000～2999报文源IP地址等信息。高级ACL3000～3999报文源IP地址、目的IP地址、报文优先级、IP承载的协议类型及特性等三、四层信息。二层ACL4000～4999报文的源MAC地址、目的MAC地址、802.1p优先级、链路层协议类型等二层信息用户自定义ACL5000～5999用户自定义报文的偏移位置和偏移量、从报文中提取出相关内容等信息基本ACL命令格式基本ACL命令格式基本ACL只能基于IP报文的源IP地址、报文分片标记和时间段信息来定义规则。配置基本ACL规则命令具有如下结构：rule[rule-id]{permit|deny}[source{source-addresssource-wildcard｜any}fragment|logging|time-range

time-name]案例6-1基本ACL配置案例背景与要求：某公司网络含外来人员办公区、项目部办工区和财务部办公区。在外来人员办公区中，有一台专供外来人员使用的计算机PC2，IP地址为/24。出于网络安全考虑，需禁止财务部办公区接收PC2发送的IP报文A。为满足此需求，可在路由器R1上配置基本ACL。基本ACL可根据源IP地址信息识别PC2发送的IP报文A，在GE0/0/3接口的出方向（Outbound方向）上拒绝放行IP报文A。案例配置过程配置路由器R1[R1]acl2000//创建一个编号为2000的基本ACL[R1-acl-basic-2000]ruledenysource//在ACL2000视图下创建如下的规则[R1-acl-basic-2000]quit[R1]interfacegigabitethernet0/0/3[R1-GigabitEthernet0/0/3]traffic-filteroutboundacl2000//使用报文过滤技术中traffic-filter命令将ACL2000应用在路由器R1的GE0/0/3接口出方向高级ACL命令格式高级ACL命令格式高级ACL可以根据IP报文的源IP地址、目的IP地址、协议字段值、优先级值、长度值，TCP报文的源端口号、目的端口号，UDP报文的源端口号、目的端口号等信息来定义规则。基本ACL功能只是高级ACL功能的一个子集，高级ACL可比基本ACL定义出更精准、更复杂、更灵活的。针对所有IP报文简化配置命令格式如下：rule[rule-id]{permit|deny}ip[destination{destination-address

destination-wildcard|any}][source{source-address

source-wildcard|any}]案例6-2高级ACL的配置案例背景与要求：本配置示例网络结构与基本ACL网络结构基本一样，不同的是，要求PC2无法接收来自财务部办公区的IP报文B。此情况下，可在路由器R1上配置高级ACL。高级ACL可根据目的IP地址信息识别去往目的地为外来人员办公区的IP报文B，然后在GE0/0/3接口入方向（Inbound方向）上拒绝放行IP报文B。案例配置过程配置路由器R1[R1]acl3000//创建一个编号为3000的高级ACL[R1-acl-adv-3000]ruledenyipdestination

//在ACL3000视图下创建如下的规则[R1-acl-adv-3000]quit[R1]interfacegigabitethernet0/0/3[R1-GigabitEthernet0/0/3]traffic-filterinboundacl3000//使用报文过滤技术中traffic-filter命令将ACL3000应用在路由器R1的GE0/0/3接口入方向案例6-3：基本ACL配置实例案例背景与要求：Jan16公司有网管办公区、市场部办公区、项目部办公区、财务部办公区和服务器区。出于网络安全考虑，希望只有网管办公区PC1才能通过Telnet方式登录到路由器R1上，其他区域PC不能通过Telnet方式登录到路由器R1。案例6-3：基本ACL配置实例案例6-2基本ACL的配置案例配置过程配置路由器R1可使用displayacl2000命令来查看ACL2000匹配信息<R1>system-view[R1]acl2000//创建一个编号为2000的基本ACL[R1-acl-basic-2000]rulepermitsource0

//配置允许规则[R1-acl-basic-2000]ruledenysourceany//配置拒绝规则[R1-acl-basic-2000]quit[R1]user-interfacevty04[R1-ui-vty0-4]acl2000inbound

//在VTY接口上应用ACL2000<R1>displayacl2000BasicACL2000,2rulesACL'sstepis5rule5permitsource0(0timesmatched)rule10deny(0timesmatched)案例验证在R2上验证Telnet功能重新查看ACL2000匹配信息<R2>telnet54Trying54...PressCTRL+KtoabortConnectedto54...LoginauthenticationPassword:<R1><R1>disacl2000BasicACL2000,2rulesAcl'sstepis5

rule5permitsource0(5matches)

rule10deny案例6-4高级ACL配置示例案例背景与要求：如下图所示，在路由器R1和R2上配置OSPF协议实现网络通信，在路由器R2上配置高级ACL，以满足如下要求：允许主机PC1访问路由器R2的TELNET服务允许主机PC2访问路由器R2的的FTP服务案例6-4高级ACL配置示例案例配置思路配置路由器R1和R2接口IP、OSPF协议等，实现全网通信（此处不做相关配置介绍）；在路由器R2上创建高级ACL服务；在路由器R2的GE0/0/0接口入方向和VTY（VirtualTypeTerminal）上应用所配置的高级ACL服务。案例配置过程配置路由器R2<R2>system-view[R2]acl3000//创建高级ACL及其规则[R2-acl-adv-3000]rule5permittcpsource55destination55destination-porteq23[R2-acl-adv-3000]rule10permittcpsource55destination0.0.0.255destination-portrange2021[R2-acl-adv-3000]rule15denyip[R2-acl-adv-3000]quit[R2]interfaceGigabitEthernet0/0/0[R2-GigabitEthernet0/0/0]traffic-filterinboundacl3000

//在GE0/0/0接口应用ACL3000[R2]user-interfacevty04[R2-ui-vty0-4]acl3000inbound

//在VTY接口应用ACL3000案例验证使用displayacl3000命令来查看ACL3000匹配信息。在主机PC1上使用Telnet方式登录路由器，发现可以正常登录。[R2-acl-adv-3000]displayacl3000AdvancedACL3000,3rulesAcl'sstepis5rule5permittcpsource0destination0destination-porteqtelnetrule10permittcpsource0destination55destination-portrange