第十四章 訪問控制列表ACL_第1頁
第十四章 訪問控制列表ACL_第2頁
第十四章 訪問控制列表ACL_第3頁
第十四章 訪問控制列表ACL_第4頁
第十四章 訪問控制列表ACL_第5頁
已閱讀5頁,還剩28頁未讀 繼續(xù)免費閱讀

下載本文檔

版權說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權,請進行舉報或認領

文檔簡介

第十四章訪問控制列表ACL《路由交換技術及應用》第4版“十四五”職業(yè)教育國家規(guī)劃教材主編:孫秀英ACL原理與配置ACL原理與配置概念AccessControlList訪問控制列表ACL可以定義一系列不同的規(guī)則,設備根據(jù)這些規(guī)則對數(shù)據(jù)包進行分類,并針對不同類型的報文進行不同的處理,從而可以實現(xiàn)對網(wǎng)絡訪問行為的控制、限制網(wǎng)絡流量、提高網(wǎng)絡性能、防止網(wǎng)絡攻擊等等?!堵酚山粨Q技術及應用》第4版“十四五”職業(yè)教育國家規(guī)劃教材ACL原理與配置ACL應用場景ACL可以通過定義規(guī)則來允許或拒絕流量的通過。服務器AG0/0/0G0/0/1192.168.1.0/24.1.1.2.2192.168.2.0/24RTASWA主機A主機B主機C主機D《路由交換技術及應用》第4版“十四五”職業(yè)教育國家規(guī)劃教材ACL原理與配置ACL應用場景ACL可以根據(jù)需求來定義過濾的條件以及匹配條件后所執(zhí)行的動作G0/0/0數(shù)據(jù)未匹配數(shù)據(jù)數(shù)據(jù)加密后數(shù)據(jù)匹配192.168.1.0/24.1.1.2.2192.168.2.0/24SWA主機A主機B主機C主機DRTA《路由交換技術及應用》第4版“十四五”職業(yè)教育國家規(guī)劃教材ACL原理與配置ACL工作過程ACL可應用于接口,對每個接口,有兩個方向。方向---

IN:進入接口OUT:外出接口當訪問控制列表被用于檢測從接口輸入的數(shù)據(jù)包時,包在進入路由器之前要經(jīng)過訪問控制列表的處理。當訪問控制列表被用于檢測從接口輸出的數(shù)據(jù)包,包在從該路由器端口輸出之前要經(jīng)過訪問控制列表的處理?!堵酚山粨Q技術及應用》第4版“十四五”職業(yè)教育國家規(guī)劃教材ACL原理與配置ACL工作過程否是丟棄處理選擇出接口

否ACL?路由表?數(shù)據(jù)包出接口數(shù)據(jù)包入接口《路由交換技術及應用》第4版“十四五”職業(yè)教育國家規(guī)劃教材ACL原理與配置ACL工作過程否是丟棄處理選擇出接口

否ACL?路由表?數(shù)據(jù)包出接口數(shù)據(jù)包入接口是ACL匹配控制允許?是否ACL的工作流程《路由交換技術及應用》第4版“十四五”職業(yè)教育國家規(guī)劃教材ACL原理與配置ACL工作過程ACL內(nèi)部處理具體過程:丟棄處理是目的接口拒絕是匹配第一條規(guī)則?允許ACL規(guī)則內(nèi)部處理過程《路由交換技術及應用》第4版“十四五”職業(yè)教育國家規(guī)劃教材ACL原理與配置ACL工作過程ACL內(nèi)部處理具體過程:丟棄處理是目的接口拒絕是匹配第一條規(guī)則?允許否是拒絕允許下一條?是ACL規(guī)則內(nèi)部處理過程《路由交換技術及應用》第4版“十四五”職業(yè)教育國家規(guī)劃教材ACL原理與配置ACL內(nèi)部處理具體過程:丟棄處理是目的接口拒絕是匹配第一條規(guī)則?允許否是拒絕允許下一條?是匹配最后一條?否是是拒絕允許ACL規(guī)則內(nèi)部處理過程《路由交換技術及應用》第4版“十四五”職業(yè)教育國家規(guī)劃教材ACL原理與配置ACL內(nèi)部處理具體過程:丟棄處理是目的接口缺省拒絕是匹配第一條規(guī)則?允許否是拒絕允許下一條?是匹配最后一條?否是是拒絕允許**說明:當ACL的最后一條不匹配時,一般系統(tǒng)使用系統(tǒng)使用缺省過濾方式來進行處理!否找到一個匹配后既執(zhí)行相應的操作,然后跳出ACL而不會繼續(xù)匹配下面的語句《路由交換技術及應用》第4版“十四五”職業(yè)教育國家規(guī)劃教材ACL原理與配置InternetG0/0/0規(guī)則1:拒絕源地址為40.1.1.1的數(shù)據(jù)包通過規(guī)則2:允許目的地址位20.1.1.1的數(shù)據(jù)包通過源:30.1.1.1目的:20.1.1.1源:40.1.1.1目的:70.1.1.1源:60.1.1.1目的:50.1.1.1RA《路由交換技術及應用》第4版“十四五”職業(yè)教育國家規(guī)劃教材ACL原理與配置分類編號范圍參數(shù)基本ACL2000-2999源IP地址等高級ACL3000-3999源IP地址、目的IP地址、

源端口、目的端口、協(xié)議類型等ACL分類《路由交換技術及應用》第4版“十四五”職業(yè)教育國家規(guī)劃教材ACL原理與配置目的IP地址源IP地址協(xié)議號目的端口段(如TCP報頭)數(shù)據(jù)數(shù)據(jù)包(IP報頭)幀報頭(如HDLC)

使用ACL檢測數(shù)據(jù)包拒絕允許源端口ACL分類《路由交換技術及應用》第4版“十四五”職業(yè)教育國家規(guī)劃教材ACL原理與配置ACL規(guī)則每個ACL可以包含多個規(guī)則,RTA根據(jù)規(guī)則來對數(shù)據(jù)流量進行過濾。如果未匹配如果未匹配172.16.0.0/24172.17.0.0/24RTARTBrule15denysource172.16.0.00.0.0.255rule10denysource192.168.2.00.0.0.255acl2000rule5denysource192.168.1.00.0.0.255《路由交換技術及應用》第4版“十四五”職業(yè)教育國家規(guī)劃教材ACL原理與配置ACL規(guī)則ACL是多條規(guī)則的集合,在將一個數(shù)據(jù)包和訪問控制列表的規(guī)則進行匹配的時候,由規(guī)則的匹配順序決定規(guī)則的優(yōu)先級。華為設備支持兩種匹配順序:配置順序(config)

按照用戶配置ACL規(guī)則的先后進行匹配,先配置的規(guī)則先匹配。此為缺省配置。自動排序(auto)

使用“深度優(yōu)先”的原則進行匹配?!吧疃葍?yōu)先”根據(jù)ACL規(guī)則的精確度排序,如果匹配條件(如協(xié)議類型、源和目的IP地址范圍等)限制越嚴格,規(guī)則就越先匹配?!堵酚山粨Q技術及應用》第4版“十四五”職業(yè)教育國家規(guī)劃教材ACL原理與配置ACL中的通配符通配符:路由器使用通配符掩碼與原地址或者是目標地址一起來分辨匹配的地址范圍將通配符中設置為1的表示本位可以忽略ip地址中的對應位;設置成0的表示必須精確的匹配ip地址中的對應位?!堵酚山粨Q技術及應用》第4版“十四五”職業(yè)教育國家規(guī)劃教材ACL原理與配置ACL中的通配符忽略所有比特位=00111111XXXXXXXX=00000000=00001111=11111100=11111111忽略最后六個比特位匹配所有比特位忽略最后四個比特位匹配最后兩個比特位例子《路由交換技術及應用》第4版“十四五”職業(yè)教育國家規(guī)劃教材ACL原理與配置ACL中的通配符匹配條件:匹配所有32位地址----主機地址172.30.16.29

0.0.0.0(匹配所有32位)通配符:匹配特定主機地址

?《路由交換技術及應用》第4版“十四五”職業(yè)教育國家規(guī)劃教材ACL原理與配置ACL中的通配符0.0.0.0255.255.255.255意為接受所有地址可簡寫為any匹配條件:匹配任意地址(任意地址都被認為符合條件)0.0.0.0 255.255.255.255(忽略所有位的比較)AnyIPaddress通配符:

?《路由交換技術及應用》第4版“十四五”職業(yè)教育國家規(guī)劃教材ACL原理與配置ACL中的通配符匹配特定地址范圍172.30.16.0/24通配符:0.0.0.255匹配特定子網(wǎng)

?《路由交換技術及應用》第4版“十四五”職業(yè)教育國家規(guī)劃教材ACL原理與配置ACL中的通配符IP地址為192.168.1.0,通配符為0.0.0.255,匹配的地址有哪些呢?0.0.0.25500000000000000000000000011111111192.168.1.0192.168.1.0-255《路由交換技術及應用》第4版“十四五”職業(yè)教育國家規(guī)劃教材ACL原理與配置ACL中的通配符路由1.1.1.1/321.1.1.0/241.1.0.0/161.0.0.0/8路由1.1.1.1/321.1.1.0/241.1.0.0/16aclnumber2001rule0permitsource1.1.0.00.0.255.255《路由交換技術及應用》第4版“十四五”職業(yè)教育國家規(guī)劃教材ACL原理與配置ACL中的通配符路由1.1.1.1/321.1.1.0/241.1.0.0/161.0.0.0/8路由1.1.0.0/16aclnumber2001rule0permitsource1.1.0.00.0.0.0《路由交換技術及應用》第4版“十四五”職業(yè)教育國家規(guī)劃教材ACL原理與配置ACL中的通配符路由1.1.1.1/321.1.1.0/241.1.0.0/161.0.0.0/8aclnumber2001rule0permitsource1.1.1.10.0.0.0rule1denysource1.1.1.00.0.0.0rule2permitsource1.1.0.00.0.255.0rule3denyany路由1.1.1.1/321.1.0.0/16《路由交換技術及應用》第4版“十四五”職業(yè)教育國家規(guī)劃教材ACL原理與配置ACL配置—創(chuàng)建ACL[Quidway]aclnumberacl-number[match-order{config|auto}]config:匹配規(guī)則時按用戶的配置順序。//缺省值auto:匹配規(guī)則時按“深度優(yōu)先”的順序。創(chuàng)建ACL后,將進入ACL視圖:[Quidway-acl-adv-3000]進入ACL視圖之后,就可以配置ACL的規(guī)則了。《路由交換技術及應用》第4版“十四五”職業(yè)教育國家規(guī)劃教材ACL原理與配置ACL配置—標準ACL[Quidway-acl-basic-2000]rule[rule-id]{permit|deny}[sourcesour-addrsour-wildcard|any][time-rangetime-name]rule-id:可選參數(shù),規(guī)則編號,范圍為0~65534。time-range:可選參數(shù),指定訪問控制列表的生效時間。source-wildcard:反掩碼(通配符)舉例:

[Quidway-acl-basic-2000]rulepermitsource192.168.1.10.0.0.0《路由交換技術及應用》第4版“十四五”職業(yè)教育國家規(guī)劃教材ACL原理與配置ACL配置—高級ACLrule[rule-id]{permit|deny}protocol[source{sour-addresssour-wildcard|any}][destination{dest-addressdest-wildcard|any}][source-portoperatorport1[port2]][destination-portoperatorport1[port2]][icmp-type{icmp-typeicmp-code|icmp-message}][precedenceprecedence][tostos][time-rangetime-name]protocol:ip,ospf,igmp,gre,icmp,tcp,udp,etc.operator:“eq”-等于端口號,“gt”–大于端口號,“l(fā)t”–小于端口號,“neq”–不等于端口號,“range”–介于兩端口號之間舉例:[Quidway-acl-adv-3000]ruledenytcpsource192.168.0.10.0.0.0destination202.118.66.660.0.0.0destination-portequal80

《路由交換技術及應用》第4版“十四五”職業(yè)教育國家規(guī)劃教材ACL原理與配置ACL配置—應用于接口在接口模式下:traffic-filter[inbound|outbound]aclacl-number舉例:[Router-GigabitEthernet0/0/0]traffic-filterinboundacl2000《路由交換技術及應用》第4版“十四五”職業(yè)教育國家規(guī)劃教材ACL原理與配置ACL配置—

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
  • 4. 未經(jīng)權益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
  • 6. 下載文件中如有侵權或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論