路由交換機(jī)ACL原理及配置

1、訪問(wèn)控制列表acl原理及配置231 1acl基本原理基本原理acl配置步驟acl應(yīng)用實(shí)例acl（訪問(wèn)控制列表）定義：（訪問(wèn)控制列表）定義：當(dāng)網(wǎng)絡(luò)流量不斷增長(zhǎng)的時(shí)候，對(duì)數(shù)據(jù)流進(jìn)行管理和限制的方法當(dāng)網(wǎng)絡(luò)流量不斷增長(zhǎng)的時(shí)候，對(duì)數(shù)據(jù)流進(jìn)行管理和限制的方法作為通用判別標(biāo)準(zhǔn)應(yīng)用到不同場(chǎng)合作為通用判別標(biāo)準(zhǔn)應(yīng)用到不同場(chǎng)合acl是一個(gè)對(duì)經(jīng)過(guò)路由器的數(shù)據(jù)進(jìn)行判斷、分類(lèi)的方法。是一個(gè)對(duì)經(jīng)過(guò)路由器的數(shù)據(jù)進(jìn)行判斷、分類(lèi)的方法。常見(jiàn)的常見(jiàn)的acl的應(yīng)用是將的應(yīng)用是將acl應(yīng)用到接口上。其主要作用是根據(jù)數(shù)據(jù)包應(yīng)用到接口上。其主要作用是根據(jù)數(shù)據(jù)包與數(shù)據(jù)段的特征來(lái)進(jìn)行判斷，決定是否允許數(shù)據(jù)包通過(guò)路由器轉(zhuǎn)發(fā)，與數(shù)據(jù)段的特征來(lái)進(jìn)行

2、判斷，決定是否允許數(shù)據(jù)包通過(guò)路由器轉(zhuǎn)發(fā)，其主要目的是對(duì)數(shù)據(jù)流量進(jìn)行管理和控制。如果不使用其主要目的是對(duì)數(shù)據(jù)流量進(jìn)行管理和控制。如果不使用acl，路由器，路由器無(wú)法對(duì)流量進(jìn)行限制。無(wú)法對(duì)流量進(jìn)行限制。什么是acl?fdditokenringinternet 哪些場(chǎng)合需要使用哪些場(chǎng)合需要使用aclacl？v允許或禁止對(duì)路由器或來(lái)自路由器的允許或禁止對(duì)路由器或來(lái)自路由器的telnet訪問(wèn)訪問(wèn)vqosqos與隊(duì)列技術(shù)與隊(duì)列技術(shù)v策略路由策略路由v數(shù)據(jù)速率限制數(shù)據(jù)速率限制v路由策略路由策略v端口流鏡像端口流鏡像vnatnatvacl的使用場(chǎng)合 標(biāo)準(zhǔn)標(biāo)準(zhǔn)acl 僅以

3、源ip地址作為過(guò)濾標(biāo)準(zhǔn) 只能粗略的限制某一大類(lèi)協(xié)議 擴(kuò)展擴(kuò)展acl 以源ip地址、目的ip地址、源端口號(hào)、目的端口號(hào)、協(xié)議號(hào)作為過(guò)濾標(biāo)準(zhǔn)，可以精確的限制到某一種具體的協(xié)議 inbound 或 outbound數(shù)據(jù)包出接口數(shù)據(jù)包出接口數(shù)據(jù)包入接口數(shù)據(jù)包入接口 acl處理過(guò)程處理過(guò)程允許允許?源地址、源地址、目的地址目的地址協(xié)議協(xié)議acl的分類(lèi)acl如何工作 數(shù)據(jù)包入接口數(shù)據(jù)包入接口否否是是丟棄處理丟棄處理選擇出接口選擇出接口否否acl?路由表路由表?數(shù)據(jù)包出接口數(shù)據(jù)包出接口下面以應(yīng)用在外出接口方向的下面以應(yīng)用在外出接口方向的acl為例說(shuō)明為例說(shuō)明acl的工作流程：的工作流程：首先數(shù)據(jù)包進(jìn)入路由器

4、的接口，根據(jù)目的地址查找路由表，找到轉(zhuǎn)發(fā)接口（如果首先數(shù)據(jù)包進(jìn)入路由器的接口，根據(jù)目的地址查找路由表，找到轉(zhuǎn)發(fā)接口（如果路由表中沒(méi)有相應(yīng)的路由條目，路由器會(huì)直接丟棄此數(shù)據(jù)包，并給源主機(jī)發(fā)送目路由表中沒(méi)有相應(yīng)的路由條目，路由器會(huì)直接丟棄此數(shù)據(jù)包，并給源主機(jī)發(fā)送目的不可達(dá)消息）。確定外出接口后需要檢查是否在外出接口上配置了的不可達(dá)消息）。確定外出接口后需要檢查是否在外出接口上配置了acl，如果，如果沒(méi)有配置沒(méi)有配置acl，路由器將做與外出接口數(shù)據(jù)鏈路層協(xié)議相同的，路由器將做與外出接口數(shù)據(jù)鏈路層協(xié)議相同的2層封裝，并轉(zhuǎn)發(fā)層封裝，并轉(zhuǎn)發(fā)數(shù)據(jù)。數(shù)據(jù)。acl如何工作數(shù)據(jù)包入接口數(shù)據(jù)包入接口數(shù)據(jù)包出接口數(shù)據(jù)

5、包出接口否否是是丟棄處理丟棄處理選擇接口選擇接口路由表路由表?否否acl匹配控制匹配控制允許允許?是是acl?是是如果在外出接口上配置了如果在外出接口上配置了acl，則要根據(jù)，則要根據(jù)acl制定的原則對(duì)數(shù)據(jù)包進(jìn)行判制定的原則對(duì)數(shù)據(jù)包進(jìn)行判斷，如果匹配了某一條斷，如果匹配了某一條acl的判斷語(yǔ)句并且這條語(yǔ)句的關(guān)鍵字果是的判斷語(yǔ)句并且這條語(yǔ)句的關(guān)鍵字果是permit，轉(zhuǎn)發(fā)數(shù)據(jù)包。轉(zhuǎn)發(fā)數(shù)據(jù)包。數(shù)據(jù)包出接口數(shù)據(jù)包出接口否否是是丟棄處理丟棄處理選擇接口選擇接口路由表路由表?否否acl匹配控制匹配控制允許允許?是是acl如何工作acl?是是數(shù)據(jù)包入接口數(shù)據(jù)包入接口否否acl的匹配順序acl內(nèi)部處理具體過(guò)程

6、：內(nèi)部處理具體過(guò)程：丟棄處理丟棄處理是是目的接口目的接口拒絕拒絕拒絕拒絕是是匹配匹配第一條規(guī)則第一條規(guī)則?允許允許acl的匹配順序acl內(nèi)部處理具體過(guò)程：內(nèi)部處理具體過(guò)程：丟棄處理丟棄處理是是目的接口目的接口是是匹配匹配第一條規(guī)則第一條規(guī)則?否否下一條下一條?是是是是拒絕拒絕拒絕拒絕拒絕拒絕允許允許允許允許acl的匹配順序acl內(nèi)部處理具體過(guò)程：內(nèi)部處理具體過(guò)程：丟棄處理丟棄處理是是目的接口目的接口是是匹配匹配第一條規(guī)則第一條規(guī)則?否否匹配匹配下一條下一條?匹配匹配最后一條最后一條?是是是是否否是是是是拒絕拒絕拒絕拒絕拒絕拒絕拒絕拒絕允許允許允許允許允許允許acl的匹配順序acl內(nèi)部處理具體過(guò)

7、程：內(nèi)部處理具體過(guò)程：丟棄處理丟棄處理是是目的接口目的接口是是匹配匹配第一條規(guī)則第一條規(guī)則?否否匹配匹配下一條下一條?匹配匹配最后一條最后一條?是是是是否否是是是是*說(shuō)明：當(dāng)說(shuō)明：當(dāng)acl的最后一條不匹配的最后一條不匹配時(shí)，系統(tǒng)使用隱含的時(shí)，系統(tǒng)使用隱含的“丟棄全部丟棄全部”進(jìn)行處理！進(jìn)行處理！拒絕拒絕拒絕拒絕拒絕拒絕拒絕拒絕允許允許允許允許允許允許否否目的目的ip地址地址源源ip地址地址協(xié)議號(hào)協(xié)議號(hào)目的端口目的端口段段(如如tcp報(bào)頭報(bào)頭)數(shù)據(jù)數(shù)據(jù)數(shù)據(jù)包數(shù)據(jù)包(ip報(bào)頭報(bào)頭 )幀報(bào)頭幀報(bào)頭(如如hdlc) 使用使用acl檢測(cè)數(shù)據(jù)包檢測(cè)數(shù)據(jù)包 拒絕拒絕允許允許acl的判別依據(jù)五元組源端口源端口

8、acl的規(guī)則總結(jié)l按照由上到下的順序執(zhí)行，找到第一個(gè)匹配后既執(zhí)行相應(yīng)的操作（然后跳出acl）l每條acl的末尾隱含一條deny any 的規(guī)則lacl可應(yīng)用于某個(gè)具體的ip接口的出方向或入方向lacl可應(yīng)用于系統(tǒng)的某種特定的服務(wù)（如針對(duì)設(shè)備的telnet）l在引用acl之前，要首先創(chuàng)建好acll對(duì)于一個(gè)協(xié)議，一個(gè)接口的一個(gè)方向上同一時(shí)間內(nèi)只能設(shè)置一個(gè)acl思考：我們應(yīng)該按照怎樣一個(gè)順序配置acl132 2acl基本原理acl配置步驟配置步驟acl應(yīng)用實(shí)例1: 設(shè)置判斷標(biāo)準(zhǔn)語(yǔ)句設(shè)置判斷標(biāo)準(zhǔn)語(yǔ)句(一個(gè)一個(gè)acl可由多個(gè)語(yǔ)句組成可由多個(gè)語(yǔ)句組成)access-list access-list-num

9、ber permit | deny test conditions router(config)#acl配置步驟2: 將將acl應(yīng)用到接口上應(yīng)用到接口上 ip access-group access-list-number in | out router(config-if)#ip access-list-number 范圍范圍 1-99 或或 100-199號(hào)碼范圍號(hào)碼范圍ip acl 類(lèi)型類(lèi)型1-99100-199standardextended標(biāo)準(zhǔn)acl (1 to 99) 根據(jù)源ip地址對(duì)數(shù)據(jù)包進(jìn)行控制擴(kuò)展acl (100 to 199) 判別依據(jù)包括 源/目的地址, 協(xié)議類(lèi)型, 源/

10、目的端口號(hào)acl號(hào)碼范圍標(biāo)準(zhǔn)與擴(kuò)展acl的比較標(biāo)準(zhǔn)標(biāo)準(zhǔn)acl擴(kuò)展擴(kuò)展acl基于源地址過(guò)濾基于源地址過(guò)濾.允許允許/拒絕整個(gè)拒絕整個(gè) tcp/ip 協(xié)簇協(xié)簇.指定特定的指定特定的 ip 協(xié)議和協(xié)議號(hào)協(xié)議和協(xié)議號(hào)范圍從范圍從 100 到到 199.范圍從范圍從1 到到 99基于五元組過(guò)濾基于五元組過(guò)濾.通配符的作用v0 代表對(duì)應(yīng)位必須與前面的地址相應(yīng)位一致代表對(duì)應(yīng)位必須與前面的地址相應(yīng)位一致v1 代表對(duì)應(yīng)位可以是任意值代表對(duì)應(yīng)位可以是任意值忽略所有比特位忽略所有比特位=001111111286432168421=00000000=00001111=11111100=11111111忽略最后六個(gè)比特

11、位忽略最后六個(gè)比特位匹配所有比特位匹配所有比特位忽略最后四個(gè)比特位忽略最后四個(gè)比特位匹配最后兩個(gè)比特位匹配最后兩個(gè)比特位例子例子匹配條件匹配條件: 匹配所有匹配所有32位地址位地址-主機(jī)地址主機(jī)地址 (匹配所有匹配所有32位位)通配符通配符:匹配特定主機(jī)地址v 55 意為接受所有地址意為接受所有地址v可簡(jiǎn)寫(xiě)為可簡(jiǎn)寫(xiě)為 any匹配條件匹配條件: 匹配任意地址（任意地址都被認(rèn)為符合條件）匹配任意地址（任意地址都被認(rèn)為符合條件） 55(忽略所有位的比較忽略所有位的比較)any ip

12、address通配符通配符:匹配任意地址指定特定地址范圍指定特定地址范圍 /24 到到 /24.00000通配符通配符: 0 0 0 0 1 1 1 1 | 0 0 0 1 0 0 0 0 = 16 0 0 0 1 0 0 0 1 =17 0 0 0 1 0 0 1 0 =18: : 0 0 0 1 1 1 1 1 =31地址與通配符如下地址與通配符如下 55匹配特定子網(wǎng)access-list access-list-number permit|deny source maskmask zxr10(config)

13、# ip 標(biāo)準(zhǔn)標(biāo)準(zhǔn)acl使用列表號(hào)使用列表號(hào) 1 至至 99 缺省通配符為缺省通配符為 “no access-list access-list-number” 刪除整個(gè)刪除整個(gè)aclv 在接口上應(yīng)用在接口上應(yīng)用aclv 設(shè)置進(jìn)入或外出方向設(shè)置進(jìn)入或外出方向v “no ip access-group access-list-number” 去掉接口上的去掉接口上的acl設(shè)置設(shè)置zxr10(config-if)#ip access-group access-list-number in | out 配置標(biāo)準(zhǔn)acl3s0fe

14、i_1/1非網(wǎng)段只允許兩邊的網(wǎng)絡(luò)互相訪問(wèn)access-list 1 permit 55(access-list 1 deny 55)隱含拒絕全部隱含拒絕全部interface fei_1/2ip access-group 1 outinterface fei_1/1ip access-group 1 outfei_1/2標(biāo)準(zhǔn)acl配置示例1access-list 1 deny 3 access-list 1 permit any(access-list 1

15、deny 55)隱含拒絕全部隱含拒絕全部interface fei_1/2ip access-group 1 out3s0拒絕特定主機(jī)3對(duì)網(wǎng)段的訪問(wèn)非網(wǎng)段fei_1/1fei_1/2標(biāo)準(zhǔn)acl配置示例2拒絕特定子網(wǎng)對(duì)網(wǎng)段的訪問(wèn)3s0非網(wǎng)段access-list 1 deny 55access-list

16、 1 permit any(access-list 1 deny 55)別忘了系統(tǒng)還有隱含的這條規(guī)則！別忘了系統(tǒng)還有隱含的這條規(guī)則！interface fei_1/2ip access-group 1 outfei_1/1fei_1/2標(biāo)準(zhǔn)acl配置示例3過(guò)濾 telnet 對(duì)路由器的訪問(wèn)利用acl針對(duì)地址限制進(jìn)入的 vty 連接line telent access-class access-list-number zxr10(config)#實(shí)例控制 telent 訪問(wèn) 只允許 網(wǎng)段中的主機(jī)才能對(duì)路由器進(jìn)行 telnet 訪問(wèn)

17、access-list 12 permit 55line telnet access-class 12 /24網(wǎng)段我只接受來(lái)自我只接受來(lái)自/24的的telnet訪問(wèn)！訪問(wèn)！/24網(wǎng)段telnet/24網(wǎng)段 internetzxr10(config)#擴(kuò)展acl的配置zxr10(config)#l 設(shè)置擴(kuò)展設(shè)置擴(kuò)展aclaccess-list access-list-number permit | deny protocol source source-wildcard oper

18、ator port destination destination-wildcard operator port established zxr10(config)# ip access-group access-list-number in | out l 應(yīng)用到接口應(yīng)用到接口access-list 101 deny tcp 55 55 eq 21access-list 101 deny tcp 55 55 eq 20access-list 101 permit ip any any interface fei_2/1ip access-group 101 out拒絕從子網(wǎng) 到子網(wǎng) 通過(guò)fei_ 2/1口出去的ftp訪問(wèn) 允許其他所有流量擴(kuò)展acl的配置實(shí)例13s0非網(wǎng)段fei_1/1fei_2/1zxr10(config)#access-list 101 deny tcp 55 any eq 23access-list 101 permit i