數(shù)據(jù)培訓(xùn)資料：ZXR10-II-09 ACL原理與配置

ZXR10_II_09_200904

ACL原理與配置V1.0學(xué)習(xí)目標(biāo)了解ACL的概念及作用了解ACL的工作原理和過(guò)程掌握ACL的基本配置，實(shí)現(xiàn)對(duì)數(shù)據(jù)流的控制課程內(nèi)容第一章ACL原理第一節(jié)ACL概念和作用第二節(jié)ACL工作原理第三節(jié)ACL規(guī)則第二章ACL配置第一節(jié)ACL配置步驟第二節(jié)配置標(biāo)準(zhǔn)ACL第三節(jié)配置擴(kuò)展ACL第四節(jié)配置其他類(lèi)型ACL第五節(jié)ACL擴(kuò)展配置第六節(jié)ACL維護(hù)與診斷什么是ACLACL：AccessControlList訪問(wèn)控制列表是一種對(duì)經(jīng)過(guò)路由器的數(shù)據(jù)流進(jìn)行判斷、分類(lèi)和過(guò)濾的方法當(dāng)網(wǎng)絡(luò)流量不斷增長(zhǎng)的時(shí)候，對(duì)數(shù)據(jù)流進(jìn)行管理和限制InternetACL的使用場(chǎng)合ACL作為一個(gè)通用的數(shù)據(jù)流量的判別標(biāo)準(zhǔn)還可以和其他技術(shù)配合，應(yīng)用在不同的場(chǎng)合，如：防火墻QOS與隊(duì)列技術(shù)策略路由數(shù)據(jù)速率限制路由策略端口流鏡像NATACL的分類(lèi)標(biāo)準(zhǔn)ACL以源地址作為過(guò)濾標(biāo)準(zhǔn)只能粗略的限制某一大類(lèi)協(xié)議，如IP協(xié)議擴(kuò)展ACL可以把源地址、目的地址、協(xié)議類(lèi)型及端口號(hào)等作為過(guò)濾標(biāo)準(zhǔn)可以精確的限制到某一種具體的協(xié)議ACL的分類(lèi)二層ACL對(duì)源MAC地址、目的MAC地址、源VLANID、二層以太網(wǎng)協(xié)議類(lèi)型、802.1p優(yōu)先級(jí)值進(jìn)行匹配?；旌螦CL對(duì)源MAC地址、目的MAC地址、源VLANID、源IP地址、目的IP地址、TCP源端口號(hào)、TCP目的端口號(hào)、UDP源端口號(hào)、UDP目的端口號(hào)進(jìn)行匹配。用戶自定義ACL對(duì)VLANTAG的個(gè)數(shù)和偏移字節(jié)進(jìn)行匹配。ACL號(hào)碼范圍ACL類(lèi)型號(hào)碼范圍基本1-99擴(kuò)展100-199二層200-299混合300-349用戶自定義3000-3499標(biāo)準(zhǔn)ACL和擴(kuò)展ACL的比較標(biāo)準(zhǔn)ACL擴(kuò)展ACL基于源地址過(guò)濾基于源、目的地址過(guò)濾允許/拒絕整個(gè)TCP/IP協(xié)議簇指定特定的IP協(xié)議和協(xié)議號(hào)ACL號(hào)范圍從1到99ACL號(hào)范圍從100到199ACL的應(yīng)用輸出接口輸入接口ACL進(jìn)程允許?源和目的協(xié)議fei_1/1fei_1/2ACL可被應(yīng)用在數(shù)據(jù)包進(jìn)入路由器的接口方向也可被應(yīng)用在數(shù)據(jù)包從路由器外出的接口方向一臺(tái)路由器上可以設(shè)置多個(gè)ACL

對(duì)于一臺(tái)路由器的某個(gè)特定接口的特定方向上，針對(duì)某一個(gè)協(xié)議，如

IP協(xié)議，只能同時(shí)應(yīng)用一個(gè)ACL課程內(nèi)容第一章ACL原理第一節(jié)ACL概念和作用第二節(jié)ACL工作原理第三節(jié)ACL規(guī)則第二章ACL配置第一節(jié)ACL配置步驟第二節(jié)配置標(biāo)準(zhǔn)ACL第三節(jié)配置擴(kuò)展ACL第四節(jié)配置其他類(lèi)型ACL第五節(jié)ACL擴(kuò)展配置第六節(jié)ACL維護(hù)與診斷以應(yīng)用在外出接口方向的ACL為例來(lái)說(shuō)明其工作流程：ACL工作流程(1)否是丟棄處理選擇出接口

否ACL?路由表?數(shù)據(jù)包出接口數(shù)據(jù)包入接口ACL工作流程(2)數(shù)據(jù)包出接口否是丟棄處理選擇接口

路由表?否ACL匹配控制允許?是ACL?是數(shù)據(jù)包入接口ACL工作流程(3)數(shù)據(jù)包出接口否是丟棄處理選擇接口

路由表?否ACL匹配控制允許?是ACL?是數(shù)據(jù)包入接口否ACL語(yǔ)句內(nèi)部處理過(guò)程(1)ACL內(nèi)部處理具體過(guò)程：丟棄Y目的接口拒絕拒絕Y匹配第一條規(guī)則?允許ACL語(yǔ)句內(nèi)部處理過(guò)程(2)丟棄Y目的接口拒絕拒絕Y匹配第一條規(guī)則?允許N拒絕允許匹配下一條規(guī)則?YYACL內(nèi)部處理具體過(guò)程：ACL語(yǔ)句內(nèi)部處理過(guò)程(3)丟棄Y目的接口拒絕拒絕Y匹配第一條規(guī)則?允許N拒絕允許匹配下一條規(guī)則?拒絕匹配最后一條規(guī)則

?YYNYY允許ACL內(nèi)部處理具體過(guò)程：ACL語(yǔ)句內(nèi)部處理過(guò)程(4)*說(shuō)明：當(dāng)ACL的最后一條不匹配時(shí)，系統(tǒng)使用隱含的“丟棄全部”進(jìn)行處理！

丟棄Y拒絕Y允許N拒絕允許拒絕YYNYY允許隱式拒絕拒絕N匹配第一條規(guī)則?目的接口匹配下一條規(guī)則?匹配最后一條規(guī)則

?ACL內(nèi)部處理具體過(guò)程：ACL判別標(biāo)準(zhǔn)目的地址源地址協(xié)議源端口號(hào)段(如TCP報(bào)頭)數(shù)據(jù)數(shù)據(jù)包(IP報(bào)頭)幀報(bào)頭(如HDLC)

使用ACL檢測(cè)數(shù)據(jù)包拒絕允許目的端口號(hào)ACL只能根據(jù)IP包及TCP或UDP數(shù)據(jù)段中的信息來(lái)對(duì)數(shù)據(jù)流進(jìn)行判斷，即根據(jù)第3層及第4層的頭部信息進(jìn)行判斷

課程內(nèi)容第一章ACL原理第一節(jié)ACL概念和作用第二節(jié)ACL工作原理第三節(jié)ACL規(guī)則第二章ACL配置第一節(jié)ACL配置步驟第二節(jié)配置標(biāo)準(zhǔn)ACL第三節(jié)配置擴(kuò)展ACL第四節(jié)配置其他類(lèi)型ACL第五節(jié)ACL擴(kuò)展配置第六節(jié)ACL維護(hù)與診斷ACL規(guī)則按照由上到下的順序執(zhí)行，找到第一個(gè)匹配后既執(zhí)行相應(yīng)的操作，然后跳出ACL而不會(huì)繼續(xù)匹配下面的語(yǔ)句每條ACL的末尾隱含一條denyany的規(guī)則ACL可應(yīng)用于某個(gè)具體的IP接口的出方向或入方向ACL可應(yīng)用于系統(tǒng)的某種特定的服務(wù)(如TELNET)在引用ACL之前，要首先創(chuàng)建好ACL對(duì)于一個(gè)協(xié)議，一個(gè)接口的一個(gè)方向上同一時(shí)間內(nèi)只能設(shè)置一個(gè)ACL在什么地方配置ACL為了避免不必要的數(shù)據(jù)流量，ACL通常被配置在接近數(shù)據(jù)源的路由器上E0E0E1S0To0S1S0S1E0E0BACD第一章ACL原理第一節(jié)ACL概念和作用第二節(jié)ACL工作原理第三節(jié)ACL規(guī)則第二章ACL配置第一節(jié)ACL配置步驟第二節(jié)配置標(biāo)準(zhǔn)ACL第三節(jié)配置擴(kuò)展ACL第四節(jié)配置其他類(lèi)型ACL第五節(jié)ACL擴(kuò)展配置第六節(jié)ACL維護(hù)與診斷課程內(nèi)容設(shè)置判斷標(biāo)準(zhǔn)語(yǔ)句(一條ACL可由多個(gè)語(yǔ)句組成)ZXR10(config)#將ACL應(yīng)用到接口ZXR10(config-if)#

注：

IPaccess-list-number范圍1-99或100-199ACL配置步驟access-list<access-list-number>{deny|permit}{testconditions}ipaccess-group<acl-number>{in|out}0代表對(duì)應(yīng)位必須與前面的地址相匹配1代表對(duì)應(yīng)位可以是任意值通配符的作用donotcheckaddress

(ignorebitsinoctet)=001111111286432168421=00000000=00001111=11111100=11111111ignorelast6addressbitscheckalladdressbits(matchall)ignorelast4addressbitschecklast2addressbitsExamples匹配條件：匹配所有32位地址——主機(jī)地址

9通配符：(匹配所有32位)匹配特定主機(jī)地址匹配條件：匹配任意地址(所有地址都被認(rèn)為符合條件)AnyIPaddress

通配符：55(忽略所有位的比較)55意為接受所有地址，可簡(jiǎn)寫(xiě)為any匹配任意地址指定特定地址范圍/24到/24，地址和通配符如下：

55

00010000

通配符：00001111

|<--------匹配-------->|<------忽略------>|

00010000 = 16 00010001 = 17

00010010 = 18

: :

00011111 = 31匹配特定子網(wǎng)課程內(nèi)容第一章ACL原理第一節(jié)ACL概念和作用第二節(jié)ACL工作原理第三節(jié)ACL規(guī)則第二章ACL配置第一節(jié)ACL配置步驟第二節(jié)配置標(biāo)準(zhǔn)ACL第三節(jié)配置擴(kuò)展ACL第四節(jié)配置其他類(lèi)型ACL第五節(jié)ACL擴(kuò)展配置第六節(jié)ACL維護(hù)與診斷ZXR10(config)#IP標(biāo)準(zhǔn)ACL使用列表號(hào)1至99缺省通配符為“noaccess-listaccess-list-number”刪除整個(gè)ACLZXR10(config-if)#在接口上應(yīng)用ACL設(shè)置在入或外出方向“noipaccess-groupaccess-list-number{in|out}”去掉接口上的ACL設(shè)置配置標(biāo)準(zhǔn)ACLaccess-list<access-list-number>{deny|permit}<source>[<source-wildcard>]ipaccess-group<acl-number>{in|out}標(biāo)準(zhǔn)ACL配置示例1access-list1permit55(access-list1deny55)——隱含拒絕全部interfacefei_1/2ipaccess-group1outinterfacefei_1/1ipaccess-group1out//應(yīng)用在接口只允許兩邊的網(wǎng)絡(luò)互相訪問(wèn)思考：可否將acl放在兩個(gè)接口的入方向？3S0fei_1/1非網(wǎng)段fei_1/2標(biāo)準(zhǔn)ACL配置示例2access-list1deny3access-list1permit55(access-list1deny55)－－隱含拒絕全部interfacefei_1/2ipaccess-group1out拒絕特定主機(jī)3對(duì)網(wǎng)段的訪問(wèn)3S0fei_1/1非網(wǎng)段fei_1/2思考：可否將此acl放在fei_1/1的入方向？標(biāo)準(zhǔn)ACL配置示例3access-list1deny55access-list1permitany(access-list1deny55)

－－別忘了系統(tǒng)還有隱含的這條規(guī)則！interfacefei_1/2ipaccess-group1out拒絕特定子網(wǎng)對(duì)網(wǎng)段的訪問(wèn)3S0fei_1/1非網(wǎng)段fei_1/2利用ACL針對(duì)地址限制進(jìn)入的vty連接ZXR10(config)#過(guò)濾telnet對(duì)路由器的訪問(wèn)linetelentaccess-class

<access-list-number>控制telnet訪問(wèn)access-list12permit55linetelnetaccess-class12只允許

網(wǎng)段中的主機(jī)才能對(duì)路由器進(jìn)行telnet訪問(wèn)/24網(wǎng)段我只接受來(lái)自/24的telnet訪問(wèn)！/24網(wǎng)段telnet/24網(wǎng)段INTERNET第一章ACL原理第一節(jié)ACL概念和作用第二節(jié)ACL工作原理第三節(jié)ACL規(guī)則第二章ACL配置第一節(jié)ACL配置步驟第二節(jié)配置標(biāo)準(zhǔn)ACL第三節(jié)配置擴(kuò)展ACL第四節(jié)配置其他類(lèi)型ACL第五節(jié)ACL擴(kuò)展配置第六節(jié)ACL維護(hù)與診斷課程內(nèi)容設(shè)置擴(kuò)展ACLZXR10(config)#應(yīng)用到接口ZXR10(config-if)#配置擴(kuò)展ACLipaccess-group<acl-number>{in|out}access-list<access-list-number>{permit|deny}<protocol><source><source-wildcard>[<source-port>]<destination><destination-wildcard>[<destination-port>][established]

擴(kuò)展ACL配置示例1access-list101denytcp5555eq21access-list101permitipanyanyinterfacefei_1/2ipaccess-group101out拒絕從子網(wǎng)

到子網(wǎng)

通過(guò)fei_1/2口出去的FTP訪問(wèn)允許其他所有流量3S0fei_1/1非網(wǎng)段fei_1/2擴(kuò)展ACL配置示例2access-list101denytcp55

anyeq23access-list101permitipanyanyinterfacefei_1/2ipaccess-group101out拒絕從子網(wǎng)

通過(guò)fei_1/2口外出的telnet允許其他所有流量3S0fei_1/1非網(wǎng)段fei_1/2課程內(nèi)容第一章ACL原理第一節(jié)ACL概念和作用第二節(jié)ACL工作原理第三節(jié)ACL規(guī)則第二章ACL配置第一節(jié)ACL配置步驟第二節(jié)配置標(biāo)準(zhǔn)ACL第三節(jié)配置擴(kuò)展ACL第四節(jié)配置其他類(lèi)型ACL第五節(jié)ACL擴(kuò)展配置第六節(jié)ACL維護(hù)與診斷配置步驟1．進(jìn)入二層ACL配置模式

2．配置ACL中的規(guī)則配置示例定義一個(gè)二層ACL，允許VLAN10中源MAC地址為00d0.d0c0.5741、802.1p為5的IP包通過(guò)，并丟棄收到的MPLS（以太網(wǎng)類(lèi)型為8847）報(bào)文。配置二層ACLZXR10(config)#acllinknumber200ZXR10(config-link-acl)#rule1permitipcos5ingress00d0.d0c0.57410000.0000.0000ZXR10(config-link-acl)#rule2deny8847acllink{number<acl-number>|name<acl-name>|alias<alias-name>}rule

<rule-no>{permit|deny}<protocol>[cos<cos-vlaue>][egress{<destination-mac><dest-mac-wildcard>|any}][ingress{<source-mac><src-mac-wildcard>|any}][time-range

<timerange-name>]配置步驟1．進(jìn)入混合ACL配置模式

2．配置ACL中的規(guī)則配置混合ACLaclhybrid{number<acl-number>|name<acl-name>|alias<alias-name>}rule

<rule-no>{permit|deny}<protocol-numberl>{{<source-ip><source-ip-wildcard>}|any}[eq<port-number>]{{<destination-ip><dest-ip-wildcard>}|any}[eq<port-number>]{<ethernet-protocol-number>|any|arp|ip}[cos|dinvlan|doutervlan|egress|ingress|time-range]配置示例

定義一個(gè)混合ACL，實(shí)現(xiàn)以下功能：1． 對(duì)來(lái)自/24網(wǎng)段、目的IP地址為0、目的MAC地址為00d0.d0c0.5741、源端口為100、目的端口為200的UDP報(bào)文，允許通過(guò)。2． 拒絕來(lái)自/24網(wǎng)段的BGP報(bào)文。3． 拒絕源MAC地址為0100.2563.1425的報(bào)文。配置混合ACLZXR10(config)#aclhybridnumber300ZXR10(config-hybd-acl)#rule1permitudp55Eq1000eq200anyEgress00d0.d0c0.57410000.0000.0000ZXR10(config-hybd-acl)#rule2denytcp55EqBGPanyanyZXR10(config-hybd-acl)#rule3denyipanyanyanyingress0100.2563.14250000.0000.0000配置步驟1．進(jìn)入用戶自定義ACL配置模式

2．配置ACL中的規(guī)則配置示例定義一個(gè)用戶自定義ACL，允許tag為1，規(guī)則為0x1111，掩碼為0x000f，偏移量為4個(gè)字節(jié)的報(bào)文通過(guò)。配置用戶自定義ACLacluser-define{number

<3000-3499>|name

<acl-name>}rule<rule-id>{permit|deny}{any|{tag<tag-num><offset><rule-string><rule-mask>&<1-4>}}[time-range<timerange-name>]ZXR10(config)#acluser-definenumber3000ZXR10(config-ext-v6acl)#rule1permittag140x11110x000f第一章ACL原理第一節(jié)ACL概念和作用第二節(jié)ACL工作原理第三節(jié)ACL規(guī)則第二章ACL配置第一節(jié)ACL配置步驟第二節(jié)配置標(biāo)準(zhǔn)ACL第三節(jié)配置擴(kuò)展ACL第四節(jié)配置其他類(lèi)型ACL第五節(jié)ACL擴(kuò)展配置第六節(jié)ACL維護(hù)與診斷課程內(nèi)容ACL批量綁定功能功能簡(jiǎn)介

在一些需求環(huán)境下，需要將同一個(gè)ACL綁定到多個(gè)接口。如果逐個(gè)接口綁定，操作比較繁瑣，為了提高ACL綁定的可操作性和高效性，系統(tǒng)提供了批量綁定功能，可以一次將某個(gè)ACL綁定到多個(gè)接口。目前只支持物理端口。配置命令

批量綁定ACL到接口的指定方向配置實(shí)例例：將acl90綁定到接口gei_7/7-gei_7/8、atm155_5/1-4的in方向上ZXR10(config)#aclstandardnumber90ZXR10(config-std-acl)#rule1denyanyZXR10(config-std-acl)#exitZXR10(config)#access-group90interfacegei_7/7-8,atm155_5/1-4in

access-group{<1-199>|<1000-1999>|<word>}{interface}{in|out}ACL關(guān)聯(lián)timerange功能功能簡(jiǎn)介實(shí)際應(yīng)用中往往希望一項(xiàng)功能在特定的時(shí)間段內(nèi)、在一個(gè)重復(fù)的時(shí)間段內(nèi)、在某個(gè)時(shí)刻之前或之后生效，這些要求在ACL中表現(xiàn)最為迫切和直接。如可能公司會(huì)遇到這樣的情況，要求上班時(shí)間不能上QQ，下班可以上或者平時(shí)不能訪問(wèn)某網(wǎng)站只有到了周末才可以。對(duì)于這種情況僅僅通過(guò)發(fā)布通知規(guī)定是不能徹底杜絕員工非法使用的問(wèn)題的，這時(shí)基于時(shí)間的訪問(wèn)控制列表應(yīng)運(yùn)而生。

配置命令

創(chuàng)建aclrule時(shí)關(guān)聯(lián)time-range：將已經(jīng)創(chuàng)建的aclrule和time-range關(guān)聯(lián)：rule<rulenumber>{permit|deny}{<sourceipaddress><Wildcardbits>|any>}[time-range<word>]attach[time-range<word>]to<rulenumber>ACL關(guān)聯(lián)timerange功能配置步驟1、在全局啟動(dòng)time-range功能2、創(chuàng)建time-range3、定義time-range時(shí)間段規(guī)則4、將time-range綁定到ACL規(guī)則

（acl關(guān)聯(lián)time-range時(shí)time-range必須已經(jīng)創(chuàng)建）5、應(yīng)用ACL規(guī)則ACL關(guān)聯(lián)timerange功能配置實(shí)例ZXR10(config)#time-rangeenable——必須先啟用time-range功能ZXR10(config)#time-rangetest——?jiǎng)?chuàng)建time-range列表，進(jìn)入time-range配置模式ZXR10(config-tr)#absolutestart16:00:301-1-2008end20:00:451-1-2008——設(shè)定絕對(duì)時(shí)間段ZXR10(config-tr)#periodicfriday10:00:30tosaturday12:00:4512:00:45——設(shè)定相對(duì)時(shí)間段ZXR10(config-tr)#exitZXR10(config)#shoacl1standardacl1rule1deny39ZXR10(config)#aclstandardnumber1ZXR10(config-std-acl)#attachtestto1——將timerange規(guī)則綁定到已經(jīng)創(chuàng)建的ACL規(guī)則rule1ZXR10(config-std-acl)#rule2permitanytime-rangetest——?jiǎng)?chuàng)建rule2時(shí)關(guān)聯(lián)time-rangeZXR10(config-std-acl)#exitZXR10(config)#interfacefei_2/1ZXR10(config-if)#ipaccess-group1in——將ACL應(yīng)用到fei_2/1的入接口上ACL在匹配4層端口時(shí)支持range功能功能簡(jiǎn)介在一些需求環(huán)境下，要求對(duì)某種上層協(xié)議的一些連續(xù)的端口做同樣的acl過(guò)濾動(dòng)作。擴(kuò)展acl可匹配range端口號(hào)的功能——如果要對(duì)一組協(xié)議、地址都相同，而端口號(hào)在某個(gè)范圍內(nèi)連續(xù)變化的報(bào)文采取相同的匹配動(dòng)作，可以用這個(gè)功能簡(jiǎn)化配置。配置命令配置匹配range端口范圍的位置在<source-port>和<destination-port>，提供的命令字段是range，后跟端口范圍。range可選范圍：0-65535{permit|deny}{<protocol>}{{<sourceaddress><source-wildcard>}|any}[<sourceport>]{{<destinationaddress><destination-wildcard>}|any}[<destinationport>]ACL在匹配4層端口時(shí)支持range功能配置實(shí)例1、準(zhǔn)許源端口為100-2000，目的端口為500-65535的tcp報(bào)文通過(guò)。2、準(zhǔn)許源端口為100-2000，目的端口為500的tcp報(bào)文通過(guò)。ZXR10(config)#aclextendednumber1990ZXR10(config-std-acl)#permittcpanyrange100-2000anyrange500-65535ZXR10(config-std-acl)#exit ZXR10(config)#aclextendednumber1990ZXR10(config-std-acl)#rule2permitudpanyrange100-2000anyeq500ZXR10(config-std-acl)#exit 課程內(nèi)容第一章ACL原理第一節(jié)ACL概念和作用第二節(jié)ACL工作原理第三節(jié)ACL規(guī)則第二章ACL配置第一節(jié)ACL配置步驟第二節(jié)配置標(biāo)準(zhǔn)ACL第三節(jié)配置擴(kuò)展ACL第四節(jié)配置其他類(lèi)型ACL第五節(jié)ACL擴(kuò)展配置第六節(jié)ACL維護(hù)與診斷ZXR10#showipaccess-list1StandardIPaccesslist1permit,wildcardbits55permit,wildcardbits55permit,wildcardbits55ACL基本配置顯示ACL擴(kuò)展配置顯示功能簡(jiǎn)介

ACL支持過(guò)濾統(tǒng)計(jì)功能。對(duì)直接綁定在接口的acl，可以統(tǒng)計(jì)該acl匹配的報(bào)文數(shù)量

配置命令

1、使能acl統(tǒng)計(jì)功能:ZXR10(config)#acl-statstart2、關(guān)閉acl統(tǒng)計(jì)開(kāi)關(guān)

ZXR10(config)#acl-statstop3、清除acl統(tǒng)計(jì)數(shù)據(jù)

ZXR10(config)#acl-statclear<1-199>/<1000-1999>/WORD