計算機硬件及網(wǎng)絡(luò)DCN-TS07-ACL的應(yīng)用課件

ACL應(yīng)用客戶服務(wù)中心ACL應(yīng)用客戶服務(wù)中心ACL的應(yīng)用ACL定義ACL功能ACL配置步驟ACL應(yīng)用舉例ACL與其它廠家的對比2ACL的應(yīng)用ACL定義2ACL的定義ACL(AccessControlLists)是交換機實現(xiàn)的一種數(shù)據(jù)包過濾機制，通過允許或拒絕特定的數(shù)據(jù)包進出網(wǎng)絡(luò)，交換機可以對網(wǎng)絡(luò)訪問進行控制，有效保證網(wǎng)絡(luò)的安全運行。3ACL的定義ACL(AccessControlList標準檢查源地址允許或禁止所有的協(xié)議OutgoingPacketE0S0IncomingPacketAccessListProcessesPermit?SourceACL的定義4標準OutgoingE0S0IncomingAccessL

標準檢查源地址允許或禁止所有的協(xié)議擴展檢查目的地址允許或禁止特定的協(xié)議OutgoingPacketE0S0IncomingPacketAccessListProcessesPermit?Sourceand

DestinationProtocolACL的定義5標準OutgoingE0S0In

標準檢查源地址允許或禁止所有的協(xié)議擴展檢查目的地址允許或禁止特定的協(xié)議InboundorOutbound

OutgoingPacketE0S0IncomingPacketAccessListProcessesPermit?Sourceand

DestinationProtocolACL的定義6標準OutgoingE0S0InInternet管理隨網(wǎng)絡(luò)擴張而增長的網(wǎng)絡(luò)流量過濾通過交換機和路由器的數(shù)據(jù)包為什么使用訪問控制列表？7Internet管理Interface(s)DestinationPacketstointerfacesintheaccessgroupPacket

DiscardBucketYDenyDenyYMatchFirstTest?Permit列表的檢測-允許或禁止8Interface(s)DestinationPacketsPacketstoInterface(s)intheAccessGroupPacket

DiscardBucketYInterface(s)DestinationDenyDenyYMatchFirstTest?PermitNDenyPermitMatchNextTest(s)?YY列表的檢測-允許或禁止9PacketstoInterface(s)PacketPacketstoInterface(s)intheAccessGroupPacket

DiscardBucketYInterface(s)DestinationDenyDenyYMatchFirstTest?PermitNDenyPermitMatchNextTest(s)?DenyMatchLastTest

?YYNYYPermit列表的檢測-允許或禁止10PacketstoInterface(s)PacketPacketstoInterface(s)intheAccessGroupPacket

DiscardBucketYInterface(s)DestinationDenyYMatchFirstTest?PermitNDenyPermitMatchNextTest(s)?DenyMatchLastTest

?YYNYYPermitImplicitDeny如果沒有匹配DenyDenyN列表的檢測-允許或禁止11PacketstoInterface(s)PacketNumberRange/IdentifierAccessListTypeIP

1-99Standard標準IP列表(1to99)檢查所有包的源地址怎樣定義訪問控制列表？12NumberRange/IdentifierAccessNumberRange/IdentifierAccessListTypeIP

1-99100-199StandardExtended標準IP列表(1to99)檢查所有包的源地址擴展IP列表(100to199)能夠檢查源地址和目的地址，特定的TCP/IP協(xié)議,，和目的端口怎樣定義訪問控制列表？13NumberRange/IdentifierAccessNumberRange/IdentifierIP

1-99100-199,1300-1999,2000-2699Name(CiscoIOS11.2andlater)800-899900-9991000-1099Name(CiscoIOS11.2.Fandlater)StandardExtendedSAPfiltersNamedStandardExtendedNamedAccessListTypeIPX標準IP列表(1to99)檢查所有包的源地址擴展IP列表(100to199)能夠檢查源地址和目的地址，特定的TCP/IP協(xié)議,，和目的端口其它的訪問列表號對應(yīng)其他的網(wǎng)絡(luò)協(xié)議怎樣定義訪問控制列表？14NumberRange/IdentifierIP 1-9SourceAddressSegment(forexample,

TCPheader)DataPacket(IPheader)FrameHeader(forexample,

HDLC)DenyPermitUseaccessliststatements1-99標準列表檢查過程15SourceSegmentDataPacketFrameDDestinationAddressSourceAddressProtocolPortNumberSegment(forexample,

TCPheader)DataPacket(IPheader)FrameHeader(forexample,

HDLC)Useaccessliststatements1-99or100-199to

testthepacketDenyPermit擴展列表檢查過程16DestinationSourceProtocolPortS二、ACL功能1、拒絕特定的數(shù)據(jù)包進/出端口。2、允許特定的數(shù)據(jù)包進端口。3、和Qos配合，特定的數(shù)據(jù)包限制流量進入網(wǎng)絡(luò)。問題1：如何描述“特定”？問題2：如何與Qos配合？17二、ACL功能1、拒絕特定的數(shù)據(jù)包進/出端口。17問題1：“特定”？特定：用戶通過規(guī)則（rule）來定義自己的需求，Rule包含的信息可以包括源MAC、目的MAC、源IP、目的IP、IP協(xié)議號、tcp端口等條件的有效組合，我們當前的規(guī)則分為3大類：1、MAC規(guī)則2、IP規(guī)則3、MAC-IP規(guī)則注意：過濾功能若使能，則每個端口都還有一個規(guī)則：1、默認規(guī)則18問題1：“特定”？特定：用戶通過規(guī)則（rule）來定義自己的1、MAC規(guī)則1、MAC規(guī)則：包含源/目的MAC地址，幀類型，802.1Q的tag（cos和vlanid），上層報文類型。命令舉例：[no]{deny|permit}{any-source-mac|{host-source-mac<host_smac>}|{<smac><smac-mask>}}{any-destination-mac|{host-destination-mac<host_dmac>}|{<dmac><dmac-mask>}}[tagged-eth2[cos<cos-val>[<cos-bitmask>]][vlanId<vid-value>[<vid-mask>]][ethertype<protocol>[<protocol-mask>]]]功能：創(chuàng)建一條匹配tagged以太網(wǎng)2幀類型的MAC訪問規(guī)則(rule)；no操作為刪除此命名擴展MAC訪問規(guī)則（rule）191、MAC規(guī)則1、MAC規(guī)則：包含源/目的MAC地址，幀MAC規(guī)則舉例用戶有如下配置需求：交換機的10端口連接的網(wǎng)段的MAC地址是00-12-11-23-XX-XX，并且不允許802.3的數(shù)據(jù)報文發(fā)出。配置步驟：1、

創(chuàng)建相應(yīng)的MACACL2、

配置過濾默認動作（默認動作：沒有定義規(guī)則的報文動作）3、

綁定ACL到端口配置舉例如下：

Switch(Config)#access-list1100deny00-12-11-23-00-0000-00-00-00-ff-ffanyuntagged-802.3Switch(Config)#access-list1100deny00-12-11-23-00-0000-00-00-00-ff-ffanytagged-802.3Switch(Config)#firewallenableSwitch(Config)#firewalldefaultpermitSwitch(Config)#interfaceethernet0/0/10Switch(Config-Ethernet0/0/10)#ipaccess-group1100in20MAC規(guī)則舉例用戶有如下配置需求：交換機的10端口連接的網(wǎng)2、IP規(guī)則包含源/目的IP地址，協(xié)議類型（IP，TCP/UDP（源/目的tcp/udp端口號），ICMP（icmp包類型），Igmp（igmp包類型），和其它任意協(xié)議類型，precedence和tos（服務(wù)類型）。命令舉例：[no]{deny|permit}udp{{<sIpAddr>

<sMask>}|any-source|{host-source<sIpAddr>}}[sPort<sPort>]{{<dIpAddr>

<dMask>}|any-destination|{host-destination<dIpAddr>}}[dPort<dPort>][precedence<prec>][tos<tos>]功能：創(chuàng)建一條udp命名擴展IP訪問規(guī)則（rule）；本命令的no操作為刪除此命名擴展IP訪問規(guī)則（rule）。

212、IP規(guī)則包含源/目的IP地址，協(xié)議類型（IP，TCP/UIP規(guī)則舉例用戶有如下配置需求：交換機的10端口連接/24網(wǎng)段，管理員不希望用戶使用ftp，也不允許外網(wǎng)ping此網(wǎng)段的任何一臺主機。配置步驟：1．

創(chuàng)建相應(yīng)的IPACL2．

配置過濾默認動作（默認動作：沒有定義規(guī)則的報文動作）3．

綁定ACL到端口配置舉例如下：

Switch(Config)#access-list110denytcp55any-destinationd-port21Switch(Config)#access-list120denyicmpany-source55Switch(Config)#firewallenableSwitch(Config)#firewalldefaultpermitSwitch(Config)#interfaceethernet0/0/10Switch(Config-Ethernet0/0/10)#ipaccess-group110inSwitch(Config-Ethernet0/0/10)#ipaccess-group120out22IP規(guī)則舉例用戶有如下配置需求：交換機的10端口連接10.03、MAC-IP規(guī)則包含源/目的MAC地址，源/目的IP地址，協(xié)議類型（IP，TCP/UDP（源/目的tcp/udp端口號），ICMP（icmp包類型），Igmp（igmp包類型），和其它任意協(xié)議類型，precedence和tos（服務(wù)類型）。命令舉例：{deny|permit}{any-source-mac|{host-source-mac<host_smac>}|{<smac><smac-mask>}}{any-destination-mac|{host-destination-mac<host_dmac>}|{<dmac><dmac-mask>}}udp{{<source><source-wildcard>}|any-source|{host-source<source-host-ip>}}[s-port<port1>]{{<destination><destination-wildcard>}|any-destination|{host-destination<destination-host-ip>}}[d-port<port3>][precedence<precedence>][tos<tos>]功能：創(chuàng)建一條tcp命名擴展MAC-IP訪問規(guī)則（rule）；本命令的no操作為刪除此命名擴展IP訪問規(guī)則（rule）。

233、MAC-IP規(guī)則包含源/目的MAC地址，源/目的IP地址MAC-IP規(guī)則舉例用戶有如下配置需求：交換機的10端口連接的網(wǎng)段的MAC地址是00-12-11-23-XX-XX，并且IP為/24網(wǎng)段，管理員不希望用戶使用ftp，也不允許外網(wǎng)ping此網(wǎng)段的任何一臺主機。配置步驟：1、

創(chuàng)建相應(yīng)的MAC-IPACL2、

配置過濾默認動作（默認動作：沒有定義規(guī)則的報文動作）3、

綁定ACL到端口配置舉例如下：Switch(Config)#access-list3110deny00-12-11-23-00-0000-00-00-00-FF-FFanytcp55any-destinationd-port21Switch(Config)#access-list3120denyany00-12-11-23-00-0000-00-00-00-FF-FFicmpany-source55Switch(Config)#firewallenableSwitch(Config)#firewalldefaultpermitSwitch(Config)#interfaceethernet0/0/10Switch(Config-Ethernet0/0/10)#mac-ipaccess-group3110inSwitch(Config-Ethernet0/0/10)#mac-ipaccess-group3120out24MAC-IP規(guī)則舉例用戶有如下配置需求：交換機的10端口連接默認規(guī)則默認規(guī)則：匹配所有的IP報文，但是優(yōu)先級最低，所以當數(shù)據(jù)包同時匹配用戶規(guī)則和默認規(guī)則時，用戶規(guī)則起作用。默認動作：permit或者deny，二者必選其一配置舉例：Switch(Config)#firewalldefaultpermit（默認規(guī)則permit）Switch(Config)#firewalldefaultdeny

（默認規(guī)則deny）

25默認規(guī)則默認規(guī)則：匹配所有的IP報文，但是優(yōu)先級最低，所以當問題2:如何與Qos配合第一步：定義“特定”的報文，即是定義報文通過規(guī)則（rule），規(guī)則的分類如問題1所描述。第二步：Qos中的定義流量分類時選用該ACL規(guī)則。第三步：Qos中定義該流量分類的策略（流量大小，優(yōu)先級等）。第四步：在某個接口上使能該策略，Qos功能生效26問題2:如何與Qos配合第一步：定義“特定”的報文，即是定義Qos方案與ACL的關(guān)系Classification（分類）Policing（監(jiān)管）Mark（重寫）Queueing（整形）和Scheduling（排程）

ACL的應(yīng)用端口信任dscp/ip-precedence/cos/port27Qos方案與ACL的關(guān)系Classification（分類）三、ACL的配置步驟1.

配置access-list(定義所需要的規(guī)則)2.

配置包過濾功能將access-list綁定到特定端口的特定方向；或者，將access-list關(guān)聯(lián)到相應(yīng)Qos流量分類中。28三、ACL的配置步驟1.

配置access-list(定思考Acl應(yīng)用在交換機的端口還是vlan？應(yīng)用入方向還是出方向？還是都可以？是否影響交換機性能？能否實現(xiàn)單向訪問？29思考Acl應(yīng)用在交換機的端口還是vlan？29學以致用，讓網(wǎng)絡(luò)應(yīng)用普遍成功！學以致用，讓網(wǎng)絡(luò)應(yīng)用普遍成功！ACL應(yīng)用客戶服務(wù)中心ACL應(yīng)用客戶服務(wù)中心ACL的應(yīng)用ACL定義ACL功能ACL配置步驟ACL應(yīng)用舉例ACL與其它廠家的對比32ACL的應(yīng)用ACL定義2ACL的定義ACL(AccessControlLists)是交換機實現(xiàn)的一種數(shù)據(jù)包過濾機制，通過允許或拒絕特定的數(shù)據(jù)包進出網(wǎng)絡(luò)，交換機可以對網(wǎng)絡(luò)訪問進行控制，有效保證網(wǎng)絡(luò)的安全運行。33ACL的定義ACL(AccessControlList標準檢查源地址允許或禁止所有的協(xié)議OutgoingPacketE0S0IncomingPacketAccessListProcessesPermit?SourceACL的定義34標準OutgoingE0S0IncomingAccessL

標準檢查源地址允許或禁止所有的協(xié)議擴展檢查目的地址允許或禁止特定的協(xié)議OutgoingPacketE0S0IncomingPacketAccessListProcessesPermit?Sourceand

DestinationProtocolACL的定義35標準OutgoingE0S0In

標準檢查源地址允許或禁止所有的協(xié)議擴展檢查目的地址允許或禁止特定的協(xié)議InboundorOutbound

OutgoingPacketE0S0IncomingPacketAccessListProcessesPermit?Sourceand

DestinationProtocolACL的定義36標準OutgoingE0S0InInternet管理隨網(wǎng)絡(luò)擴張而增長的網(wǎng)絡(luò)流量過濾通過交換機和路由器的數(shù)據(jù)包為什么使用訪問控制列表？37Internet管理Interface(s)DestinationPacketstointerfacesintheaccessgroupPacket

DiscardBucketYDenyDenyYMatchFirstTest?Permit列表的檢測-允許或禁止38Interface(s)DestinationPacketsPacketstoInterface(s)intheAccessGroupPacket

DiscardBucketYInterface(s)DestinationDenyDenyYMatchFirstTest?PermitNDenyPermitMatchNextTest(s)?YY列表的檢測-允許或禁止39PacketstoInterface(s)PacketPacketstoInterface(s)intheAccessGroupPacket

DiscardBucketYInterface(s)DestinationDenyDenyYMatchFirstTest?PermitNDenyPermitMatchNextTest(s)?DenyMatchLastTest

?YYNYYPermit列表的檢測-允許或禁止40PacketstoInterface(s)PacketPacketstoInterface(s)intheAccessGroupPacket

DiscardBucketYInterface(s)DestinationDenyYMatchFirstTest?PermitNDenyPermitMatchNextTest(s)?DenyMatchLastTest

?YYNYYPermitImplicitDeny如果沒有匹配DenyDenyN列表的檢測-允許或禁止41PacketstoInterface(s)PacketNumberRange/IdentifierAccessListTypeIP

1-99Standard標準IP列表(1to99)檢查所有包的源地址怎樣定義訪問控制列表？42NumberRange/IdentifierAccessNumberRange/IdentifierAccessListTypeIP

1-99100-199StandardExtended標準IP列表(1to99)檢查所有包的源地址擴展IP列表(100to199)能夠檢查源地址和目的地址，特定的TCP/IP協(xié)議,，和目的端口怎樣定義訪問控制列表？43NumberRange/IdentifierAccessNumberRange/IdentifierIP

1-99100-199,1300-1999,2000-2699Name(CiscoIOS11.2andlater)800-899900-9991000-1099Name(CiscoIOS11.2.Fandlater)StandardExtendedSAPfiltersNamedStandardExtendedNamedAccessListTypeIPX標準IP列表(1to99)檢查所有包的源地址擴展IP列表(100to199)能夠檢查源地址和目的地址，特定的TCP/IP協(xié)議,，和目的端口其它的訪問列表號對應(yīng)其他的網(wǎng)絡(luò)協(xié)議怎樣定義訪問控制列表？44NumberRange/IdentifierIP 1-9SourceAddressSegment(forexample,

TCPheader)DataPacket(IPheader)FrameHeader(forexample,

HDLC)DenyPermitUseaccessliststatements1-99標準列表檢查過程45SourceSegmentDataPacketFrameDDestinationAddressSourceAddressProtocolPortNumberSegment(forexample,

TCPheader)DataPacket(IPheader)FrameHeader(forexample,

HDLC)Useaccessliststatements1-99or100-199to

testthepacketDenyPermit擴展列表檢查過程46DestinationSourceProtocolPortS二、ACL功能1、拒絕特定的數(shù)據(jù)包進/出端口。2、允許特定的數(shù)據(jù)包進端口。3、和Qos配合，特定的數(shù)據(jù)包限制流量進入網(wǎng)絡(luò)。問題1：如何描述“特定”？問題2：如何與Qos配合？47二、ACL功能1、拒絕特定的數(shù)據(jù)包進/出端口。17問題1：“特定”？特定：用戶通過規(guī)則（rule）來定義自己的需求，Rule包含的信息可以包括源MAC、目的MAC、源IP、目的IP、IP協(xié)議號、tcp端口等條件的有效組合，我們當前的規(guī)則分為3大類：1、MAC規(guī)則2、IP規(guī)則3、MAC-IP規(guī)則注意：過濾功能若使能，則每個端口都還有一個規(guī)則：1、默認規(guī)則48問題1：“特定”？特定：用戶通過規(guī)則（rule）來定義自己的1、MAC規(guī)則1、MAC規(guī)則：包含源/目的MAC地址，幀類型，802.1Q的tag（cos和vlanid），上層報文類型。命令舉例：[no]{deny|permit}{any-source-mac|{host-source-mac<host_smac>}|{<smac><smac-mask>}}{any-destination-mac|{host-destination-mac<host_dmac>}|{<dmac><dmac-mask>}}[tagged-eth2[cos<cos-val>[<cos-bitmask>]][vlanId<vid-value>[<vid-mask>]][ethertype<protocol>[<protocol-mask>]]]功能：創(chuàng)建一條匹配tagged以太網(wǎng)2幀類型的MAC訪問規(guī)則(rule)；no操作為刪除此命名擴展MAC訪問規(guī)則（rule）491、MAC規(guī)則1、MAC規(guī)則：包含源/目的MAC地址，幀MAC規(guī)則舉例用戶有如下配置需求：交換機的10端口連接的網(wǎng)段的MAC地址是00-12-11-23-XX-XX，并且不允許802.3的數(shù)據(jù)報文發(fā)出。配置步驟：1、

創(chuàng)建相應(yīng)的MACACL2、

配置過濾默認動作（默認動作：沒有定義規(guī)則的報文動作）3、

綁定ACL到端口配置舉例如下：

Switch(Config)#access-list1100deny00-12-11-23-00-0000-00-00-00-ff-ffanyuntagged-802.3Switch(Config)#access-list1100deny00-12-11-23-00-0000-00-00-00-ff-ffanytagged-802.3Switch(Config)#firewallenableSwitch(Config)#firewalldefaultpermitSwitch(Config)#interfaceethernet0/0/10Switch(Config-Ethernet0/0/10)#ipaccess-group1100in50MAC規(guī)則舉例用戶有如下配置需求：交換機的10端口連接的網(wǎng)2、IP規(guī)則包含源/目的IP地址，協(xié)議類型（IP，TCP/UDP（源/目的tcp/udp端口號），ICMP（icmp包類型），Igmp（igmp包類型），和其它任意協(xié)議類型，precedence和tos（服務(wù)類型）。命令舉例：[no]{deny|permit}udp{{<sIpAddr>

<sMask>}|any-source|{host-source<sIpAddr>}}[sPort<sPort>]{{<dIpAddr>

<dMask>}|any-destination|{host-destination<dIpAddr>}}[dPort<dPort>][precedence<prec>][tos<tos>]功能：創(chuàng)建一條udp命名擴展IP訪問規(guī)則（rule）；本命令的no操作為刪除此命名擴展IP訪問規(guī)則（rule）。

512、IP規(guī)則包含源/目的IP地址，協(xié)議類型（IP，TCP/UIP規(guī)則舉例用戶有如下配置需求：交換機的10端口連接/24網(wǎng)段，管理員不希望用戶使用ftp，也不允許外網(wǎng)ping此網(wǎng)段的任何一臺主機。配置步驟：1．

創(chuàng)建相應(yīng)的IPACL2．

配置過濾默認動作（默認動作：沒有定義規(guī)則的報文動作）3．

綁定ACL到端口配置舉例如下：

Switch(Config)#access-list110denytcp55any-destinationd-port21Switch(Config)#access-list120denyicmpany-source55Switch(Config)#firewallenableSwitch(Config)#firewalldefaultpermitSwitch(Config)#interfaceethernet0/0/10Switch(Config-Ethernet0/0/10)#ipaccess-group110inSwitch(Config-Ethernet0/0/10)#ipaccess-group120out52IP規(guī)則舉例用戶有如下配置需求：交換機的10端口連接10.03、MAC-IP規(guī)則包含源/目的MAC地址，源/目的IP地址，協(xié)議類型（IP，TCP/UDP（源/目的tcp/udp端口號），ICMP（icmp包類型），Igmp（igmp包類型），和其它任意協(xié)議類型，precedence和tos（服務(wù)類型）。命令舉例：{deny|permit}{any-source-mac|{host-source-mac<host_smac>}|{<smac><smac-mask>}}{any-destination-mac|{host-destination-mac<host_dmac>}|{<dmac><dmac-mask>}}udp{{<source><source-wildcard>}|any-source|{host-source<source-host-ip>}}[s-port<port1>]{{<destination><destination-wildcard>}|any-destination|{host-destination<destination-host-ip>}}[d-port<port3>][precedence<precedence>][tos<tos>]功能：創(chuàng)建一條tcp命名擴展MAC-IP訪問規(guī)則（rule）；本命令的no操作為刪除此命名擴展IP訪問規(guī)則（rule）。

533、MAC-IP規(guī)則包含源/目的MAC地址，源/目的IP地址MAC-IP規(guī)則舉例用戶有如下配置需求