版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報(bào)或認(rèn)領(lǐng)
文檔簡介
ACL訪問控制列表ACL概述ACL(AccessControlList,訪問控制列表)是用來實(shí)現(xiàn)數(shù)據(jù)包識別功能的ACL可以應(yīng)用于諸多方面包過濾防火墻功能NAT(NetworkAddressTranslation,網(wǎng)絡(luò)地址轉(zhuǎn)換)QoS(QualityofService,服務(wù)質(zhì)量)的數(shù)據(jù)分類路由策略和過濾按需撥號基于ACL的包過濾技術(shù)對進(jìn)出的數(shù)據(jù)包逐個(gè)過濾,丟棄或允許通過ACL應(yīng)用于接口上,每個(gè)接口的出入雙向分別過濾僅當(dāng)數(shù)據(jù)包經(jīng)過一個(gè)接口時(shí),才能被此接口的此方向的ACL過濾入方向過濾入方向過濾出方向過濾出方向過濾接口接口路由轉(zhuǎn)發(fā)進(jìn)程入站包過濾工作流程匹配第一條規(guī)則數(shù)據(jù)包入站匹配第二條規(guī)則匹配最后一條規(guī)則丟棄通過YesPermit是否配置入方向ACL包過濾NoPermitDenyPermitDefaultPermitDenyDenyDefaultDeny數(shù)據(jù)包進(jìn)入轉(zhuǎn)發(fā)流程N(yùn)oNoNo檢查默認(rèn)規(guī)則設(shè)定出站包過濾工作流程匹配第一條規(guī)則數(shù)據(jù)包到達(dá)出接口匹配第二條規(guī)則匹配最后一條規(guī)則丟棄通過YesPermit是否配置出方向ACL包過濾NoPermitDenyPermitDefaultPermitDenyDenyDefaultDeny數(shù)據(jù)包出站NoNoNo檢查默認(rèn)規(guī)則設(shè)定通配符掩碼通配符掩碼含義0.0.0.255只比較前24位0.0.3.255只比較前22位0.255.255.255只比較前8位通配符掩碼和IP地址結(jié)合使用以描述一個(gè)地址范圍通配符掩碼和子網(wǎng)掩碼相似,但含義不同0表示對應(yīng)位須比較1表示對應(yīng)位不比較通配符掩碼的應(yīng)用示例IP地址通配符掩碼表示的地址范圍192.168.0.10.0.0.255192.168.0.0/24192.168.0.10.0.3.255192.168.0.0/22192.168.0.10.255.255.255192.0.0.0/8192.168.0.10.0.0.0192.168.0.1192.168.0.1255.255.255.2550.0.0.0/0192.168.0.10.0.2.255192.168.0.0/24和192.168.2.0/24ACL的標(biāo)識利用數(shù)字序號標(biāo)識訪問控制列表可以給訪問控制列表指定名稱,便于維護(hù)訪問控制列表的分類數(shù)字序號的范圍基本訪問控制列表2000~2999擴(kuò)展訪問控制列表3000~3999基于二層的訪問控制列表4000~4999用戶自定義的訪問控制列表5000~5999基本ACL基本訪問控制列表只根據(jù)報(bào)文的源IP地址信息制定規(guī)則接口接口從1.1.1.0/24來的數(shù)據(jù)包不能通過從2.2.2.0/28來的數(shù)據(jù)包可以通過DA=3.3.3.3SA=1.1.1.1DA=3.3.3.3SA=2.2.2.1分組分組接口接口從1.1.1.0/24來,到3.3.3.1的TCP端口80去的數(shù)據(jù)包不能通過從1.1.1.0/24來,到2.2.2.1的TCP端口23去的數(shù)據(jù)包可以通過DA=3.3.3.1,SA=1.1.1.1TCP,DP=80,SP=2032DA=2.2.2.1,SA=1.1.1.1TCP,DP=23,SP=3176分組分組基本ACL部署位置示例要求PCA不能訪問NetworkA和NetworkB,但可以訪問其他所有網(wǎng)絡(luò)PCA172.16.0.1E0/1E0/0RTCRTBRTANetworkA192.168.0.0/24NetworkB192.168.1.0/24NetworkC192.168.2.0/24NetworkD192.168.3.0/24E0/0E0/1[RTA]firewallenable[RTA]aclnumber2000[RTA-acl-basic-2000]ruledenysource172.16.0.10[RTA-Ethernet0/1]firewallpacket-filter2000inbound高級ACL高級訪問控制列表根據(jù)報(bào)文的源IP地址、目的IP地址、IP承載的協(xié)議類型、協(xié)議特性等三、四層信息制定規(guī)則接口接口從1.1.1.0/24來,到3.3.3.1的TCP端口80去的數(shù)據(jù)包不能通過從1.1.1.0/24來,到2.2.2.1的TCP端口23去的數(shù)據(jù)包可以通過DA=3.3.3.1,SA=1.1.1.1TCP,DP=80,SP=2032DA=2.2.2.1,SA=1.1.1.1TCP,DP=23,SP=3176分組分組高級ACL部署位置示例PCA172.16.0.1E0/1E0/0RTCRTBRTA要求PCA不能訪問NetworkA和NetworkB,但可以訪問其他所有網(wǎng)絡(luò)NetworkA192.168.0.0/24NetworkB192.168.1.0/24NetworkC192.168.2.0/24NetworkD192.168.3.0/24E0/0E0/1[RTC]firewallenable[RTC]aclnumber3000[RTC-acl-adv-3000]ruledenyipsource172.16.0.10destination192.168.0.00.0.1.255[RTC-Ethernet0/0]firewallpacket-filter3000inbound本章重點(diǎn)了解ACL的作用了解ACL匹配碼的使用方法了解基本ACL和高級ACL的區(qū)別掌握ACL的的配置方法VRRP普通網(wǎng)絡(luò)存在的問題在如下局域網(wǎng)絡(luò)中,終端用戶存在被孤立的可能。一旦交換機(jī)的三層虛接口故障,局域網(wǎng)用戶就被孤立,不能實(shí)現(xiàn)與外部網(wǎng)絡(luò)的通信。VRRP(VirtualRouterRedundancyProtocol)正是為了解決此問題而誕生。10.0.0.110.0.0.910.0.0.810.0.0.710.0.0.6IP網(wǎng)VRRP的應(yīng)用(一)VRRP以虛擬路由器的形式為終端用戶提供服務(wù),而實(shí)際負(fù)責(zé)數(shù)據(jù)轉(zhuǎn)發(fā)的路由器由一組運(yùn)行VRRP協(xié)議的路由器選舉產(chǎn)生,從而實(shí)現(xiàn)三層網(wǎng)關(guān)的備份。10.0.0.110.0.0.910.0.0.810.0.0.710.0.0.610.0.0.210.0.0.3IP網(wǎng)VRRP的應(yīng)用(二)在同一VLAN虛接口下提供多組VRRP組,不同VRRP選擇不同的路由器或三層交換機(jī)擔(dān)當(dāng)Master,相互實(shí)現(xiàn)備份。同時(shí)通過VLAN內(nèi)主機(jī)設(shè)置不同的VirtualIP為網(wǎng)關(guān)地址實(shí)現(xiàn)負(fù)載分擔(dān)。10.0.0.110.0.0.910.0.0.810.0.0.710.0.0.610.0.0.210.0.0.310.0.0.4IP網(wǎng)VRRP的選舉在VRRP組內(nèi),可以分別指定各路由器的選舉優(yōu)先級。當(dāng)VRRP進(jìn)行選舉時(shí),首先比較選舉優(yōu)先級,優(yōu)先級高者獲勝成為該VRRP組的Master,失敗者成為Backup。如果兩個(gè)VRRPRouter具有相同的優(yōu)先級,IP地址大者獲勝成為Master。Master周期性發(fā)送Advertisement,Backup接收Advertisement。Backup如果一定時(shí)間內(nèi)未收到Advertisement,認(rèn)為MasterDown,進(jìn)行新一輪的Master選舉。VRRP配置舉例網(wǎng)絡(luò)結(jié)構(gòu)圖兩個(gè)三層交換機(jī)運(yùn)行VRRP協(xié)議10.0.0.910.0.0.810.0.0.710.0.0.610.0.0.210.0.0.3Switch_ASwitch_BIP網(wǎng)多備份組實(shí)現(xiàn)負(fù)荷分擔(dān)同一網(wǎng)絡(luò)結(jié)構(gòu)圖,配置兩個(gè)備份組,其ID為1和2,虛擬網(wǎng)關(guān)分別為10.0.0.1和10.0.0.4正常情況下,Switch_A為1組的Master,Switch_B為2組的Master。局域網(wǎng)內(nèi)部分用戶以10.0.0.1為缺省網(wǎng)關(guān),部分用戶以10.0.0.4為缺省網(wǎng)關(guān)。配置Switch_A:[Switch_A-vlan-interface2]vrrpvrid1virtual-ip10.0.0.1[Switch_A-vlan-interface2]vrrpvrid1priority120[Switch_A-vlan-interface2]vrrpvrid2virtual-ip10.0.0.4配置Switch_B:[
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- 2024風(fēng)力發(fā)電變槳減速器
- 高中語文《紅樓夢》整本書閱讀 公開課一等獎(jiǎng)創(chuàng)新教學(xué)設(shè)計(jì)
- 《琵琶行》公開課一等獎(jiǎng)創(chuàng)新教學(xué)設(shè)計(jì)中職語文外研版基礎(chǔ)模塊下冊
- 從略讀方法入手文已傳道亦傳 初中語文七年級下冊14《葉圣陶先生二三事》課堂教學(xué)實(shí)錄
- 密封性能試驗(yàn)機(jī)方法及技術(shù)規(guī)范(編制說明)
- 寫字樓裝修施工協(xié)議范本
- 展覽展示裝修監(jiān)理協(xié)議模板
- 辦公樓屋頂花園裝修協(xié)議
- 服裝面料運(yùn)輸協(xié)議書
- 通信基站用地居間合作協(xié)議
- 2024年學(xué)憲法、講憲法題庫及答案
- 封條模板A4直接打印版
- 大隊(duì)委競選課件
- 土地整治項(xiàng)目驗(yàn)收規(guī)程表格
- 做學(xué)生生命中的貴人PPT課件
- 農(nóng)村小學(xué)預(yù)防地方性氟中毒教學(xué)教案(一至六年級)
- 創(chuàng)意企業(yè)文化海報(bào)模板
- 關(guān)于河道管理范圍內(nèi)建設(shè)項(xiàng)目防洪影響咨詢服務(wù)費(fèi)計(jì)列的指導(dǎo)意見
- 現(xiàn)場檢測安全作業(yè)指導(dǎo)書
- 重慶市醫(yī)療服務(wù)收費(fèi)
- 生產(chǎn)首件確認(rèn)單
評論
0/150
提交評論