HCIA路由交換技術(shù)實戰(zhàn)（微課版） 課件 項目13基本ACL

項目13基本ACLACL的基本原理1、ACL的基本概念

訪問控制列表ACL（AccessControlList）是由一系列規(guī)則組成的集合，ACL通過這些規(guī)則對報文進行分類，從而使設(shè)備可以對不同類報文進行不同的處理。

一個ACL通常由若干條“deny｜permit”語句組成，每條語句就是該ACL的一條規(guī)則，每條語句中的“deny｜permit”就是與這條規(guī)則相對應(yīng)的處理動作。處理動作“permit”的含義是“允許”，處理動作“deny”的含義是“拒絕”。ACL是一種應(yīng)用非常廣泛的網(wǎng)絡(luò)安全技術(shù)，配置了ACL的網(wǎng)絡(luò)設(shè)備的工作過程可以分為以下兩個步驟。（1）根據(jù)事先設(shè)定好的報文匹配規(guī)則對經(jīng)過該設(shè)備的報文進行匹配；（2）對匹配的報文執(zhí)行事先設(shè)定好的處理動作。ACL的基本原理2、ACL的規(guī)則ACL負(fù)責(zé)管理用戶配置的所有規(guī)則，并提供報文匹配規(guī)則的算法。ACL的規(guī)則管理的基本思想如下：①每個ACL作為一個規(guī)則組，一般可以包含多個規(guī)則。②ACL中的每一條規(guī)則通過規(guī)則ID（rule-id）來標(biāo)識，規(guī)則ID可以自行設(shè)置，也可以由系統(tǒng)根據(jù)步長自動生成，即設(shè)備會在創(chuàng)建ACL的過程中自動為每一條規(guī)則分配一個ID。③默認(rèn)情況下，ACL中的所有規(guī)則均按照規(guī)則ID從小到大的順序與規(guī)則進行匹配。④規(guī)則ID之間會留下一定的間隔。如果不指定規(guī)則ID時，具體間隔大小由“ACL的步長”來設(shè)定。ACL的基本原理3、ACL的規(guī)則匹配

配置了ACL的設(shè)備在接收到一個報文之后，會將該報文與ACL中的規(guī)則逐條進行匹配。如果不能匹配上當(dāng)前這條規(guī)則，則會繼續(xù)嘗試去匹配下一條規(guī)則。一旦報文匹配上了某條規(guī)則，則設(shè)備會對該報文執(zhí)行這條規(guī)則中定義的處理動作（permit或deny），并且不再繼續(xù)嘗試與后續(xù)規(guī)則進行匹配。如果報文不能匹配上ACL的任何一條規(guī)則，則設(shè)備會對該報文執(zhí)行“permit”這個處理動作。ACL的基本原理4、ACL分類

根據(jù)ACL所具備的特性不同，我們可以將ACL分成不同的類型。分別是基本ACL、高級ACL、二層ACL、用戶自定義ACL，其中應(yīng)用最為廣泛的是基本ACL和高級ACL。各種類型ACL的區(qū)別，如表所示。ACL類型編號范圍規(guī)則制訂的主要依據(jù)基本ACL2000～2999報文的源IP地址等信息。高級ACL3000～3999報文的源IP地址、目的IP地址、報文優(yōu)先級、IP承載的協(xié)議類型及特性等三、四層信息。二層ACL4000～4999報文的源MAC地址、目的MAC地址、802.1p優(yōu)先級、鏈路層協(xié)議類型等二層信息用戶自定義ACL5000～5999用戶自定義報文的偏移位置和偏移量、從報文中提取出相關(guān)內(nèi)容等信息基本ACL的命令格式基本ACL只能基于IP報文的源IP地址、報文分片標(biāo)記和時間段信息來定義規(guī)則。配置基本ACL規(guī)則的命令具有如下結(jié)構(gòu)：rule[rule-id]{permit|deny}[source{source-addresssource-wildcard｜any}|fragment|logging|time-rangetime-name]基本ACL的配置1、案例

基本ACL的配置（1）案例背景與要求：某公司網(wǎng)絡(luò)包含了外來人員辦公區(qū)、項目部辦工區(qū)和財務(wù)部辦公區(qū)域。在外來人員辦公區(qū)中，有一臺專門供外來人員使用的計算機PC2，IP地址為192.168.2.1/24，出于網(wǎng)絡(luò)安全方面的考慮，我們需要禁止財務(wù)部辦公區(qū)接收外來人員發(fā)送的IP報文。為了滿足這樣的網(wǎng)絡(luò)需求，我們可以在路由器R1上配置基本ACL?；続CL可以根據(jù)源IP地址信息識別出外來辦公人員發(fā)出的IP報文，然后在GE0/0/3接口的出方向（Outbound方向）上拒絕放行這樣的IP報文?；続CL的配置基本ACL的配置示意圖如下。PC2GE0/0/3外來人員辦公區(qū)192.168.2.0/24財務(wù)部辦公區(qū)192.168.3.0/24R1項目部辦公區(qū)192.168.1.0/24PC1PC3GE0/0/2GE0/0/1報文A報文A基本ACL：在GE0/0/3接口的出方向拒絕放行源IP地址為192.168.2.1的報文AIP:192.168.2.1/24IP:192.168.3.1/24IP:192.168.1.1/24基本ACL的配置（2）案例配置過程①配置路由器R1。首先，我們在路由器R1的系統(tǒng)視圖下，創(chuàng)建一個編號為2000的基本ACL。[R1]acl2000[R1-acl-basic-2000]基本ACL的配置（2）案例配置過程②然后，在ACL2000的視圖下創(chuàng)建如下的規(guī)則。[R1-acl-basic-2000]ruledenysource192.168.2.10.0.0.0[R1-acl-basic-2000]基本ACL的配置（2）案例配置過程③最后，使用報文過濾技術(shù)中的traffic-filter命令將ACL2000應(yīng)用在路由器R1的GE0/0/3接口的出方向上。[R1-acl-basic-2000]quit[R1]interfacegigabitethernet0/0/3[R1-GigabitEthernet0/0/3]traffic-filteroutboundacl2000[R1-GigabitEthernet0/0/3]基本ACL配置實例2、案例

基本ACL配置實例（1）案例背景與要求：Jan16公司有網(wǎng)管辦公區(qū)、市場部辦公區(qū)、項目部辦公區(qū)、財務(wù)部辦公區(qū)和服務(wù)器區(qū)。出于網(wǎng)絡(luò)安全方面的考慮，我們希望只有網(wǎng)管辦公區(qū)的PC1才能通過Telnet方式登錄到路由器R1上，其他區(qū)域的PC都不能通過Telnet方式登錄到路由器R1。公司基礎(chǔ)網(wǎng)絡(luò)拓?fù)淙鐖D所示。基本ACL配置實例GE0/0/3公司服務(wù)器區(qū)192.168.2.0/24財務(wù)部辦公區(qū)192.168.3.0/24R1項目部辦公區(qū)192.168.1.0/24GE0/0/1網(wǎng)管辦公區(qū)192.168.4.0/24PC1IP：192.168.4.1/24GE0/0/4文件服務(wù)器............市場部辦公區(qū)192.168.5.0/24......GE0/0/2GE0/0/5R1各接口IP均為X。254/24基本ACL配置實例（2）案例配置思路①在路由器R1上創(chuàng)建基本ACL。②在制定基本ACL規(guī)則。③在路由器的VTY（VirtualTypeTerminal）上應(yīng)用所配置的基本ACL?；続CL配置實例（3）案例配置過程①在路由器R1上創(chuàng)建ACL。<Router>system-view[R1]acl2000[R1-acl-basic-2000]基本ACL配置實例（3）案例配置過程②配置路由器R1的允許規(guī)則和拒絕規(guī)則。[R1-acl-basic-2000]rulepermitsource192.168.4.10[R1-acl-basic-2000]ruledenysourceany基本ACL配置實例（3）案例配置過程③制定完路由器R1的允許規(guī)則和拒絕規(guī)則之后，我們可以使用displayacl2000命令來查看ACL2000的配置信息。[R1-acl-basic-2000]quit[R1]quit<R1>displayacl2000BasicACL2000,2rulesACL'sstepis5rule5permitsource192.168.4.10(0timesmatched)rule10deny(0timesmatched)基本ACL配置實例（3）案例配置過程④在路由器R1的VTY上應(yīng)用ACL。<R1>system-view[R1]user-interfacevty04[R1-ui-vty0-4]acl2000inbound基本ACL配置實例（4）案例驗證①在PC1上驗證Telnet功能。<PC>telnet192.168.4.254Trying192.168.4.254...PressCTRL+KtoabortConnectedto192.168.4.254...Info：ThemaxnumberofVTYusersis10,andthenumberofcurrentVTYusersonlineis1Thecurrentlogintimeis2020-01-2209:08:00基本ACL配置實例（4）案例驗證②在路由器上重新查看ACL2000的配置信息。<R1>displayacl2000BasicACL2000，2rulesACL'sstepis5rule5permitsource192.168.4.10(1timesmatched)rule10deny(0timesmatched)基本ACL配置實例（4）案例驗證③在市場部PC上驗證Telnet功能。<PC>telnet192.168.2.254Trying192.168.2.254...PressCTRL+KtoabortError:Failed