中職教育二年級上學(xué)期電子與信息《ACL的原理與配置》教學(xué)課件

訪問控制列表-ACL技術(shù)交通有序目錄ACL基本原理1基本ACL和高級ACL2ACL基本概念介紹ACL基本概念訪問控制列表ACL（AccessControlList）是由一系列規(guī)則組成的集合，ACL通過這些規(guī)則對報(bào)文進(jìn)行分類，從而使設(shè)備可以對不同類報(bào)文進(jìn)行不同的處理。一個ACL通常由若干條“deny｜permit”語句組成，每條語句就是該ACL的一條規(guī)則，每條語句中的“deny｜permit”就是與這條規(guī)則相對應(yīng)的處理動作。處理動作“permit”的含義是“允許”處理動作“deny”的含義是“拒絕”ACL是一種應(yīng)用非常廣泛的網(wǎng)絡(luò)安全技術(shù)，配置ACL網(wǎng)絡(luò)設(shè)備的工作過程可分為以下兩個步驟：根據(jù)事先設(shè)定好的報(bào)文匹配規(guī)則對經(jīng)過該設(shè)備的報(bào)文進(jìn)行匹配；對匹配的報(bào)文執(zhí)行事先設(shè)定好的處理動作。ACL規(guī)則ACL規(guī)則匹配ACL規(guī)則匹配（1）配置了ACL的設(shè)備在接收到一個報(bào)文之后，會將該報(bào)文與ACL中的規(guī)則逐條進(jìn)行匹配；（2）如果不能匹配上當(dāng)前這條規(guī)則，則會繼續(xù)嘗試去匹配下一條規(guī)則；（3）一旦報(bào)文匹配上了某條規(guī)則，則會對該報(bào)文執(zhí)行這條規(guī)則中定義的處理動作（permit或deny），并且不再繼續(xù)嘗試與后續(xù)規(guī)則進(jìn)行匹配；（4）如果報(bào)文不能匹配上ACL的任何一條規(guī)則，則設(shè)備會對該報(bào)文執(zhí)行“permit”這個處理動作。ACL的匹配順序華為設(shè)備支持以下兩種匹配順序。（1）匹配順序按照用戶配置ACL規(guī)則的先后序列進(jìn)行匹配，先配置的規(guī)則先匹配。根據(jù)ACL中語句的順序，把數(shù)據(jù)包和判斷條件進(jìn)行比較。一旦匹配，就采用語句中的動作并結(jié)束比較過程，不再檢查以后的其他條件判斷語句。如果沒有任何語句匹配，數(shù)據(jù)包將被放行。（2）自動排序（auto）使用“深度優(yōu)先”的原則進(jìn)行匹配?！吧疃葍?yōu)先”根據(jù)ACL規(guī)則的精確度排序，如果匹配條件（如協(xié)議類型、源和目的IP地址范圍等）限制越嚴(yán)格，規(guī)則就越先匹配?；綢Pv4的ACL的“深度優(yōu)先”順序判斷原則及步驟如下：①判斷規(guī)則中是否帶VPN實(shí)例，帶VPN實(shí)例的規(guī)則優(yōu)先。②比較源IP地址范圍例如，“

”指定了一個IP地址，而“55”指定了一個網(wǎng)段~55。因前者指定的地址范圍比后者小，所以在規(guī)則中優(yōu)先。，源IP地址范圍?。赐ㄅ浞诖a中“0”位的數(shù)量多）的規(guī)則優(yōu)先。③如果源IP地址范圍相同，則規(guī)則ID(rule-id)小的規(guī)則優(yōu)先。ACL分類根據(jù)ACL所具備的特性不同，可將ACL分成不同類型，如：基本ACL高級ACL二層ACL用戶自定義ACL其中應(yīng)用最廣泛的是基本ACL和高級ACL。各種類型ACL區(qū)別，如表所示。ACL類型編號范圍規(guī)則制訂的主要依據(jù)基本ACL2000～2999報(bào)文源IP地址等信息。高級ACL3000～3999報(bào)文源IP地址、目的IP地址、報(bào)文優(yōu)先級、IP承載的協(xié)議類型及特性等三、四層信息。二層ACL4000～4999報(bào)文的源MAC地址、目的MAC地址、802.1p優(yōu)先級、鏈路層協(xié)議類型等二層信息用戶自定義ACL5000～5999用戶自定義報(bào)文的偏移位置和偏移量、從報(bào)文中提取出相關(guān)內(nèi)容等信息基本ACL命令格式基本ACL命令格式基本ACL只能基于IP報(bào)文的源IP地址、報(bào)文分片標(biāo)記和時間段信息來定義規(guī)則。配置基本ACL規(guī)則命令具有如下結(jié)構(gòu)：rule[rule-id]{permit|deny}[source{source-addresssource-wildcard｜any}fragment|logging|time-range

time-name]案例6-1基本ACL配置案例背景與要求：某公司網(wǎng)絡(luò)含外來人員辦公區(qū)、項(xiàng)目部辦工區(qū)和財(cái)務(wù)部辦公區(qū)。在外來人員辦公區(qū)中，有一臺專供外來人員使用的計(jì)算機(jī)PC2，IP地址為/24。出于網(wǎng)絡(luò)安全考慮，需禁止財(cái)務(wù)部辦公區(qū)接收PC2發(fā)送的IP報(bào)文A。為滿足此需求，可在路由器R1上配置基本ACL?；続CL可根據(jù)源IP地址信息識別PC2發(fā)送的IP報(bào)文A，在GE0/0/3接口的出方向（Outbound方向）上拒絕放行IP報(bào)文A。案例配置過程配置路由器R1[R1]acl2000//創(chuàng)建一個編號為2000的基本ACL[R1-acl-basic-2000]ruledenysource//在ACL2000視圖下創(chuàng)建如下的規(guī)則[R1-acl-basic-2000]quit[R1]interfacegigabitethernet0/0/3[R1-GigabitEthernet0/0/3]traffic-filteroutboundacl2000//使用報(bào)文過濾技術(shù)中traffic-filter命令將ACL2000應(yīng)用在路由器R1的GE0/0/3接口出方向高級ACL命令格式高級ACL命令格式高級ACL可以根據(jù)IP報(bào)文的源IP地址、目的IP地址、協(xié)議字段值、優(yōu)先級值、長度值，TCP報(bào)文的源端口號、目的端口號，UDP報(bào)文的源端口號、目的端口號等信息來定義規(guī)則?；続CL功能只是高級ACL功能的一個子集，高級ACL可比基本ACL定義出更精準(zhǔn)、更復(fù)雜、更靈活的。針對所有IP報(bào)文簡化配置命令格式如下：rule[rule-id]{permit|deny}ip[destination{destination-address

destination-wildcard|any}][source{source-address

source-wildcard|any}]案例6-2高級ACL的配置案例背景與要求：本配置示例網(wǎng)絡(luò)結(jié)構(gòu)與基本ACL網(wǎng)絡(luò)結(jié)構(gòu)基本一樣，不同的是，要求PC2無法接收來自財(cái)務(wù)部辦公區(qū)的IP報(bào)文B。此情況下，可在路由器R1上配置高級ACL。高級ACL可根據(jù)目的IP地址信息識別去往目的地為外來人員辦公區(qū)的IP報(bào)文B，然后在GE0/0/3接口入方向（Inbound方向）上拒絕放行IP報(bào)文B。案例配置過程配置路由器R1[R1]acl3000//創(chuàng)建一個編號為3000的高級ACL[R1-acl-adv-3000]ruledenyipdestination

//在ACL3000視圖下創(chuàng)建如下的規(guī)則[R1-acl-adv-3000]quit[R1]interfacegigabitethernet0/0/3[R1-GigabitEthernet0/0/3]traffic-filterinboundacl3000//使用報(bào)文過濾技術(shù)中traffic-filter命令將ACL3000應(yīng)用在路由器R1的GE0/0/3接口入方向案例6-3：基本ACL配置實(shí)例案例背景與要求：Jan16公司有網(wǎng)管辦公區(qū)、市場部辦公區(qū)、項(xiàng)目部辦公區(qū)、財(cái)務(wù)部辦公區(qū)和服務(wù)器區(qū)。出于網(wǎng)絡(luò)安全考慮，希望只有網(wǎng)管辦公區(qū)PC1才能通過Telnet方式登錄到路由器R1上，其他區(qū)域PC不能通過Telnet方式登錄到路由器R1。案例6-3：基本ACL配置實(shí)例案例6-2基本ACL的配置案例配置過程配置路由器R1可使用displayacl2000命令來查看ACL2000匹配信息<R1>system-view[R1]acl2000//創(chuàng)建一個編號為2000的基本ACL[R1-acl-basic-2000]rulepermitsource0

//配置允許規(guī)則[R1-acl-basic-2000]ruledenysourceany//配置拒絕規(guī)則[R1-acl-basic-2000]quit[R1]user-interfacevty04[R1-ui-vty0-4]acl2000inbound

//在VTY接口上應(yīng)用ACL2000<R1>displayacl2000BasicACL2000,2rulesACL'sstepis5rule5permitsource0(0timesmatched)rule10deny(0timesmatched)案例驗(yàn)證在R2上驗(yàn)證Telnet功能重新查看ACL2000匹配信息<R2>telnet54Trying54...PressCTRL+KtoabortConnectedto54...LoginauthenticationPassword:<R1><R1>disacl2000BasicACL2000,2rulesAcl'sstepis5

rule5permitsource0(5matches)

rule10deny案例6-4高級ACL配置示例案例背景與要求：如下圖所示，在路由器R1和R2上配置OSPF協(xié)議實(shí)現(xiàn)網(wǎng)絡(luò)通信，在路由器R2上配置高級ACL，以滿足如下要求：允許主機(jī)PC1訪問路由器R2的TELNET服務(wù)允許主機(jī)PC2訪問路由器R2的的FTP服務(wù)案例6-4高級ACL配置示例案例配置思路配置路由器R1和R2接口IP、OSPF協(xié)議等，實(shí)現(xiàn)全網(wǎng)通信（此處不做相關(guān)配置介紹）；在路由器R2上創(chuàng)建高級ACL服務(wù)；在路由器R2的GE0/0/0接口入方向和VTY（VirtualTypeTerminal）上應(yīng)用所配置的高級ACL服務(wù)。案例配置過程配置路由器R2<R2>system-view[R2]acl3000//創(chuàng)建高級ACL及其規(guī)則[R2-acl-adv-3000]rule5permittcpsource55destination55destination-porteq23[R2-acl-adv-3000]rule10permittcpsource55destination0.0.0.255destination-portrange2021[R2-acl-adv-3000]rule15denyip[R2-acl-adv-3000]quit[R2]interfaceGigabitEthernet0/0/0[R2-GigabitEthernet0/0/0]traffic-filterinboundacl3000

//在GE0/0/0接口應(yīng)用ACL3000[R2]user-interfacevty04[R2-ui-vty0-4]acl3000inbound

//在VTY接口應(yīng)用ACL3000案例驗(yàn)證使用displayacl3000命令來查看ACL3000匹配信息。在主機(jī)PC1上使用Telnet方式登錄路由器，發(fā)現(xiàn)可以正常登錄。[R2-acl-adv-3000]displayacl3000AdvancedACL3000,3rulesAcl'sstepis5rule5permittcpsource0destination0destination-porteqtelnetrule10permittcpsource0destination55destination-portrange