2022年計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)-ACL原理與配置

目錄(Content)

?ACL原理與配置

?ACL概述

-ACL工作原理

-ACL配置及應(yīng)用

儲堂

2?summe

技術(shù)背景：需要一個工具，實(shí)現(xiàn)流量過濾

某公司為保證財務(wù)數(shù)據(jù)安全，禁止研發(fā)部門訪問財務(wù)服務(wù)器，但總裁辦公室不受限制。

3?summe佛堂

ACL概述

,ACL是由一系列permit或deny語句組成的、有序規(guī)則的列表。

?ACL是一個匹配工具，能夠?qū)笪倪M(jìn)行匹配和區(qū)分。

?匹配IP流量

源IP地址

,在中被調(diào)用

目的IP地址Traffic-filter

議類型目的端口

,在NAT(NetworkAddressTranslation)中

被調(diào)用

IPHeaderTCP/UDPHeaderData

?在路由策略中被調(diào)用

?在防火墻的策略部署中被調(diào)用

口?在QoS中被調(diào)用

?其他……

4?summe佛堂

目錄(Content)

?華為配置

?ACL概述

-ACL工作原理

■ACL配置及應(yīng)用

?summed^

5

?M，」：?ACL的分類ACL的匹配規(guī)則

ACL的晶

,ACL由若干條permit或deny語句組成。每條語句就是該ACL的一條規(guī)則，每條語句中的permit或

deny就是與這條規(guī)則相對應(yīng)的處理動作。

訪問控制列表的編號每條規(guī)則都是什么意思?

aclnumber2000

6?summe佛堂

EIZZL>ACL的分類ACL的匹配規(guī)則

規(guī)則編號

aclnumber2000

規(guī)則編號

?IMW(RulelD)：

rule;5denysource10.1.1.10

TACL中的年等規(guī)則都有T相應(yīng)的編號。

rule\10|denysource10.1.1.20

,步長（

rule-15；permitsource10.1.1.00.0.0.255Step）:

步長是系統(tǒng)自動為ACL規(guī)則分酉嗡號時，每個相鄰規(guī)則

步長=5

編號之間的差值，缺省值為5。步長的作用是為了方便

后續(xù)在舊規(guī)則之間，插入新的規(guī)則。

國如果希望增加1條規(guī)則，該如何處理?

?RuleIDJDEM：

rule11denysource10.1.1.30系統(tǒng)為ACL中首條未手工指定編號的規(guī)則分配編號時，

使用步長值（例如步長=5,首條規(guī)則編號為5）作為該

aclnumber2000規(guī)則的起始編號；為后續(xù)規(guī)則分酉斷號時，則使用大

rule5denysource10.1.1.10于當(dāng)前AC吶最大規(guī)則編號且是步長整數(shù)倍的最小整數(shù)

rule10denysource10.1.1.20作為規(guī)則編號。

i

!rule11denysource10.1.1.30

rule15permitsource10.1.1.00.0.0.255

7?summe佛堂

通配符（1）

aclnumber2000通配符

?通配符是一個32比特長度的數(shù)值，用于指示IP地址中，

rule5denysource10.1.1.1;0哪些比特位需要嚴(yán)格淳己，哪些比特位無需匹配。

rule10denysource10.1.1.2!0?通配符通常采用類似網(wǎng)絡(luò)掩碼的點(diǎn)分十進(jìn)制形式表示,

rule15permitsource10.1.1,0[0.0.0.255但是含義卻與網(wǎng)絡(luò)掩碼完全不同。

?匹配規(guī)則：

"0"表示“匹配”；"1"表示"隨機(jī)分配”

國如何匹配192.168.1.1/24對應(yīng)網(wǎng)段的地址？

192.168.1.111000000101010000000000

0.0.0.25500000000000000000000000

嚴(yán)格匹配

8?summe佛堂

EIZZL>ACL的分類ACL的匹配規(guī)則

通配符（2）

?匹酉己192.168.1.0/24這個子網(wǎng)中的奇數(shù)IP地址，例如192.168.1.1、192.168.1.3、192.168.1.5等。

嚴(yán)格匹配隨機(jī)分配嚴(yán)格匹配

192.168.1I192.168.1.10.0.0.254

192.168.1

192.168.1通配符中的1或者?？梢圆贿B續(xù)

192.168.1Q

192.168.1

192.168.1?精確匹配192.168.1.1這個IP地址

192.168.1.10.0.0.0=192.168.1.10

?匹配所有IP地址

&0.0.0.0255.255.255=any

9?summe佛堂

ACL的組成細(xì)區(qū)二＞ACL的匹配規(guī)則

ACL分類

?基于ACL規(guī)則定義方式的分類

緘

基本ACL2000?2999僅使用報文的源?p地址、分片信息和生效時間段信息來定義規(guī)則。

可使用IPv4報文的源IP地址、目的IP地址、IP協(xié)議類型、ICMP類型、TCP源/目的端口號、UDP源/目

高級ACL3000?3999

的端口號、生效時間段等來定義規(guī)則。

二層ACL4000?4999使用報文的以太網(wǎng)幀頭信息來定義規(guī)則，如根據(jù)源MAC地址、目的MAC地址、二層協(xié)議類型等。

用戶自定義ACL5000?5999使用報文頭、偏移位置、字符串掩碼和用戶自定義字符串來定義規(guī)則。

既可使用IPv4報文的源IP地址或源UCL(UserControlList)組，也可使用目的IP地址或目的UCL組、

用戶ACL6000?6999

IP協(xié)議類型、ICMP類型、TCP源端口/目的端口、UDP源端口/目的端口號等來定義規(guī)則。

?基于ACL標(biāo)識方法的分類

數(shù)字型

ACL傳統(tǒng)的ACL標(biāo)識方法。創(chuàng)建ACL時，指定一個唯一的數(shù)字標(biāo)識該ACL。

命名型

ACL通過名稱代替編號來標(biāo)識ACL。

10?summe佛堂

ACL的組成細(xì)區(qū)二＞ACL的匹配規(guī)則

基本ACL和高級ACL

?基本ACL源IP地址

編號范圍:IPHeaderTCP/UDPHeaderData

2000-2999

aclnumber2000

rule5denysource10.1.1.10

rule10denysource10.1.1.20

rule15permitsource10.1.1.00.0.0.255

源地址目的源端口

?高級ACLIPIP

地址協(xié)議類型目的端口

編號范圍:IPHeaderTCP/UDPHeaderData

3000-3999

aclnumber3000

rule5permitipsource10.1.1.00.0.0.255destination10.1.3.00.0.0.255

rule10permittcpsource10.1.2.00.0.0.255destination10.1.3.00.0.0.255destination-porteq21

ii?summe佛堂

ACL的組成ACL的分類

ACL的匹配機(jī)制

結(jié)束

12?summe佛堂

ACL的組成ACL的分類

ACL的匹配JII好及匹配結(jié)果

?配置順序（config模式）

。系統(tǒng)按照ACL規(guī)則編號從小到大的順序進(jìn)行報文匹配，規(guī)則編號越小越容易被匹配。

192.168.1.1/24acl2000

192.168.1.1/24

192.168.1.2/24rule1permitsource192.168.1.10.0.0.0

192.168.1.2/24

192.168.1.3/24rule2permitsource192.168.1.20.0.0.0

192.168.1.4/24

192.168.1.4/24rule3denysource192.168.1.30.0.0.0

192.168.1.5/24

192.168.1.5/24rule4permit0.0.0.0255.255.255.255

待匹配對象基本ACL被匹配為“允許”的IP

rulel：允許源IP地址為192.168.1.1的報文

rule2：允許源IP地址為192.168.1.2的報文

rule3：才國色源IP地址為192.168.1.3的報文

“允許”是指允許流量通過嗎？

rule4：允許其他所有IP地址的報文

13?summe佛堂

ACL的組成ACL的分類■乜1：二r

ACL的應(yīng)用位M

數(shù)據(jù)報文

在此接口上部署ACL在此接口上部署ACL

對如圖所示的數(shù)量流量生效，對如圖所示的數(shù)量流量生效，

需應(yīng)用在inbound（入站）方向需應(yīng)用在。utbound（出站）方向

14?summe佛堂

ACL的組成ACL的分類war

占(Inbound)及出站(Outbound)方向

Outbound

數(shù)據(jù)報文

I

15?summe佛堂

目錄(Content)

?華為配置

?ACL概述

-ACL工作原理

?ACL配置及應(yīng)用

?summe儲堂

16

ACL基礎(chǔ)配置命令

1.創(chuàng)建基本ACL

[Huawei]acl[number]acl-number[match-orderconfig]

使用編號(2000~2999)創(chuàng)建一個數(shù)字型的基本ACL,并進(jìn)入基本ACL視圖。

[Huawei]aclnameacl-name{basic|acl-number}[match-orderconfig]

使用名稱創(chuàng)建一個命名型的基本ACL,并進(jìn)入基本ACL視圖。

2.配置基本ACL的規(guī)則

[Huawei-acl-basic-2000]rule[rule-id]{deny|permit}[source{source-addresssource-wildcard\any}|time-rangetime-

name]

在基本ACL視圖下，通過此命令來配置基本ACL的規(guī)則。

17?summe佛堂

基礎(chǔ)案例：使用基本ACL過濾婁好居流量

1、Router已完成IP地址和路由的相關(guān)配置

2、在Router上創(chuàng)建基本ACL,禁止192.168.1.0/24網(wǎng)段訪問服

務(wù)器網(wǎng)絡(luò)：

[Router]acl2000

[Router-acl-basic-2000]ruledenysource192.168.1.00.0.0.255

[Router-acl-basic-2000]rulepermitsourceany

192.168.2.0/24

3、由于從接DGEO/O/l進(jìn)入Router,所以在接DGEO/O/l的入

?配置需求：方向配置流量過濾：

在Router上部署基本ACL后，ACL將試圖穿越Router的

[Router]interfaceGigabitEthernet0/0/1

源地址為192.168.L0/24網(wǎng)段的數(shù)據(jù)包過濾掉，并放

[Router-GigabitEthernetO/O/1]traffic-filterinboundacl2000

行其他流量，從而禁止192.168.1.0/24網(wǎng)段的用戶訪

[Router-GigabitEthernetO/O/1]quit

問Router右側(cè)的服務(wù)器網(wǎng)絡(luò)。

18?summe佛堂

高級ACL命令（1）

1.創(chuàng)建高級ACL

[Huawei]acl[number]acl-number[match-orderconfig]

使用編號(3000-3999)創(chuàng)建一個數(shù)字型的高級ACL,并進(jìn)入高級ACL視圖。

[Huawei]aclnameacl-name{advance|acl-number}[match-orderconfig]

使用名稱創(chuàng)建一個命名型的高級ACL,進(jìn)入高級ACL視圖。

19?summe佛堂

高級ACL命令（2）

2.配置基本ACL的規(guī)則

根據(jù)IP承載的協(xié)議類型不同，在設(shè)備上配置不同的高級ACL規(guī)則。對于不同的協(xié)議類型，有不同的參數(shù)組合。

。當(dāng)參數(shù)protocol為IP時，高級ACL的命令格式為

rule[rule-id]{deny|permit}ip[destination{destination-addressdestination-wildcard\any}|source{source-addresssource-wildcard\

any}|time-rangetime-name\[dscpdscp|[tostos\precedenceprecedence]]]

在高級ACL視圖下，通過此命令來配置高級ACL的規(guī)則。

。當(dāng)參數(shù)protocol為TCP時，高級ACL的命令格式為

rule[rule-id]{deny|permit}{protocol-number\tcp}[destination{destination-addressdestination-wildcard\any}|destination-port

{eqport|gtport|Itport|rangeport-startport-end}|source{source-addresssource-wildcard\any}|source-port{eqport|gtport|It

port|rangeport-startport-end}|tcp-flag{ack|fin|syn}*|time-rangetime-name]*

在高級ACL視圖下，通過此命令來配置高級ACL的規(guī)則。

20?summe佛堂

進(jìn)階案例：使用高級ACL限制不同網(wǎng)段的用戶互訪Q)

1、Router已完成IP地址和路由的相關(guān)配置。

2、創(chuàng)建高級ACL3001并配置ACL規(guī)則，拒絕研發(fā)部訪問市場部

的報文：

[Router]acl3001

[Router-acl-adv-3001]ruledenyipsource10.1.1.00.0.0.255

destination10.1.2.00.0.0.255

市場部門

10.1.2.0/24[Router-acl-adv-3001]quit

配置需求:

3、創(chuàng)建高級ACL3002并配置ACL規(guī)則，拒絕市場部訪問研發(fā)部

?某公司通過Router實(shí)現(xiàn)各部門之間的互連。為方便

的報文：

管理網(wǎng)絡(luò)，管理員為公司的研發(fā)部和市場部規(guī)劃了

兩個網(wǎng)段的IP地址。[Router]acl3002

?現(xiàn)要求Router能夠限制兩個網(wǎng)段之間互訪，防止公[Router-acl-adv-3002]ruledenyipsource10.1.2.00.0.0.255

司機(jī)密泄露。destination10.1.1.00.0.0.255

[Router-acl-adv-3002]quit

21?summe佛堂

進(jìn)階案例：使用高級ACL限制不同網(wǎng)段的用戶互訪⑵

4、由于研發(fā)部和市場部互訪的流量分別從接DGEO/O/l和

GE0/0/2進(jìn)入Router,所以在接口6￡0/0/1和GE0/0/2的入方向

配置流量過濾：

[Router]interfaceGigabitEthernet0/0/1

[Router-GigabitEthernetO/O/1]traffic-filterinboundacl3001

[Router-GigabitEthernetO/O/1]quit

市場部門

10.1.2