第十四章 訪問控制列表ACL

第十四章訪問控制列表ACL《路由交換技術(shù)及應(yīng)用》第4版“十四五”職業(yè)教育國家規(guī)劃教材主編：孫秀英ACL原理與配置ACL原理與配置概念A(yù)ccessControlList訪問控制列表ACL可以定義一系列不同的規(guī)則，設(shè)備根據(jù)這些規(guī)則對數(shù)據(jù)包進(jìn)行分類，并針對不同類型的報(bào)文進(jìn)行不同的處理，從而可以實(shí)現(xiàn)對網(wǎng)絡(luò)訪問行為的控制、限制網(wǎng)絡(luò)流量、提高網(wǎng)絡(luò)性能、防止網(wǎng)絡(luò)攻擊等等?！堵酚山粨Q技術(shù)及應(yīng)用》第4版“十四五”職業(yè)教育國家規(guī)劃教材ACL原理與配置ACL應(yīng)用場景ACL可以通過定義規(guī)則來允許或拒絕流量的通過。服務(wù)器AG0/0/0G0/0/1192.168.1.0/24.1.1.2.2192.168.2.0/24RTASWA主機(jī)A主機(jī)B主機(jī)C主機(jī)D《路由交換技術(shù)及應(yīng)用》第4版“十四五”職業(yè)教育國家規(guī)劃教材ACL原理與配置ACL應(yīng)用場景ACL可以根據(jù)需求來定義過濾的條件以及匹配條件后所執(zhí)行的動(dòng)作G0/0/0數(shù)據(jù)未匹配數(shù)據(jù)數(shù)據(jù)加密后數(shù)據(jù)匹配192.168.1.0/24.1.1.2.2192.168.2.0/24SWA主機(jī)A主機(jī)B主機(jī)C主機(jī)DRTA《路由交換技術(shù)及應(yīng)用》第4版“十四五”職業(yè)教育國家規(guī)劃教材ACL原理與配置ACL工作過程ACL可應(yīng)用于接口，對每個(gè)接口，有兩個(gè)方向。方向---

IN：進(jìn)入接口OUT：外出接口當(dāng)訪問控制列表被用于檢測從接口輸入的數(shù)據(jù)包時(shí)，包在進(jìn)入路由器之前要經(jīng)過訪問控制列表的處理。當(dāng)訪問控制列表被用于檢測從接口輸出的數(shù)據(jù)包，包在從該路由器端口輸出之前要經(jīng)過訪問控制列表的處理?！堵酚山粨Q技術(shù)及應(yīng)用》第4版“十四五”職業(yè)教育國家規(guī)劃教材ACL原理與配置ACL工作過程否是丟棄處理選擇出接口

否ACL?路由表?數(shù)據(jù)包出接口數(shù)據(jù)包入接口《路由交換技術(shù)及應(yīng)用》第4版“十四五”職業(yè)教育國家規(guī)劃教材ACL原理與配置ACL工作過程否是丟棄處理選擇出接口

否ACL?路由表?數(shù)據(jù)包出接口數(shù)據(jù)包入接口是ACL匹配控制允許?是否ACL的工作流程《路由交換技術(shù)及應(yīng)用》第4版“十四五”職業(yè)教育國家規(guī)劃教材ACL原理與配置ACL工作過程ACL內(nèi)部處理具體過程：丟棄處理是目的接口拒絕是匹配第一條規(guī)則?允許ACL規(guī)則內(nèi)部處理過程《路由交換技術(shù)及應(yīng)用》第4版“十四五”職業(yè)教育國家規(guī)劃教材ACL原理與配置ACL工作過程ACL內(nèi)部處理具體過程：丟棄處理是目的接口拒絕是匹配第一條規(guī)則?允許否是拒絕允許下一條?是ACL規(guī)則內(nèi)部處理過程《路由交換技術(shù)及應(yīng)用》第4版“十四五”職業(yè)教育國家規(guī)劃教材ACL原理與配置ACL內(nèi)部處理具體過程：丟棄處理是目的接口拒絕是匹配第一條規(guī)則?允許否是拒絕允許下一條?是匹配最后一條?否是是拒絕允許ACL規(guī)則內(nèi)部處理過程《路由交換技術(shù)及應(yīng)用》第4版“十四五”職業(yè)教育國家規(guī)劃教材ACL原理與配置ACL內(nèi)部處理具體過程：丟棄處理是目的接口缺省拒絕是匹配第一條規(guī)則?允許否是拒絕允許下一條?是匹配最后一條?否是是拒絕允許**說明：當(dāng)ACL的最后一條不匹配時(shí)，一般系統(tǒng)使用系統(tǒng)使用缺省過濾方式來進(jìn)行處理！否找到一個(gè)匹配后既執(zhí)行相應(yīng)的操作，然后跳出ACL而不會(huì)繼續(xù)匹配下面的語句《路由交換技術(shù)及應(yīng)用》第4版“十四五”職業(yè)教育國家規(guī)劃教材ACL原理與配置InternetG0/0/0規(guī)則1：拒絕源地址為40.1.1.1的數(shù)據(jù)包通過規(guī)則2：允許目的地址位20.1.1.1的數(shù)據(jù)包通過源：30.1.1.1目的：20.1.1.1源：40.1.1.1目的：70.1.1.1源：60.1.1.1目的：50.1.1.1RA《路由交換技術(shù)及應(yīng)用》第4版“十四五”職業(yè)教育國家規(guī)劃教材ACL原理與配置分類編號范圍參數(shù)基本ACL2000-2999源IP地址等高級ACL3000-3999源IP地址、目的IP地址、

源端口、目的端口、協(xié)議類型等ACL分類《路由交換技術(shù)及應(yīng)用》第4版“十四五”職業(yè)教育國家規(guī)劃教材ACL原理與配置目的IP地址源IP地址協(xié)議號目的端口段(如TCP報(bào)頭)數(shù)據(jù)數(shù)據(jù)包(IP報(bào)頭)幀報(bào)頭(如HDLC)

使用ACL檢測數(shù)據(jù)包拒絕允許源端口ACL分類《路由交換技術(shù)及應(yīng)用》第4版“十四五”職業(yè)教育國家規(guī)劃教材ACL原理與配置ACL規(guī)則每個(gè)ACL可以包含多個(gè)規(guī)則，RTA根據(jù)規(guī)則來對數(shù)據(jù)流量進(jìn)行過濾。如果未匹配如果未匹配172.16.0.0/24172.17.0.0/24RTARTBrule15denysource172.16.0.00.0.0.255rule10denysource192.168.2.00.0.0.255acl2000rule5denysource192.168.1.00.0.0.255《路由交換技術(shù)及應(yīng)用》第4版“十四五”職業(yè)教育國家規(guī)劃教材ACL原理與配置ACL規(guī)則ACL是多條規(guī)則的集合，在將一個(gè)數(shù)據(jù)包和訪問控制列表的規(guī)則進(jìn)行匹配的時(shí)候，由規(guī)則的匹配順序決定規(guī)則的優(yōu)先級。華為設(shè)備支持兩種匹配順序：配置順序(config)

按照用戶配置ACL規(guī)則的先后進(jìn)行匹配，先配置的規(guī)則先匹配。此為缺省配置。自動(dòng)排序（auto）

使用“深度優(yōu)先”的原則進(jìn)行匹配。“深度優(yōu)先”根據(jù)ACL規(guī)則的精確度排序，如果匹配條件（如協(xié)議類型、源和目的IP地址范圍等）限制越嚴(yán)格，規(guī)則就越先匹配?！堵酚山粨Q技術(shù)及應(yīng)用》第4版“十四五”職業(yè)教育國家規(guī)劃教材ACL原理與配置ACL中的通配符通配符：路由器使用通配符掩碼與原地址或者是目標(biāo)地址一起來分辨匹配的地址范圍將通配符中設(shè)置為1的表示本位可以忽略ip地址中的對應(yīng)位；設(shè)置成0的表示必須精確的匹配ip地址中的對應(yīng)位?！堵酚山粨Q技術(shù)及應(yīng)用》第4版“十四五”職業(yè)教育國家規(guī)劃教材ACL原理與配置ACL中的通配符忽略所有比特位=00111111XXXXXXXX=00000000=00001111=11111100=11111111忽略最后六個(gè)比特位匹配所有比特位忽略最后四個(gè)比特位匹配最后兩個(gè)比特位例子《路由交換技術(shù)及應(yīng)用》第4版“十四五”職業(yè)教育國家規(guī)劃教材ACL原理與配置ACL中的通配符匹配條件:匹配所有32位地址----主機(jī)地址172.30.16.29

0.0.0.0(匹配所有32位)通配符:匹配特定主機(jī)地址

？《路由交換技術(shù)及應(yīng)用》第4版“十四五”職業(yè)教育國家規(guī)劃教材ACL原理與配置ACL中的通配符0.0.0.0255.255.255.255意為接受所有地址可簡寫為any匹配條件:匹配任意地址（任意地址都被認(rèn)為符合條件）0.0.0.0 255.255.255.255(忽略所有位的比較)AnyIPaddress通配符:

?《路由交換技術(shù)及應(yīng)用》第4版“十四五”職業(yè)教育國家規(guī)劃教材ACL原理與配置ACL中的通配符匹配特定地址范圍172.30.16.0/24通配符：0.0.0.255匹配特定子網(wǎng)

？《路由交換技術(shù)及應(yīng)用》第4版“十四五”職業(yè)教育國家規(guī)劃教材ACL原理與配置ACL中的通配符IP地址為192.168.1.0，通配符為0.0.0.255，匹配的地址有哪些呢？0.0.0.25500000000000000000000000011111111192.168.1.0192.168.1.0-255《路由交換技術(shù)及應(yīng)用》第4版“十四五”職業(yè)教育國家規(guī)劃教材ACL原理與配置ACL中的通配符路由1.1.1.1/321.1.1.0/241.1.0.0/161.0.0.0/8路由1.1.1.1/321.1.1.0/241.1.0.0/16aclnumber2001rule0permitsource1.1.0.00.0.255.255《路由交換技術(shù)及應(yīng)用》第4版“十四五”職業(yè)教育國家規(guī)劃教材ACL原理與配置ACL中的通配符路由1.1.1.1/321.1.1.0/241.1.0.0/161.0.0.0/8路由1.1.0.0/16aclnumber2001rule0permitsource1.1.0.00.0.0.0《路由交換技術(shù)及應(yīng)用》第4版“十四五”職業(yè)教育國家規(guī)劃教材ACL原理與配置ACL中的通配符路由1.1.1.1/321.1.1.0/241.1.0.0/161.0.0.0/8aclnumber2001rule0permitsource1.1.1.10.0.0.0rule1denysource1.1.1.00.0.0.0rule2permitsource1.1.0.00.0.255.0rule3denyany路由1.1.1.1/321.1.0.0/16《路由交換技術(shù)及應(yīng)用》第4版“十四五”職業(yè)教育國家規(guī)劃教材ACL原理與配置ACL配置—?jiǎng)?chuàng)建ACL[Quidway]aclnumberacl-number[match-order{config|auto}]config：匹配規(guī)則時(shí)按用戶的配置順序。//缺省值auto：匹配規(guī)則時(shí)按“深度優(yōu)先”的順序。創(chuàng)建ACL后，將進(jìn)入ACL視圖：[Quidway-acl-adv-3000]進(jìn)入ACL視圖之后，就可以配置ACL的規(guī)則了?！堵酚山粨Q技術(shù)及應(yīng)用》第4版“十四五”職業(yè)教育國家規(guī)劃教材ACL原理與配置ACL配置—標(biāo)準(zhǔn)ACL[Quidway-acl-basic-2000]rule[rule-id]{permit|deny}[sourcesour-addrsour-wildcard|any][time-rangetime-name]rule-id：可選參數(shù)，規(guī)則編號，范圍為0～65534。time-range：可選參數(shù)，指定訪問控制列表的生效時(shí)間。source-wildcard：反掩碼（通配符）舉例：

[Quidway-acl-basic-2000]rulepermitsource192.168.1.10.0.0.0《路由交換技術(shù)及應(yīng)用》第4版“十四五”職業(yè)教育國家規(guī)劃教材ACL原理與配置ACL配置—高級ACLrule[rule-id]{permit|deny}protocol[source{sour-addresssour-wildcard|any}][destination{dest-addressdest-wildcard|any}][source-portoperatorport1[port2]][destination-portoperatorport1[port2]][icmp-type{icmp-typeicmp-code|icmp-message}][precedenceprecedence][tostos][time-rangetime-name]protocol:ip,ospf,igmp,gre,icmp,tcp,udp,etc.operator:“eq”-等于端口號，“gt”–大于端口號，“l(fā)t”–小于端口號，“neq”–不等于端口號，“range”–介于兩端口號之間舉例：[Quidway-acl-adv-3000]ruledenytcpsource192.168.0.10.0.0.0destination202.118.66.660.0.0.0destination-portequal80

《路由交換技術(shù)及應(yīng)用》第4版“十四五”職業(yè)教育國家規(guī)劃教材ACL原理與配置ACL配置—應(yīng)用于接口在接口模式下：traffic-filter[inbound|outbound]aclacl-number舉例：[Router-GigabitEthernet0/0/0]traffic-filterinboundacl2000《路由交換技術(shù)及應(yīng)用》第4版“十四五”職業(yè)教育國家規(guī)劃教材ACL原理與配置ACL配置—