收藏
下载资源

路由交换机ACL原理及配置.ppt

上传人:飞****9 文档编号:133704673 上传时间:2020-05-29 格式:PPT 页数:34 大小:918.01KB
返回 下载 相关 举报
路由交换机ACL原理及配置.ppt_第1页
第1页 / 共34页
路由交换机ACL原理及配置.ppt_第2页
第2页 / 共34页
路由交换机ACL原理及配置.ppt_第3页
第3页 / 共34页
路由交换机ACL原理及配置.ppt_第4页
第4页 / 共34页
路由交换机ACL原理及配置.ppt_第5页
第5页 / 共34页
点击查看更多>>
资源描述

《路由交换机ACL原理及配置.ppt》由会员分享,可在线阅读,更多相关《路由交换机ACL原理及配置.ppt(34页珍藏版)》请在金锄头文库上搜索。

1、访问控制列表ACL原理及配置 ACL基本原理 ACL配置步骤 ACL应用实例 内容提要 ACL 访问控制列表 定义 当网络流量不断增长的时候 对数据流进行管理和限制的方法作为通用判别标准应用到不同场合ACL是一个对经过路由器的数据进行判断 分类的方法 常见的ACL的应用是将ACL应用到接口上 其主要作用是根据数据包与数据段的特征来进行判断 决定是否允许数据包通过路由器转发 其主要目的是对数据流量进行管理和控制 如果不使用ACL 路由器无法对流量进行限制 什么是ACL 哪些场合需要使用ACL 允许或禁止对路由器或来自路由器的telnet访问QOS与队列技术策略路由数据速率限制路由策略端口流镜像N

2、AT ACL的使用场合 标准ACL仅以源IP地址作为过滤标准只能粗略的限制某一大类协议扩展ACL以源IP地址 目的IP地址 源端口号 目的端口号 协议号作为过滤标准 可以精确的限制到某一种具体的协议Inbound或Outbound 数据包出接口 数据包入接口 ACL处理过程 允许 协议 ACL的分类 ACL如何工作 数据包入接口 下面以应用在外出接口方向的ACL为例说明ACL的工作流程 首先数据包进入路由器的接口 根据目的地址查找路由表 找到转发接口 如果路由表中没有相应的路由条目 路由器会直接丢弃此数据包 并给源主机发送目的不可达消息 确定外出接口后需要检查是否在外出接口上配置了ACL 如果

3、没有配置ACL 路由器将做与外出接口数据链路层协议相同的2层封装 并转发数据 ACL如何工作 数据包入接口 如果在外出接口上配置了ACL 则要根据ACL制定的原则对数据包进行判断 如果匹配了某一条ACL的判断语句并且这条语句的关键字果是permit 转发数据包 数据包出接口 否 是 丢弃处理 选择接口 路由表 否 ACL匹配控制 允许 是 ACL如何工作 ACL 是 数据包入接口 否 ACL的匹配顺序 ACL内部处理具体过程 丢弃处理 是 目的接口 拒绝 拒绝 是 匹配第一条规则 允许 ACL的匹配顺序 ACL内部处理具体过程 丢弃处理 是 目的接口 是 匹配第一条规则 否 下一条 是 是 拒

4、绝 拒绝 拒绝 允许 允许 ACL的匹配顺序 ACL内部处理具体过程 丢弃处理 是 目的接口 是 匹配第一条规则 否 匹配下一条 匹配最后一条 是 是 否 是 是 拒绝 拒绝 拒绝 拒绝 允许 允许 允许 ACL的匹配顺序 ACL内部处理具体过程 丢弃处理 是 目的接口 是 匹配第一条规则 否 匹配下一条 匹配最后一条 是 是 否 是 是 说明 当ACL的最后一条不匹配时 系统使用隐含的 丢弃全部 进行处理 拒绝 拒绝 拒绝 拒绝 允许 允许 允许 否 目的IP地址 源IP地址 协议号 目的端口 段 如TCP报头 数据 数据包 IP报头 帧报头 如HDLC 使用ACL检测数据包 拒绝 允许 A

5、CL的判别依据 五元组 源端口 ACL的规则总结 按照由上到下的顺序执行 找到第一个匹配后既执行相应的操作 然后跳出ACL 每条ACL的末尾隐含一条denyany的规则ACL可应用于某个具体的IP接口的出方向或入方向ACL可应用于系统的某种特定的服务 如针对设备的TELNET 在引用ACL之前 要首先创建好ACL对于一个协议 一个接口的一个方向上同一时间内只能设置一个ACL 思考 我们应该按照怎样一个顺序配置ACL ACL基本原理 ACL配置步骤 ACL应用实例 内容提要 1 设置判断标准语句 一个ACL可由多个语句组成 access listaccess list number permit

6、 deny testconditions Router config ACL配置步骤 2 将ACL应用到接口上 ipaccess groupaccess list number in out Router config if IPaccess list number范围1 99或100 199 号码范围 IPACL类型 1 99100 199 StandardExtended 标准ACL 1to99 根据源IP地址对数据包进行控制扩展ACL 100to199 判别依据包括源 目的地址 协议类型 源 目的端口号 ACL号码范围 标准与扩展ACL的比较 标准ACL 扩展ACL 基于源地址过滤 允许

7、 拒绝整个TCP IP协簇 指定特定的IP协议和协议号 范围从100到199 范围从1到99 基于五元组过滤 通配符的作用 0代表对应位必须与前面的地址相应位一致1代表对应位可以是任意值 忽略所有比特位 0 0 0 0 0 0 0 0 忽略最后六个比特位 匹配所有比特位 忽略最后四个比特位 匹配最后两个比特位 例子 匹配条件 匹配所有32位地址 主机地址 172 30 16 29 0 0 0 0 匹配所有32位 通配符 匹配特定主机地址 0 0 0 0255 255 255 255意为接受所有地址可简写为any 匹配条件 匹配任意地址 任意地址都被认为符合条件 0 0 0 0 255 255

8、255 255 忽略所有位的比较 AnyIPaddress 通配符 匹配任意地址 指定特定地址范围172 30 16 0 24到172 30 31 0 24 172 30 16 0 通配符 00001111 00010000 1600010001 1700010010 18 00011111 31 地址与通配符如下172 30 16 00 0 15 255 匹配特定子网 access listaccess list number permit deny source mask ZXR10 config IP标准ACL使用列表号1至99缺省通配符为0 0 0 0 noaccess listacc

9、ess list number 删除整个ACL 在接口上应用ACL设置进入或外出方向 noipaccess groupaccess list number 去掉接口上的ACL设置 ZXR10 config if ipaccess groupaccess list number in out 配置标准ACL 172 16 3 0 172 16 4 0 172 16 4 13 S0 Fei 1 1 非172 16 0 0网段 只允许两边的网络互相访问 access list1permit172 16 0 00 0 255 255 access list1deny0 0 0 0255 255 255

10、 255 隐含拒绝全部interfaceFei 1 2ipaccess group1outinterfaceFei 1 1ipaccess group1out Fei 1 2 标准ACL配置示例1 access list1deny172 16 4 130 0 0 0access list1permitany access list1deny0 0 0 0255 255 255 255 隐含拒绝全部interfacefei 1 2ipaccess group1out 172 16 3 0 172 16 4 0 172 16 4 13 S0 拒绝特定主机172 16 4 13对172 16 3 0

11、网段的访问 非172 16 0 0网段 Fei 1 1 Fei 1 2 标准ACL配置示例2 拒绝特定子网对172 16 3 0网段的访问 172 16 3 0 172 16 4 0 172 16 4 13 S0 非172 16 0 0网段 access list1deny172 16 4 00 0 0 255access list1permitany access list1deny0 0 0 0255 255 255 255 别忘了系统还有隐含的这条规则 interfacefei 1 2ipaccess group1out Fei 1 1 Fei 1 2 标准ACL配置示例3 过滤teln

12、et对路由器的访问 利用ACL针对地址限制进入的vty连接 linetelentaccess classaccess list number ZXR10 config 实例 控制telent访问 只允许192 89 55 0网段中的主机才能对路由器进行telnet访问 access list12permit192 89 55 00 0 0 255linetelnetaccess class12 192 89 55 0 24网段 我只接受来自192 89 55 0 24的telnet访问 10 1 1 0 24网段 telnet 172 16 1 0 24网段 INTERNET ZXR10 co

13、nfig 扩展ACL的配置 ZXR10 config 设置扩展ACL access listaccess list number permit deny protocolsourcesource wildcard operatorport destinationdestination wildcard operatorport established ZXR10 config ipaccess groupaccess list number in out 应用到接口 access list101denytcp172 16 4 00 0 0 255172 16 3 00 0 0 255eq21a

14、ccess list101denytcp172 16 4 00 0 0 255172 16 3 00 0 0 255eq20access list101permitipanyanyinterfacefei 2 1ipaccess group101out 拒绝从子网172 16 4 0到子网172 16 3 0通过fei 2 1口出去的FTP访问允许其他所有流量 扩展ACL的配置实例1 172 16 3 0 172 16 4 0 172 16 4 13 S0 非172 16 0 0网段 Fei 1 1 Fei 2 1 ZXR10 config access list101denytcp172 1

15、6 4 00 0 0 255anyeq23access list101permitipanyanyinterfacefei 2 1ipaccess group101out 扩展ACL的配置实例2 172 16 3 0 172 16 4 0 172 16 4 13 S0 仅拒绝从子网172 16 4 0通过fei 2 1口外出的Telnet允许其他所有流量 非172 16 0 0网段 Fei 1 1 Fei 2 1 ZXR10 config ACL配置原则 ACL语句的顺序很关键ACL按照由上到下的顺序执行 找到一个匹配语句后既执行相应的操作 然后跳出ACL而不会继续匹配下面的语句 所以配置AC

16、L语句的顺序非常关键 自上到下的处理顺序具体的判别条目应放置在前面标准ACL可以自动排序 主机网段any隐含的拒绝所有的条目除非最后有明确的允许语句 否则最终拒绝所有流量 所以ACL中必须有允许条目存在 否则一切流量被拒绝 如何放置ACL 标准ACL应该在什么位置路由器上设置 对于标准ACL 应该被配置在距离目的网络最近的路由器上 扩展ACL应该在什么位置路由器上设置 对于扩展ACL 应该被配置在距离源网络最近的路由器上 E0 E0 E1 S0 To0 S1 S0 S1 E0 E0 B A D PC A PC B ZXR10 showipaccess list1StandardIPaccesslist1permit10 1 1 00 0 0 255permit20 1 1 00 0 0 255 ACL配置显示

展开阅读全文
相关资源
相关搜索

当前位置:首页 > IT计算机/网络 > 其它相关文档

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号