收藏
下载资源

课程编码acl访问控制列表课件

上传人:bin****86 文档编号:57210107 上传时间:2018-10-20 格式:PPT 页数:35 大小:558KB
返回 下载 相关 举报
课程编码acl访问控制列表课件_第1页
第1页 / 共35页
课程编码acl访问控制列表课件_第2页
第2页 / 共35页
课程编码acl访问控制列表课件_第3页
第3页 / 共35页
课程编码acl访问控制列表课件_第4页
第4页 / 共35页
课程编码acl访问控制列表课件_第5页
第5页 / 共35页
点击查看更多>>
资源描述

《课程编码acl访问控制列表课件》由会员分享,可在线阅读,更多相关《课程编码acl访问控制列表课件(35页珍藏版)》请在金锄头文库上搜索。

1、课程编码 ACL访问控制列表,ISSUE 1.0,2,学习目标,理解访问控制列表的基本原理 掌握访问控制列表的应用组网和配置方法,学习完本课程,您应该能够:,3,课程内容,第一章 ACL概述 第二章 ACL的类型 第三章 ACL的使用特性 第四章 典型组网配置,4,IP包过滤技术介绍,对路由器需要转发的数据包,先获取包头信息,然后和设定的规则进行比较,根据比较的结果对数据包进行转发或者丢弃。而实现包过滤的核心技术是访问控制列表。,5,ACL概述,为了匹配数据包,需要配置一系列的规则,以决定什么样的数据包能够匹配,这些规则就是通过访问控制列表ACL(Access Control List)定义的

2、。 访问控制列表是由permit | deny语句组成的一系列有顺序的规则。 规则根据数据包的源/目的IP地址、TCP/UDP的源/目的端口号、ICMP类型、QOS优先级字段、物理接口编号、源/目的MAC地址、以太网类型字段等来描述。,6,访问控制列表的作用,访问控制列表常用于防火墙技术; 访问控制列表可用于QoS(Quality of Service),对数据流量进行控制; 在DCC中,访问控制列表还可用来规定触发拨号的条件; 访问控制列表还可以用于网络地址转换NAT; 在配置路由策略时,可以利用访问控制列表来作路由信息的过滤。,7,访问控制列表的定义,一个IP数据包如下图所示(图中IP所承

3、载的上层协议为TCP/UDP):,8,课程内容,第一章 ACL概述 第二章 ACL的类型 第三章 ACL的使用特性 第四章 典型组网配置,9,访问控制列表的分类,按照访问控制列表的用途可以分为四类: 基本的访问控制列表(basic acl) 高级的访问控制列表(advanced acl) 基于接口的访问控制列表(interface-based acl) 基于MAC的访问控制列表(mac-based acl),10,访问控制列表的标识,利用数字标识访问控制列表 利用数字范围标识访问控制列表的种类,11,基本访问控制列表,基本访问控制列表只使用源地址描述数据,表明是允许还是拒绝。,12,基本访问控

4、制列表的配置,配置基本访问列表的命令格式如下: acl number acl-number match-order config | auto rule rule-id permit | deny source sour-addr sour-wildcard | any time-range time-name logging fragment vpn-instance vpn-instanc-name ,怎样利用 IP 地址 和 反掩码wildcard-mask 来表示 一个网段?,13,反掩码的使用,反掩码和子网掩码相似,但写法不同: 0表示需要比较 1表示忽略比较 反掩码和IP地址结合使

5、用,可以描述一个地址范围。,14,高级访问控制列表,高级访问控制列表使用除源地址外更多的信息描述数据包,表明是允许还是拒绝。,15,高级访问控制列表的配置,高级访问控制列表规则的配置命令: rule rule-id permit | deny protocol source sour-addr sour-wildcard | any destination dest-addr dest-mask | any soucre-port operator port1 port2 destination-port operator port1 port2 icmp-type icmp-message

6、|icmp-type icmp-code precedence precedence tos tos time-range time-name logging fragment vpn-instance vpn-instanc-name ,16,高级访问控制列表操作符,17,高级访问控制列表举例,rule deny icmp source 10.1.0.0 0.0.255.255 destination any icmp-type host-redirect,rule deny tcp source 129.9.0.0 0.0.255.255 destination 202.38.160.0

7、0.0.0.255 destination-port eq www logging,18,基于接口的访问控制列表,基于接口的访问控制列表,是一种特殊的访问控制列表,可以根据接收报文的接口指定规则。 基于接口的访问控制列表的配置 acl number acl-number match-order config | auto rule permit | deny interface interface-name time-range time-name logging undo rule rule-id interface interface-type interface-number:指定数据包

8、的接口信息。如果不指定,表示所有的接口都匹配。any代表所有的接口。,19,基于MAC地址的访问控制列表,基于以太网的MAC地址的访问控制列表 acl-number取值范围是40004999。 可以根据源或目的MAC掩码、桥接报文的封装格式、以太网类型域值进行匹配,20,基于MAC地址的访问控制列表的配置命令,rule rule-id deny | permit type type-code type-mask | lsap lsap-code lsap-mask source-mac sour-addr sour-mask dest-mac dest-addr dest-mask type-

9、code为 十六进制数,匹配以太网类型域值 lsap-code为 十六进制数,匹配接口上桥接报文的封装格式,常见以太网类型域值 RFC1700,21,课程内容,第一章 ACL概述 第二章 ACL的类型 第三章 ACL的使用特性 第四章 典型组网配置,22,访问控制列表的使用,防火墙配置常见步骤: 启用防火墙 定义访问控制列表 将访问控制列表应用到接口上,公司总部网络,启用防火墙,将访问控制列表应用到接口上,Internet,23,防火墙的属性配置命令,打开或者关闭防火墙 firewall enable | disable 设置防火墙的缺省过滤模式 firewall default permit

10、|deny 显示防火墙的统计信息 display firewall-statistics all | interface interface-name | fragments-inspect 打开防火墙包过滤调试信息开关 debugging firewall all | icmp | tcp | udp | others interface interface-name ,24,访问控制列表的显示,访问控制列表的显示与调试 display acl all | acl-number reset acl counter all | acl-number ,25,在接口上应用访问控制列表,将访问控制

11、列表应用到接口上 指明在接口上是OUT还是IN方向 在接口视图下配置: firewall packet-filter acl-number inbound | outbound match-fragments normally | exactly ,Ethernet0/0,Serial1/0,26,基于时间段的包过滤,“特殊时间段内应用特殊的规则”,27,时间段的配置命令,time range 命令 time-range time-name start-time to end-time days from time1 date1 to time2 date2 显示 time range 命令

12、display time-range all | time-name ,28,访问控制列表的匹配规则,一条访问列表可以由多条规则组成,对于这些规则,有两种匹配顺序:auto和config。 规则冲突时,若匹配顺序为auto(深度优先),描述的地址范围越小的规则,将会优先考虑。 深度的判断要依靠通配比较位和IP地址结合比较 rule deny 202.38.0.0 0.0.255.255 rule permit 202.38.160.0 0.0.0.255 两条规则结合则表示禁止一个大网段 (202.38.0.0)上的主机但允许其中的一小部分主 机(202.38.160.0)的访问。 规则冲突时

13、,若匹配顺序为config,先配置的规则会被优先考虑。,29,ACL对分片报文的支持,传统的包过滤只对首片IP分片报文进行处理,后续分片放行。 VRP平台的基本和高级控制控制列表提供了对分片报文过滤的功能。 对所有的分片报文进行三层(IP层)的匹配过滤 对于包含扩展信息的ACL规则项(例如包含TCP/UDP端口号,ICMP类型),提供两种匹配方式。 标准匹配 即三层信息的匹配,匹配将忽略三层以外的信息; 精确匹配 即则对所有的ACL项条件进行匹配,这就要求防火墙必须记录首片分片报文的状态以获得完整的后续分片的匹配信息。 缺省的功能方式为标准匹配方式。,30,ACL处理分片报文的配置命令,在AC

14、L的规则配置项中,通过关键字fragment来标识该ACL规则仅对非首片分片报文有效,而对非分片报文和首片分片报文则忽略此规则。而不包含此关键字的配置规则项对所有报文均有效。,Quidway-basic-2000 rule deny source 202.101.1.0 0.0.0.255 fragment Quidway-basic-2000 rule permit source 202.101.2.0 0.0.0.255 Quidway-adv-3001 rule permit ip destination 171.16.23.1 0 fragment Quidway-adv-3001 r

15、ule deny ip destination 171.16.23.2 0上述规则项中,所有项对非首片分片报文均有效;第一,三项对非分片和首片分片报文是被忽略的,仅仅对非首片分片报文有效。,31,课程内容,第一章 ACL概述 第二章 ACL的类型 第三章 ACL的使用特性 第四章 常见组网配置,32,包过滤防火墙的配置例,Eth0/0,S1/0,需求: 只允许内网网段192.168.1.0/24访问Internet,其余内网网段不允许访问外网。 禁止Internet方向来的目的端口445的TCP报文进入,内网,外网,Internet,33,包过滤防火墙的配置例子,# 在路由器Quidway上允

16、许防火墙。 Quidway firewall enable # 设置防火墙缺省过滤方式为允许包通过。 Quidway firewall default permit# 创建访问控制列表3001。默认匹配顺序是用户配置顺序 Quidway acl number 3001 # 配置规则允许特定网段访问外部网。 Quidway-acl-adv-3001 rule permit ip source 192.168.1.0 0.0.0.255 # 配置规则禁止所有IP包通过 Quidway-acl-adv-3001 rule deny ip# 创建访问控制列表3002 Quidway acl number 3002 # 配置规则禁止某些特定端口的报文从从外部网访问内部网。 Quidway-acl-adv-3002 rule deny tcp destination-port eq 445 # 将规则3001作用于从接口Ethernet0/0进入的包。 Quidway-Ethernet0/0 firewall packet-filter 3001 inbound # 将规则3002作用于从接口Serial1/0进入的包。 Quidway-Serial1/0 firewall packet-filter 3002 inbound,

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 办公文档 > PPT模板库 > PPT素材/模板

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号