收藏
下载资源

REUB501C1E系列路由交换机ACL原理及配置V1[1].1(42)

上传人:博****1 文档编号:584355855 上传时间:2024-08-30 格式:PPT 页数:42 大小:1.07MB
返回 下载 相关 举报
REUB501C1E系列路由交换机ACL原理及配置V1[1].1(42)_第1页
第1页 / 共42页
REUB501C1E系列路由交换机ACL原理及配置V1[1].1(42)_第2页
第2页 / 共42页
REUB501C1E系列路由交换机ACL原理及配置V1[1].1(42)_第3页
第3页 / 共42页
REUB501C1E系列路由交换机ACL原理及配置V1[1].1(42)_第4页
第4页 / 共42页
REUB501C1E系列路由交换机ACL原理及配置V1[1].1(42)_第5页
第5页 / 共42页
点击查看更多>>
资源描述

《REUB501C1E系列路由交换机ACL原理及配置V1[1].1(42)》由会员分享,可在线阅读,更多相关《REUB501C1E系列路由交换机ACL原理及配置V1[1].1(42)(42页珍藏版)》请在金锄头文库上搜索。

1、REUB_501_C1ZXR10IP功能特性原理和配置E系列访问控制列表ACL原理及配置V1.1本章学习目标n经过本章的学习,你可以获得以下收获:l了解ACL的概念,及其作用l了解ACL的工作原理和过程l掌握ACL的基本配置,实现对数据流的控制课程内容nACL基本原理基本原理nACL配置步骤nACL应用实例172.16.0.0172.17.0.0InternetACL(访问控制列表)定义:l当网络流量不断增长的时候,对数据流进行管理和限制的方法l作为通用判别标准应用到不同场合什么是ACL?ACL的使用场合n哪些场合需要使用ACL?l允许或禁止对路由器或来自路由器的telnet访问lQOS与队列

2、技术l策略路由l数据速率限制l路由策略l端口流镜像lNATl 标准标准ACL 仅以源IP地址作为过滤标准 只能粗略的限制某一大类协议 扩展扩展ACL 以源IP地址、目的IP地址、源端口号、目的端口号、协议号作为过滤标准,可以精确的限制到某一种具体的协议 Inbound 或 Outbound数据包出接口数据包出接口数据包入接口数据包入接口 ACL处理过程处理过程允许允许?源地址、源地址、目的地址目的地址协议协议ACL的分类否否是是丢弃处理丢弃处理选择出接口选择出接口否否ACL?路由表路由表?数据包出接口数据包出接口ACL如何工作数据包入接口数据包入接口数据包出接口数据包出接口否否是是丢弃处理丢弃

3、处理选择接口选择接口路由表路由表?否否ACL匹配控制匹配控制允许允许?是是ACL如何工作ACL?是是数据包入接口数据包入接口数据包出接口数据包出接口否否是是丢弃处理丢弃处理选择接口选择接口路由表路由表?否否ACL匹配控制匹配控制允许允许?是是ACL如何工作ACL?是是数据包入接口数据包入接口否否ACL的匹配顺序ACL内部处理具体过程:内部处理具体过程:丢弃处理丢弃处理是是目的接口目的接口拒绝拒绝拒绝拒绝是是匹配匹配第一条规则第一条规则?允许允许ACL的匹配顺序ACL内部处理具体过程:内部处理具体过程:丢弃处理丢弃处理是是目的接口目的接口是是匹配匹配第一条规则第一条规则?否否下一条下一条?是是是

4、是拒绝拒绝拒绝拒绝拒绝拒绝允许允许允许允许ACL的匹配顺序ACL内部处理具体过程:内部处理具体过程:丢弃处理丢弃处理是是目的接口目的接口是是匹配匹配第一条规则第一条规则?否否匹配匹配下一条下一条?匹配匹配最后一条最后一条?是是是是否否是是是是拒绝拒绝拒绝拒绝拒绝拒绝拒绝拒绝允许允许允许允许允许允许ACL的匹配顺序ACL内部处理具体过程:内部处理具体过程:丢弃处理丢弃处理是是目的接口目的接口是是匹配匹配第一条规则第一条规则?否否匹配匹配下一条下一条?匹配匹配最后一条最后一条?是是是是否否是是是是*说明:当说明:当ACL的最后一条不匹配的最后一条不匹配时,系统使用隐含的时,系统使用隐含的“丢弃全部

5、丢弃全部”进行处理!进行处理!拒绝拒绝拒绝拒绝拒绝拒绝拒绝拒绝允许允许允许允许允许允许否否目的目的IP地址地址源源IP地址地址协议号协议号目的端口目的端口段段(如如TCP报头报头)数据数据数据包数据包(IP报头报头 )帧报头帧报头(如如HDLC) 使用使用ACL检测数据包检测数据包 拒绝拒绝允许允许ACL的判别依据五元组源端口源端口ACL的规则总结n按照由上到下的顺序执行,找到第一个匹配后既执行相应的操作(然后跳出ACL)n每条ACL的末尾隐含一条denyany的规则nACL可应用于某个具体的IP接口的出方向或入方向nACL可应用于系统的某种特定的服务(如针对设备的TELNET)n在引用ACL

6、之前,要首先创建好ACLn对于一个协议,一个接口的一个方向上同一时间内只能设置一个ACL思考:我们应该按照怎样一个顺序配置ACL课程内容nACL基本原理nACL配置步骤配置步骤nACL应用实例1: 设置判断标准语句设置判断标准语句(一个一个ACL可由多个语句组成可由多个语句组成)access-list access-list-number permit | deny test conditions Router(config)#ACL配置步骤2: 将将ACL应用到接口上应用到接口上 ip access-group access-list-number in | out Router(confi

7、g-if)#IP access-list-number 范围范围 1-99 或或 100-199号码范围号码范围IP ACL 类型类型1-99100-199StandardExtended标准ACL (1 to 99) 根据源IP地址对数据包进行控制扩展ACL (100 to 199) 判别依据包括 源/目的地址, 协议类型, 源/目的端口号ACL号码范围标准与扩展ACL的比较标准标准ACL扩展扩展ACL基于源地址过滤基于源地址过滤.允许允许/拒绝整个拒绝整个 TCP/IP 协簇协簇.指定特定的指定特定的 IP 协议和协议号协议和协议号范围从范围从 100 到到 199.范围从范围从1 到到

8、99基于五元组过滤基于五元组过滤.通配符的作用v0 代表对应位必须与前面的地址相应位一致代表对应位必须与前面的地址相应位一致v1 代表对应位可以是任意值代表对应位可以是任意值忽略所有比特位忽略所有比特位=001111111286432168421=00000000=00001111=11111100=11111111忽略最后六个比特位忽略最后六个比特位匹配所有比特位匹配所有比特位忽略最后四个比特位忽略最后四个比特位匹配最后两个比特位匹配最后两个比特位例子例子匹配条件匹配条件: 匹配所有匹配所有32位地址位地址-主机地址主机地址 172.30.16.290.0.0.0(匹配所有匹配所有32位位)

9、通配符通配符:匹配特定主机地址v0.0.0.0 255.255.255.255 意为接受所有地址意为接受所有地址v可简写为可简写为 any匹配条件匹配条件: 匹配任意地址(任意地址都被认为符合条件)匹配任意地址(任意地址都被认为符合条件)0.0.0.0 255.255.255.255(忽略所有位的比较忽略所有位的比较)Any IP address通配符通配符:匹配任意地址指定特定地址范围指定特定地址范围 172.30.16.0/24 到到 172.30.31.0/24172.30.16172.30.16.00 00 00 01 10000通配符通配符: 0 0 0 0 1 1 1 1 | 0

10、0 0 1 0 0 0 0 = 16 0 0 0 1 0 0 0 1 =17 0 0 0 1 0 0 1 0 =18: : 0 0 0 1 1 1 1 1 =31地址与通配符如下地址与通配符如下172.30.16.0 0.0.15.255匹配特定子网access-list access-list-number permit|deny source maskmask ZXR10(config)#IP 标准标准ACL使用列表号使用列表号 1 至至 99缺省通配符为缺省通配符为 0.0.0.0“no access-list access-list-number” 删除整个删除整个ACLv在接口上应用

11、在接口上应用ACLv设置进入或外出方向设置进入或外出方向v“no ip access-group access-list-number” 去掉接口上的去掉接口上的ACL设置设置ZXR10(config-if)#ip access-group access-list-number in | out 配置标准ACL172.16.3.0172.16.4.0172.16.4.13S0Fei_1/1非172.16.0.0网段只允许两边的网络互相访问access-list 1 permit 172.16.0.0 0.0.255.255(access-list 1 deny 0.0.0.0 255.255.

12、255.255)隐含拒绝全部隐含拒绝全部interface Fei_1/2ip access-group 1 outinterface Fei_1/1ip access-group 1 outFei_1/2标准ACL配置示例1access-list 1 deny 172.16.4.13 0.0.0.0 access-list 1 permit any(access-list 1 deny 0.0.0.0 255.255.255.255)隐含拒绝全部隐含拒绝全部interface fei_1/2ip access-group 1 out172.16.3.0172.16.4.0172.16.4.1

13、3S0拒绝特定主机172.16.4.13对172.16.3.0网段的访问非172.16.0.0网段Fei_1/1Fei_1/2标准ACL配置示例2拒绝特定子网对172.16.3.0网段的访问172.16.3.0172.16.4.0172.16.4.13S0非172.16.0.0网段access-list 1 deny 172.16.4.0 0.0.0.255access-list 1 permit any(access-list 1 deny 0.0.0.0 255.255.255.255)别忘了系统还有隐含的这条规则!别忘了系统还有隐含的这条规则!interface fei_1/2ip ac

14、cess-group 1 outFei_1/1Fei_1/2标准ACL配置示例3过滤telnet对路由器的访问利用ACL针对地址限制进入的 vty 连接line telent access-class access-list-number ZXR10(config)#实例控制telent访问 只允许 192.89.55.0 网段中的主机才能对路由器进行 telnet 访问access-list 12 permit 192.89.55.0 0.0.0.255line telnet access-class 12192.89.55.0/24网段我只接受来自我只接受来自192.89.55.0/24的

15、的telnet访问!访问!10.1.1.0/24网段telnet172.16.1.0/24网段 INTERNETZXR10(config)#扩展ACL的配置ZXR10(config)#l 设置扩展设置扩展ACLaccess-list access-list-number permit | deny protocol source source-wildcard operator port destination destination-wildcard operator port established ZXR10(config)# ip access-group access-list-nu

16、mber in | out l 应用到接口应用到接口access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 21access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 20access-list 101 permit ip any any interface fei_2/1ip access-group 101 outl拒绝从子网172.16.4.0到子网172.16.3.0通过fei_2/1口出去的FTP访问l允许其他所有流量

17、扩展ACL的配置实例1172.16.3.0172.16.4.0172.16.4.13S0非172.16.0.0网段Fei_1/1Fei_2/1ZXR10(config)#access-list 101 deny tcp 172.16.4.0 0.0.0.255 any eq 23access-list 101 permit ip any anyinterface fei_ 2/1ip access-group 101 out扩展ACL的配置实例2172.16.3.0172.16.4.0172.16.4.13S0v仅拒绝从子网 172.16.4.0 通过 fei_ 2/1口外出的Telnet v

18、允许其他所有流量非172.16.0.0网段Fei_1/1Fei_2/1ZXR10(config)#ACL配置原则lACL语句的顺序很关键lACL按照由上到下的顺序执行,找到一个匹配语句后既执行相应的操作,然后跳出ACL而不会继续匹配下面的语句。所以配置ACL语句的顺序非常关键!l自上到下的处理顺序n具体的判别条目应放置在前面n标准ACL可以自动排序:主机网段anyl隐含的拒绝所有的条目n除非最后有明确的允许语句,否则最终拒绝所有流量,所以ACL中必须有允许条目存在,否则一切流量被拒绝如何放置ACL?标准ACL应该在什么位置路由器上设置?对于标准ACL,应该被配置在距离目的网络最近的路由器上。扩

19、展ACL应该在什么位置路由器上设置?对于扩展ACL,应该被配置在距离源网络最近的路由器上。E0E0E1S0To0S1S0S1E0E0B BA AD DPC_APC_BZXR10#show ip access-list 1Standard IP access list 1 permit 10.1.1.0 0.0.0.255 permit 20.1.1.0 0.0.0.255 ACL配置显示课程内容nACL基本原理nACL配置步骤nACL应用实例应用实例ACL实用案例-反向ACL防范病毒攻击(1)n需求:l172.16.4.0/24网段是服务器,为了保证服务器的安全,需要防止172.16.3.0/

20、24对该网段的攻击l172.16.3.0/24还要能够使用服务器提供的www服务172.16.3.0172.16.4.0172.16.4.13S0非172.16.0.0网段Fei_1/1Fei_2/1ACL实用案例-反向ACL防范病毒攻击(2)naccess-list101permittcp172.16.3.00.0.0.255172.16.4.130.0.0.0eqwww172.16.3.0/24可以访问服务器的www服务naccess-list101permittcp172.16.3.00.0.0.255172.16.4.00.0.0.255established172.16.3.0/24

21、不能主动向服务器网段发起tcp连接,可以禁止病毒攻击ninterfacefei_1/1ipaccess-group101out172.16.3.0172.16.4.0172.16.4.13S0非172.16.0.0网段Fei_1/1Fei_2/1ACL实用案例-使用ACL防止病毒攻击n常见的病毒都是利用系统的一些端口入侵系统的,只要禁用了这些端口就能有效地防范此类病毒。如蠕虫病毒通过入侵UDP1434端口。access-list110denyudpanyanyeq1434内容回顾nACL的概念和用途nACL的运作原理nACL的种类nACL的使用规则nACL的语法n查看ACL的语句思考题n对于标准型ACL,应该放在网络的什么位置?而对于扩展型ACL,又应该放在网络的什么位置?n在IP访问列表中,如果到最后也没有找到匹配,则传输数据包将如何处理?n你该如何安排访问列表中的条目顺序?n当数据包经过一个未定义访问列表的接口时会如何?n下述访问列表,只有一行,用作一个接口的数据包过滤:access-list100permittcp145.22.3.00.0.0.255anyeqtelnet对于隐含的DENYALL,禁止的是什么?

展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 学术论文 > 其它学术论文

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号