收藏
下载资源 加入VIP免费专享

REUB_501_C1_E系列路由交换机ACL原理及配置V1[1].1(42).ppt

上传人:文库蛋蛋多 文档编号:2791681 上传时间:2023-02-25 格式:PPT 页数:42 大小:1.07MB
返回 下载 相关 举报
REUB_501_C1_E系列路由交换机ACL原理及配置V1[1].1(42).ppt_第1页
第1页 / 共42页
REUB_501_C1_E系列路由交换机ACL原理及配置V1[1].1(42).ppt_第2页
第2页 / 共42页
REUB_501_C1_E系列路由交换机ACL原理及配置V1[1].1(42).ppt_第3页
第3页 / 共42页
REUB_501_C1_E系列路由交换机ACL原理及配置V1[1].1(42).ppt_第4页
第4页 / 共42页
REUB_501_C1_E系列路由交换机ACL原理及配置V1[1].1(42).ppt_第5页
第5页 / 共42页
点击查看更多>>
资源描述

《REUB_501_C1_E系列路由交换机ACL原理及配置V1[1].1(42).ppt》由会员分享,可在线阅读,更多相关《REUB_501_C1_E系列路由交换机ACL原理及配置V1[1].1(42).ppt(42页珍藏版)》请在三一办公上搜索。

1、REUB_501_C1ZXR 10 IP功能特性原理和配置E系列访问控制列表ACL原理及配置,V1.1,本章学习目标,经过本章的学习,你可以获得以下收获:了解ACL的概念,及其作用了解ACL的工作原理和过程掌握ACL的基本配置,实现对数据流的控制,课程内容,ACL基本原理ACL配置步骤ACL应用实例,172.16.0.0,172.17.0.0,Internet,ACL(访问控制列表)定义:当网络流量不断增长的时候,对数据流进行管理和限制的方法作为通用判别标准应用到不同场合,什么是ACL?,ACL的使用场合,哪些场合需要使用ACL?允许或禁止对路由器或来自路由器的telnet访问QOS与队列技术

2、策略路由数据速率限制路由策略端口流镜像NAT,标准ACL 仅以源IP地址作为过滤标准 只能粗略的限制某一大类协议 扩展ACL 以源IP地址、目的IP地址、源端口号、目的端口号、协议号作为过滤标准,可以精确的限制到某一种具体的协议 Inbound 或 Outbound,数据包出接口,数据包入接口,ACL处理过程,允许?,协议,ACL的分类,否,是,丢弃处理,选择出接口,否,ACL?,路由表?,数据包出接口,ACL如何工作,数据包入接口,数据包出接口,否,是,丢弃处理,选择接口,路由表?,否,ACL匹配控制,允许?,是,ACL如何工作,ACL?,是,数据包入接口,数据包出接口,否,是,丢弃处理,选

3、择接口,路由表?,否,ACL匹配控制,允许?,是,ACL如何工作,ACL?,是,数据包入接口,否,ACL的匹配顺序,ACL内部处理具体过程:,丢弃处理,是,目的接口,拒绝,拒绝,是,匹配第一条规则?,允许,ACL的匹配顺序,ACL内部处理具体过程:,丢弃处理,是,目的接口,是,匹配第一条规则?,否,下一条?,是,是,拒绝,拒绝,拒绝,允许,允许,ACL的匹配顺序,ACL内部处理具体过程:,丢弃处理,是,目的接口,是,匹配第一条规则?,否,匹配下一条?,匹配最后一条?,是,是,否,是,是,拒绝,拒绝,拒绝,拒绝,允许,允许,允许,ACL的匹配顺序,ACL内部处理具体过程:,丢弃处理,是,目的接口

4、,是,匹配第一条规则?,否,匹配下一条?,匹配最后一条?,是,是,否,是,是,*,*说明:当ACL的最后一条不匹配时,系统使用隐含的“丢弃全部”进行处理!,拒绝,拒绝,拒绝,拒绝,允许,允许,允许,否,目的IP地址,源IP地址,协议号,目的端口,段(如TCP报头),数据,数据包(IP报头),帧报头(如HDLC),使用ACL检测数据包,拒绝,允许,ACL的判别依据五元组,源端口,ACL的规则总结,按照由上到下的顺序执行,找到第一个匹配后既执行相应的操作(然后跳出ACL)每条ACL的末尾隐含一条deny any 的规则ACL可应用于某个具体的IP接口的出方向或入方向ACL可应用于系统的某种特定的服

5、务(如针对设备的TELNET)在引用ACL之前,要首先创建好ACL对于一个协议,一个接口的一个方向上同一时间内只能设置一个ACL,思考:我们应该按照怎样一个顺序配置ACL,课程内容,ACL基本原理ACL配置步骤ACL应用实例,1:设置判断标准语句(一个ACL可由多个语句组成),access-list access-list-number permit|deny test conditions,Router(config)#,ACL配置步骤,2:将ACL应用到接口上,ip access-group access-list-number in|out,Router(config-if)#,IP a

6、ccess-list-number 范围 1-99 或 100-199,号码范围,IP ACL 类型,1-99100-199,StandardExtended,标准ACL(1 to 99)根据源IP地址对数据包进行控制扩展ACL(100 to 199)判别依据包括 源/目的地址,协议类型,源/目的端口号,ACL号码范围,标准与扩展ACL的比较,标准ACL,扩展ACL,基于源地址过滤.,允许/拒绝整个 TCP/IP 协簇.,指定特定的 IP 协议和协议号,范围从 100 到 199.,范围从1 到 99,基于五元组过滤.,通配符的作用,0 代表对应位必须与前面的地址相应位一致1 代表对应位可以是

7、任意值,忽略所有比特位,=,0,0,0,0,0,0,0,0,忽略最后六个比特位,匹配所有比特位,忽略最后四个比特位,匹配最后两个比特位,例子,匹配条件:匹配所有32位地址-主机地址,172.30.16.29,0.0.0.0,(匹配所有32位),通配符:,匹配特定主机地址,0.0.0.0 255.255.255.255 意为接受所有地址可简写为 any,匹配条件:匹配任意地址(任意地址都被认为符合条件),0.0.0.0,255.255.255.255,(忽略所有位的比较),Any IP address,通配符:,匹配任意地址,指定特定地址范围 172.30.16.0/24 到 172.30.31

8、.0/24,172.30.16.0,通配符:0 0 0 0 1 1 1 1|0 0 0 1 0 0 0 0=16 0 0 0 1 0 0 0 1=17 0 0 0 1 0 0 1 0=18:0 0 0 1 1 1 1 1=31,地址与通配符如下172.30.16.0 0.0.15.255,匹配特定子网,access-list access-list-number permit|deny source mask,ZXR10(config)#,IP 标准ACL使用列表号 1 至 99缺省通配符为 0.0.0.0“no access-list access-list-number”删除整个ACL,在

9、接口上应用ACL设置进入或外出方向“no ip access-group access-list-number”去掉接口上的ACL设置,ZXR10(config-if)#,ip access-group access-list-number in|out,配置标准ACL,172.16.3.0,172.16.4.0,172.16.4.13,S0,Fei_1/1,非172.16.0.0网段,只允许两边的网络互相访问,access-list 1 permit 172.16.0.0 0.0.255.255(access-list 1 deny 0.0.0.0 255.255.255.255)隐含拒绝全

10、部interface Fei_1/2ip access-group 1 outinterface Fei_1/1ip access-group 1 out,Fei_1/2,标准ACL配置示例1,access-list 1 deny 172.16.4.13 0.0.0.0 access-list 1 permit any(access-list 1 deny 0.0.0.0 255.255.255.255)隐含拒绝全部interface fei_1/2ip access-group 1 out,172.16.3.0,172.16.4.0,172.16.4.13,S0,拒绝特定主机172.16.4

11、.13对172.16.3.0网段的访问,非172.16.0.0网段,Fei_1/1,Fei_1/2,标准ACL配置示例2,拒绝特定子网对172.16.3.0网段的访问,172.16.3.0,172.16.4.0,172.16.4.13,S0,非172.16.0.0网段,access-list 1 deny 172.16.4.0 0.0.0.255access-list 1 permit any(access-list 1 deny 0.0.0.0 255.255.255.255)别忘了系统还有隐含的这条规则!interface fei_1/2ip access-group 1 out,Fei_

12、1/1,Fei_1/2,标准ACL配置示例3,过滤 telnet 对路由器的访问,利用ACL针对地址限制进入的 vty 连接,line telent access-class access-list-number,ZXR10(config)#,实例控制 telent 访问,只允许 192.89.55.0 网段中的主机才能对路由器进行 telnet 访问,access-list 12 permit 192.89.55.0 0.0.0.255line telnet access-class 12,192.89.55.0/24网段,我只接受来自192.89.55.0/24的telnet访问!,10.

13、1.1.0/24网段,telnet,172.16.1.0/24网段,INTERNET,ZXR10(config)#,扩展ACL的配置,ZXR10(config)#,设置扩展ACL,access-list access-list-number permit|deny protocol source source-wildcard operator port destination destination-wildcard operator port established,ZXR10(config)#ip access-group access-list-number in|out,应用到接口,

14、access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 21access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 20access-list 101 permit ip any any interface fei_2/1ip access-group 101 out,拒绝从子网 172.16.4.0 到子网 172.16.3.0 通过fei_ 2/1口出去的FTP访问 允许其他所有流量,扩展ACL的配置实例1,172.16.3

15、.0,172.16.4.0,172.16.4.13,S0,非172.16.0.0网段,Fei_1/1,Fei_2/1,ZXR10(config)#,access-list 101 deny tcp 172.16.4.0 0.0.0.255 any eq 23access-list 101 permit ip any anyinterface fei_ 2/1ip access-group 101 out,扩展ACL的配置实例2,172.16.3.0,172.16.4.0,172.16.4.13,S0,仅拒绝从子网 172.16.4.0 通过 fei_ 2/1口外出的Telnet 允许其他所有流

16、量,非172.16.0.0网段,Fei_1/1,Fei_2/1,ZXR10(config)#,ACL配置原则,ACL语句的顺序很关键 ACL按照由上到下的顺序执行,找到一个匹配语句后既执行相应的操作,然后跳出ACL而不会继续匹配下面的语句。所以配置ACL语句的顺序非常关键!自上到下的处理顺序具体的判别条目应放置在前面标准ACL可以自动排序:主机网段any隐含的拒绝所有的条目除非最后有明确的允许语句,否则最终拒绝所有流量,所以ACL中必须有允许条目存在,否则一切流量被拒绝,如何放置ACL?,标准ACL应该在什么位置路由器上设置?对于标准ACL,应该被配置在距离目的网络最近的路由器上。扩展ACL应

17、该在什么位置路由器上设置?对于扩展ACL,应该被配置在距离源网络最近的路由器上。,E0,E0,E1,S0,To0,S1,S0,S1,E0,E0,B,A,D,PC_A,PC_B,ZXR10#show ip access-list 1Standard IP access list 1 permit 10.1.1.0 0.0.0.255 permit 20.1.1.0 0.0.0.255,ACL配置显示,课程内容,ACL基本原理ACL配置步骤ACL应用实例,ACL实用案例-反向ACL防范病毒攻击(1),需求:172.16.4.0/24网段是服务器,为了保证服务器的安全,需要防止172.16.3.0/

18、24对该网段的攻击172.16.3.0/24还要能够使用服务器提供的www服务,172.16.3.0,172.16.4.0,172.16.4.13,S0,非172.16.0.0网段,Fei_1/1,Fei_2/1,ACL实用案例-反向ACL防范病毒攻击(2),access-list 101 permit tcp 172.16.3.0 0.0.0.255 172.16.4.13 0.0.0.0 eq www 172.16.3.0/24可以访问服务器的www服务access-list 101 permit tcp 172.16.3.0 0.0.0.255 172.16.4.0 0.0.0.255

19、established 172.16.3.0/24不能主动向服务器网段发起tcp连接,可以禁止病毒攻击 interface fei_1/1 ip access-group 101 out,172.16.3.0,172.16.4.0,172.16.4.13,S0,非172.16.0.0网段,Fei_1/1,Fei_2/1,ACL实用案例-使用ACL防止病毒攻击,常见的病毒都是利用系统的一些端口入侵系统的,只要禁用了这些端口就能有效地防范此类病毒。如蠕虫病毒通过入侵UDP1434端口。access-list 110 deny udp any any eq 1434,内容回顾,ACL的概念和用途ACL的运作原理ACL的种类ACL的使用规则ACL的语法查看ACL的语句,思考题,对于标准型ACL,应该放在网络的什么位置?而对于扩展型ACL,又应该放在网络的什么位置?在I P访问列表中,如果到最后也没有找到匹配,则传输数据包将如何处理?你该如何安排访问列表中的条目顺序?当数据包经过一个未定义访问列表的接口时会如何?下述访问列表,只有一行,用作一个接口的数据包过滤:access-list 100 permit tcp 145.22.3.0 0.0.0.255 any eq telnet对于隐含的DENY ALL,禁止的是什么?,

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > 建筑/施工/环境 > 项目建议


备案号:宁ICP备20000045号-2

经营许可证:宁B2-20210002

宁公网安备 64010402000987号