10 元
下载资源

REUB_501_C1 E系列路由交换机ACL原理及配置V1.1(44)

上传人:门**** 文档编号:243157400 上传时间:2024-09-17 格式:PPT 页数:42 大小:1.58MB
返回 下载 相关 举报
REUB_501_C1 E系列路由交换机ACL原理及配置V1.1(44)_第1页
第1页 / 共42页
REUB_501_C1 E系列路由交换机ACL原理及配置V1.1(44)_第2页
第2页 / 共42页
REUB_501_C1 E系列路由交换机ACL原理及配置V1.1(44)_第3页
第3页 / 共42页
点击查看更多>>
资源描述
单击此处编辑母版标题样式,1,第二级,第三级,第四级,第五级,E,系列访问控制列表,ACL,原理及配置,V1.1,REUB_501_C1,ZXR 10 IP,功能特性原理和配置,本章学习目标,经过本章的学习,你可以获得以下收获:,了解,ACL,的,概念,及其作用,了解,ACL,的工作原理和过程,掌握,ACL,的基本配置,实现对数据流的控制,2,3,1,ACL基本原理,ACL配置步骤,ACL应用实例,内容提要,172.16.0.0,172.17.0.0,Internet,ACL,(访问控制列表)定义:,当网络流量不断增长的时候,对数据流进行管理和限制的方法,作为通用判别标准应用到不同场合,什么是,ACL?,哪些场合需要使用,ACL,?,允许或禁止对路由器或来自路由器的,telnet,访问,QOS,与队列技术,策略路由,数据速率限制,路由策略,端口流镜像,NAT,ACL,的使用场合,标准,ACL,仅以源,IP,地址作为过滤标准,只能粗略的限制某一大类协议,扩展,ACL,以源,IP,地址、目的,IP,地址、源端口号、目的端口号、协议号作为过滤标准,可以精确的限制到某一种具体的协议,Inbound,或,Outbound,数据包出接口,数据包入接口,ACL,处理过程,允许,?,源地址、,目的地址,协议,ACL,的分类,否,是,丢弃处理,选择出接口,否,ACL?,路由表,?,数据包出接口,ACL,如何工作,数据包入接口,数据包出接口,否,是,丢弃处理,选择接口,路由表,?,否,ACL,匹配控制,允许,?,是,ACL,如何工作,ACL?,是,数据包入接口,数据包出接口,否,是,丢弃处理,选择接口,路由表,?,否,ACL,匹配控制,允许,?,是,ACL,如何工作,ACL?,是,数据包入接口,否,ACL,的匹配顺序,ACL,内部处理具体过程:,丢弃处理,是,目的接口,拒绝,拒绝,是,匹配,第一条规则,?,允许,ACL,的匹配顺序,ACL,内部处理具体过程:,丢弃处理,是,目的接口,是,匹配,第一条规则,?,否,下一条,?,是,是,拒绝,拒绝,拒绝,允许,允许,ACL,的匹配顺序,ACL,内部处理具体过程:,丢弃处理,是,目的接口,是,匹配,第一条规则,?,否,匹配,下一条,?,匹配,最后一条,?,是,是,否,是,是,拒绝,拒绝,拒绝,拒绝,允许,允许,允许,ACL,的匹配顺序,ACL,内部处理具体过程:,丢弃处理,是,目的接口,是,匹配,第一条规则,?,否,匹配,下一条,?,匹配,最后一条,?,是,是,否,是,是,*,*说明:当,ACL,的最后一条不匹配时,系统使用隐含的“丢弃全部”进行处理!,拒绝,拒绝,拒绝,拒绝,允许,允许,允许,否,目的,IP,地址,源,IP,地址,协议号,目的端口,段,(,如,TCP,报头,),数据,数据包,(IP,报头,),帧报头,(,如,HDLC),使用,ACL,检测数据包,拒绝,允许,ACL,的判别依据五元组,源端口,ACL,的规则总结,按照由上到下的顺序执行,找到第一个匹配后既执行相应的操作(然后跳出,ACL,),每条,ACL,的末尾隐含一条,deny any,的规则,ACL,可应用于某个具体的,IP,接口的出方向或入方向,ACL,可应用于系统的某种特定的服务(如针对设备的,TELNET,),在引用,ACL,之前,要首先创建好,ACL,对于一个协议,一个接口的一个方向上同一时间内只能设置一个,ACL,思考:我们应该按照怎样一个顺序配置,ACL,1,3,2,ACL基本原理,ACL配置步骤,ACL应用实例,内容提要,1:,设置判断标准语句,(,一个,ACL,可由多个语句组成,),access-list,access-list-number, permit | deny ,test,conditions,Router(config,)#,ACL,配置步骤,2:,将,ACL,应用到接口上,ip,access-group,access-list-number in | out,Router(config,-if)#,IP,access-list-number,范围,1-99,或,100-199,号码范围,IP ACL,类型,1-99,100-199,Standard,Extended,标准,ACL (1 to 99),根据源,IP,地址对数据包进行控制,扩展,ACL (100 to 199),判别依据包括 源,/,目的地址,协议类型,源,/,目的端口号,ACL,号码范围,标准与扩展,ACL,的比较,标准,ACL,扩展,ACL,基于源地址过滤,.,允许,/,拒绝整个,TCP/IP,协簇,.,指定特定的,IP,协议和协议号,范围从,100,到,199.,范围从,1,到,99,基于五元组过滤,.,通配符的作用,0,代表对应位必须与前面的地址相应位一致,1,代表对应位可以是任意值,忽略所有比特位,=,0,0,1,1,1,1,1,1,128,64,32,16,8,4,2,1,=,0,0,0,0,0,0,0,0,=,0,0,0,0,1,1,1,1,=,1,1,1,1,1,1,0,0,=,1,1,1,1,1,1,1,1,忽略最后六个比特位,匹配所有比特位,忽略最后四个比特位,匹配最后两个比特位,例子,匹配条件,:,匹配所有,32,位地址,-,主机地址,172.30.16.29,0.0.0.0,(,匹配所有,32,位,),通配符,:,匹配特定主机地址,0.0.0.0 255.255.255.255,意为接受所有地址,可简写为,any,匹配条件,:,匹配任意地址(任意地址都被认为符合条件),0.0.0.0,255.255.255.255,(,忽略所有位的比较,),Any IP address,通配符,:,匹配任意地址,指定特定地址范围,172.30.,16,.0/24,到,172.30.,31,.0/24,172.30.16,.0,0,0,0,1,0,0,0,0,通配符,: 0 0 0 0 1 1 1 1,|,0 0 0 1,0 0 0 0 = 16,0 0 0 1,0 0 0 1 =17,0 0 0 1,0 0 1 0 =18,: :,0 0 0 1,1 1 1 1 =31,地址与通配符如下,172.30.16.0 0.0.15.255,匹配特定子网,access-list,access-list-number,permit|deny,source,mask,ZXR10(config)#,IP,标准,ACL,使用列表号,1,至,99,缺省通配符为,0.0.0.0,“,no,access-list,access-list-number,”,删除整个,ACL,在接口上应用,ACL,设置进入或外出方向,“,no ip,access-group,access-list-number,”,去掉接口上的,ACL,设置,ZXR10(config-if)#,ip,access-group,access-list-number, in | out ,配置标准,ACL,172.16.3.0,172.16.4.0,172.16.4.13,S0,Fei_1/1,非,172.16.0.0,网段,只允许两边的网络互相访问,access-list 1 permit 172.16.0.0,0.0.255.255,(access-list 1 deny 0.0.0.0 255.255.255.255),隐含拒绝全部,interface Fei_1/2,ip,access-group 1 out,interface Fei_1/1,ip,access-group 1 out,Fei_1/2,标准,ACL,配置示例,1,access-list 1 deny 172.16.4.13 0.0.0.0,access-list 1 permit,any,(access-list 1 deny 0.0.0.0 255.255.255.255),隐含拒绝全部,interface fei_1/2,ip,access-group 1 out,172.16.3.0,172.16.4.0,172.16.4.13,S0,拒绝特定主机,172.16.4.13,对,172.16.3.0,网段的访问,非,172.16.0.0,网段,Fei_1/1,Fei_1/2,标准,ACL,配置示例,2,拒绝特定子网对,172.16.3.0,网段的访问,172.16.3.0,172.16.4.0,172.16.4.13,S0,非,172.16.0.0,网段,access-list 1 deny 172.16.4.0,0.0.0.255,access-list 1 permit any,(access-list 1 deny 0.0.0.0 255.255.255.255),别忘了系统还有隐含的这条规则!,interface fei_1/2,ip,access-group 1 out,Fei_1/1,Fei_1/2,标准,ACL,配置示例,3,过滤,telnet,对路由器的访问,利用,ACL,针对地址限制进入的,vty,连接,line,telent,access-class,access-list-number,ZXR10(config)#,实例控制,telent,访问,只,允许,192.89.55.0,网段中的主机才能对路由器进行,telnet,访问,access-list 12 permit 192.89.55.0 0.0.0.255,line telnet access-class 12,192.89.55.0/24,网段,我只接受来自,192.89.55.0/24,的,telnet,访问!,10.1.1.0/24,网段,telnet,172.16.1.0/24,网段,INTERNET,ZXR10(config)#,扩展,ACL,的配置,ZXR10(config)#,设置扩展,ACL,access-list,access-list-number, permit | deny ,protocol source source-wildcard operator port,destination destination-wildcard,operator port, established ,ZXR10(config)#,ip,access-group,access-list-number, in | out ,应用到接口,access-list 101 deny,tcp,172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255,eq,21,access-list 101 deny,tcp,172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255,eq,20,access-list 101 permit,ip,any any,interface fei_2/1,ip,access-group 101 out,拒绝从子网,172.16.4.0,到子网,172.16.3.0,通过,fei,_ 2/1,口出去的,FTP,访问,允许其他所有流量,扩展,ACL,的配置实例,1,172.16.3.0,172.16.4.0,172.16.4.13,S0,非,172.16.0.0,网段,Fei_1/1,Fei_2/1,ZXR10(config)#,access-list 101 deny,tcp,172.16.4.0,0.0.0.255,any,eq,23,access-list 101 permit,ip,any,any,interface,fei,_ 2/1,ip,access-group 101 out,扩展,ACL,的配置实例,2,172.16.3.0,172.16.4.0,172.16.4.13,S0,仅拒绝从子网,172.16.4.0,通过,fei,_ 2/1,口外出的,Telnet,允许其他所有流量,非,172.16.0.0,网段,Fei_1/1,Fei_2/1,ZXR10(config)#,ACL,配置原则,ACL,语句的顺序很关键,ACL,按照由上到下的顺序执行,找到一个匹配语句后既执行相应的操作,然后跳出,ACL,而不会继续匹配下面的语句。所以配置,ACL,语句的顺序,非常关键!,自上到下的处理顺序,具体的判别条目应放置在前面,标准,ACL,可以自动排序:,主机,网段,any,隐含的拒绝所有的条目,除非最后有明确的允许语句,否则最终拒绝所有流量,所以,ACL,中必须有允许条目存在,否则一切流量被拒绝,如何放置,ACL,?,标准,ACL,应该在什么位置路由器上设置?,对于标准,ACL,,应该被配置在距离目的网络最近的路由器上。,扩展,ACL,应该在什么位置路由器上设置?,对于扩展,ACL,,应该被配置在距离源网络最近的路由器上。,E0,E0,E1,S0,To0,S1,S0,S1,E0,E0,B,A,D,PC_A,PC_B,ZXR10#show,ip,access-list 1,Standard IP access list 1,permit 10.1.1.0 0.0.0.255,permit 20.1.1.0 0.0.0.255,ACL,配置显示,2,1,3,ACL基本原理,ACL配置步骤,ACL应用实例,内容提要,ACL,实用案例,-,反向,ACL,防范病毒攻击(,1,),需求:,172.16.4.0/24,网段是服务器,为了保证服务器的安全,需要防止,172.16.3.0/24,对该网段的攻击,172.16.3.0/24,还要能够使用服务器提供的,www,服务,172.16.3.0,172.16.4.0,172.16.4.13,S0,非,172.16.0.0,网段,Fei_1/1,Fei_2/1,ACL,实用案例,-,反向,ACL,防范病毒攻击(,2,),access-list 101 permit,tcp,172.16.3.0 0.0.0.255 172.16.4.13 0.0.0.0,eq,www,172.16.3.0/24,可以访问服务器的,www,服务,access-list 101 permit,tcp,172.16.3.0 0.0.0.255 172.16.4.0 0.0.0.255,established,172.16.3.0/24,不能主动向服务器网段发起,tcp,连接,可以禁止病毒攻击,interface fei_1/1,ip,access-group 101 out,172.16.3.0,172.16.4.0,172.16.4.13,S0,非,172.16.0.0,网段,Fei_1/1,Fei_2/1,ACL,实用案例,-,使用,ACL,防止病毒攻击,常见的病毒都是利用系统的一些端口入侵系统的,只要禁用了这些端口就能有效地防范此类病毒。如蠕虫病毒通过入侵,UDP1434,端口。,access-list 110 deny,udp,any,any,eq,1434,内容回顾,ACL,的概念和用途,ACL,的运作原理,ACL,的种类,ACL,的使用规则,ACL,的,语法,查看,ACL,的语句,思考题,对于标准型,ACL,,,应该放在网络的什么位置?而对于扩展型,ACL,,又,应该放在网络的什么位置?,在,I P,访问列表中,如果到最后也没有找到匹配,则传输数据包将如何处理?,你该如何安排访问列表中的条目顺序?,当数据包经过一个未定义访问列表的接口时会如何?,下述访问列表,只有一行,用作一个接口的数据包过滤:,access-list 100 permit,tcp,145.22.3.0 0.0.0.255 any,eq,telnet,对于隐含的,DENY ALL,,,禁止的是什么?,谢谢!,
展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 图纸专区 > 小学资料


copyright@ 2023-2025  zhuangpeitu.com 装配图网版权所有   联系电话:18123376007

备案号:ICP2024067431-1 川公网安备51140202000466号


本站为文档C2C交易模式,即用户上传的文档直接被用户下载,本站只是中间服务平台,本站所有文档下载所得的收益归上传人(含作者)所有。装配图网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。若文档所含内容侵犯了您的版权或隐私,请立即通知装配图网,我们立即给予删除!