DCN-ROUTE-011-ACL访问控制列表v1.2

内部资料，未经授权严禁外传DCN-ROUTE-011ACL访问控制列表V1.0客服中心技术支持团队概述为什么会有ACL？管理网络中快速增长的IP数据在带宽有限的链路上阻止不必要的数据报文实现安全策略，控制某些IP地址对特定网络的访问设计可被其它应用模块调用概述ACL的实现目标对网络设计中特定的用户进行控制拒绝网络之间进行访问可以基于主机地址、目的地址和服务器类型来允许或禁止为特定的用户提供资源原理什么是ACL？ACL－AccessControlLists使用包过滤技术是一系列有顺序的规则和权限控制的集合原理ACL遵循的规则从上而下依次匹配匹配某条目之后，直接跳出ACL列表，并执行相应的动作；后续条目不再查询匹配如果所有的条目都不能匹配，则默认DenyCondition1PermitCondition2Deny…...Deny…...PermitConditionnDeny??!?原理ACL的分类IPACL基于IP数据包进行控制的ACLMACACL基于以太网帧进行控制的ACL原理IPACL可匹配的内容源/目的IP地址目的TCP/UDP端口号ICMP操作码IP协议号Time-rangeTOS/Precedence原理标准型IPStandardACL只能支持匹配源IP地址命令结构为：ipaccess-liststandardnamedeny{Source[Source-Mask]|any}[log]permit{Source[Source-Mask]|any}[log]原理扩展型IPExtendedACL可支持所有的可选项命令结构为：ipaccess-listextendedname{deny|permit}protocolsourcesource-maskdestinationdestination-mask[time-rangetime-rangename][precedenceprecedence][tostos][log]注：当Protocol为TCP时，还有一个Establish选项，主要是针对TCP三次握手最后一个ACK的原理扩展型IPExtendedACL（续）对于Extended扩展型ACL，如果需要开启基于时间的time-range参数，则需要额外定义辅助参数Time-rangenameperiodic{Mon|Tue|…|daily}starting-timetoending-time原理扩展型IPExtendedACL（续）由于是基于工作时间的ACL，所以我们首先校准路由器的运行时钟Date低端路由器的内置时钟精度通常较低，需要其他协议NTP/SNTP来实时校准同步sntpserverserv-addrversionsntpquery-intervalintervaltime-zonenameHou-offsetMin-offset原理MACACL可匹配的内容源/目的主机MAC地址Any所有MAC地址集合以太网类型应用MACACL命令结构：macaccess-listnamepermit{any|hostsrc-mac-addr}{any|hostdst-mac-addr}[ethertype]deny{any|hostsrc-mac-addr}{any|hostdst-mac-addr}[ethertype]应用MACACL和IPACL的差异MACACL的原理相对简单，并不区分standard和extended调用MACACL时，只能作用于in方向**只能作用于以太网（接口）通常只有交换机设备支持原理ACL的使用注意事项排布顺序的合理性如果条目A是包含B的，最好将B排在前面；如果A条目比B对应的数据流大，则将A排在前面Permit还是deny？根据用户的需求来决定Permit还是Deny条目的数量尽量保证ACL中条目尽量少一些可以使用子网来替代多个IP地址的集合Denyany的隐含规则ACL对转发和本地报文均有效，如Loopback等应用包过滤ACL的应用命令结构为：interface***ipaccess-groupname{in|out}注意：ACL调用的方向！如果调用的是一个没有定义的ACL，其作用相当于permitanyF0/0192.168.1.254192.168.1.1应用包过滤ACL的小结同样要实现一个功能，如果在不同的端口调用，ACL的描述和调用时的方向都是不同的通常情况下，在IP层面上，接收数据包时ACL的优先权总是更高；发送数据包时，ACL的优先权总是更低。应用ACL的其它应用NATNAT应用中，ACL可用于控制那些IP地址/用户需要、有权限进行地址翻译PBRPBR策略路由中，ACL可用于定义不同的数据流或者用户的不同业务，从而协助PBR做出相应的路由策略OSPF/RIP动态路由中，可以借助ACL进行路由过滤，可以加强安全性或者减小动态路由的数据流量……应用ACL的其它应用（续）IPSec在IPSec中，ACL被称为SPDB，即描述那些IP地址（用户）之间的数据流需要进行IPSec处理Debugdebug本身会占用非常多的系统开销，尤其是CPU，ACL的引入，可以尽量减少debug信息的处理、输出量CAR(Rate-limit)CAR，承诺访问速率，即限速。其中必须借助ACL，定义哪些IP/用户需要此服务……应用ACL的debug应用举例某PC通过路由器上网，提供HTTP服务。运行时出现异常，怀疑路由器的IP处理可能出现问题，需要进行debug跟踪。由于实时流量较大，且用户要求排查时网络不能中断，需要启用ACL来减少debug对路由器运行的影响。ipaccess-listextendedtestpermittcpany192.168.1.8255.255.255.255eq80debugippacketdetailaccess-grouptest并非所有debug都可以调用ACL，只有基于IPpacket的debug才可能调用应用特殊的Fast-AccessFastAccess的功能介于标准型和扩展型ACL之间，其实质就是牺牲功能的多样性来提升性能。FastAccess只能基于TCP/UDP端口来过滤IP数据包，其他的IP地址、MAC地址、时间等都不支持；该功能通常与NAT功能配合在一起使用FastAccess即FastACL中各个条目的顺序、匹配规则、默认值等内容与普通ACL一致应用特殊的Fast-Access（续）命令语法ipfastaccessdeny{tcp|udp|icmp}{port-number}该命令直接写入端口模式，省去了调用的步骤实验与练习StandardACL使用标准型ACL，在路由器上禁止PCping自己F0/0192.168.1.254192.168.1.1实验与练习StandardACL配置第一步：定义一个标准型ACLconfig#ipaccess-liststandardtestconfig_std_nacl#deny192.168.1.0255.255.255.0config_std_nacl#permitany第二步：在接口下应用这个ACLconfig#interfacef/0config_if#ipaccess-grouptestin实验与练习ExtendedACL使用扩展型ACL，禁止PCtelnet自己，但可以ping通。思考：如何实现PCping不通路由器，但路由器可以pingPC？F0/0192.168.1.254192.168.1.1实验与练习ExtendedACL配置第一步：定义一个扩展型ACLconfig#ipaccess-listextendedtestconfig_ext_nacl#denytcp192.168.1.0255.255.255.0192.168.1.254255.255.255.255eq23config_ext_nacl#permitipanyany第二步：在接口下应用这个ACLconfig#interfacef/0config_if#ipaccess-grouptestin实验与练习综合首先按照图示配置，保证PC1和PC2相互ping通通过ACL，使PC1无法ping通PC2，想想有多少种方法？F0/1F0/0192.168.1.254PC1:192.168.1.1PC2:172.16.1.1192.168.1.254小结本章小结掌握ACL的命令结构理解ACL匹配的顺序和默认值重点掌握扩展型ACL的应用ACL的调用，熟能生巧谢谢大家，更多详情请登陆