DCN-ROUTEACL访问控制列表v1.2

整理文档很辛苦,赏杯茶钱您下走!

免费阅读已结束,点击下载阅读编辑剩下 ...

阅读已结束,您可以下载文档离线阅读编辑

资源描述

内部资料,未经授权严禁外传DCN-ROUTE-011ACL访问控制列表V1.0客服中心技术支持团队概述为什么会有ACL?管理网络中快速增长的IP数据在带宽有限的链路上阻止不必要的数据报文实现安全策略,控制某些IP地址对特定网络的访问设计可被其它应用模块调用概述ACL的实现目标对网络设计中特定的用户进行控制拒绝网络之间进行访问可以基于主机地址、目的地址和服务器类型来允许或禁止为特定的用户提供资源原理什么是ACL?ACL-AccessControlLists使用包过滤技术是一系列有顺序的规则和权限控制的集合原理ACL遵循的规则从上而下依次匹配匹配某条目之后,直接跳出ACL列表,并执行相应的动作;后续条目不再查询匹配如果所有的条目都不能匹配,则默认DenyCondition1PermitCondition2Deny…...Deny…...PermitConditionnDeny??!?原理ACL的分类IPACL基于IP数据包进行控制的ACLMACACL基于以太网帧进行控制的ACL原理IPACL可匹配的内容源/目的IP地址目的TCP/UDP端口号ICMP操作码IP协议号Time-rangeTOS/Precedence原理标准型IPStandardACL只能支持匹配源IP地址命令结构为:ipaccess-liststandardnamedeny{Source[Source-Mask]|any}[log]permit{Source[Source-Mask]|any}[log]原理扩展型IPExtendedACL可支持所有的可选项命令结构为:ipaccess-listextendedname{deny|permit}protocolsourcesource-maskdestinationdestination-mask[time-rangetime-rangename][precedenceprecedence][tostos][log]注:当Protocol为TCP时,还有一个Establish选项,主要是针对TCP三次握手最后一个ACK的原理扩展型IPExtendedACL(续)对于Extended扩展型ACL,如果需要开启基于时间的time-range参数,则需要额外定义辅助参数Time-rangenameperiodic{Mon|Tue|…|daily}starting-timetoending-time原理扩展型IPExtendedACL(续)由于是基于工作时间的ACL,所以我们首先校准路由器的运行时钟Date低端路由器的内置时钟精度通常较低,需要其他协议NTP/SNTP来实时校准同步sntpserverserv-addrversionsntpquery-intervalintervaltime-zonenameHou-offsetMin-offset原理MACACL可匹配的内容源/目的主机MAC地址Any所有MAC地址集合以太网类型应用MACACL命令结构:macaccess-listnamepermit{any|hostsrc-mac-addr}{any|hostdst-mac-addr}[ethertype]deny{any|hostsrc-mac-addr}{any|hostdst-mac-addr}[ethertype]应用MACACL和IPACL的差异MACACL的原理相对简单,并不区分standard和extended调用MACACL时,只能作用于in方向**只能作用于以太网(接口)通常只有交换机设备支持原理ACL的使用注意事项排布顺序的合理性如果条目A是包含B的,最好将B排在前面;如果A条目比B对应的数据流大,则将A排在前面Permit还是deny?根据用户的需求来决定Permit还是Deny条目的数量尽量保证ACL中条目尽量少一些可以使用子网来替代多个IP地址的集合Denyany的隐含规则ACL对转发和本地报文均有效,如Loopback等应用包过滤ACL的应用命令结构为:interface***ipaccess-groupname{in|out}注意:ACL调用的方向!如果调用的是一个没有定义的ACL,其作用相当于permitanyF0/0192.168.1.254192.168.1.1应用包过滤ACL的小结同样要实现一个功能,如果在不同的端口调用,ACL的描述和调用时的方向都是不同的通常情况下,在IP层面上,接收数据包时ACL的优先权总是更高;发送数据包时,ACL的优先权总是更低。应用ACL的其它应用NATNAT应用中,ACL可用于控制那些IP地址/用户需要、有权限进行地址翻译PBRPBR策略路由中,ACL可用于定义不同的数据流或者用户的不同业务,从而协助PBR做出相应的路由策略OSPF/RIP动态路由中,可以借助ACL进行路由过滤,可以加强安全性或者减小动态路由的数据流量……应用ACL的其它应用(续)IPSec在IPSec中,ACL被称为SPDB,即描述那些IP地址(用户)之间的数据流需要进行IPSec处理Debugdebug本身会占用非常多的系统开销,尤其是CPU,ACL的引入,可以尽量减少debug信息的处理、输出量CAR(Rate-limit)CAR,承诺访问速率,即限速。其中必须借助ACL,定义哪些IP/用户需要此服务……应用ACL的debug应用举例某PC通过路由器上网,提供HTTP服务。运行时出现异常,怀疑路由器的IP处理可能出现问题,需要进行debug跟踪。由于实时流量较大,且用户要求排查时网络不能中断,需要启用ACL来减少debug对路由器运行的影响。ipaccess-listextendedtestpermittcpany192.168.1.8255.255.255.255eq80debugippacketdetailaccess-grouptest并非所有debug都可以调用ACL,只有基于IPpacket的debug才可能调用应用特殊的Fast-AccessFastAccess的功能介于标准型和扩展型ACL之间,其实质就是牺牲功能的多样性来提升性能。FastAccess只能基于TCP/UDP端口来过滤IP数据包,其他的IP地址、MAC地址、时间等都不支持;该功能通常与NAT功能配合在一起使用FastAccess即FastACL中各个条目的顺序、匹配规则、默认值等内容与普通ACL一致应用特殊的Fast-Access(续)命令语法ipfastaccessdeny{tcp|udp|icmp}{port-number}该命令直接写入端口模式,省去了调用的步骤实验与练习StandardACL使用标准型ACL,在路由器上禁止PCping自己F0/0192.168.1.254192.168.1.1实验与练习StandardACL配置第一步:定义一个标准型ACLconfig#ipaccess-liststandardtestconfig_std_nacl#deny192.168.1.0255.255.255.0config_std_nacl#permitany第二步:在接口下应用这个ACLconfig#interfacef/0config_if#ipaccess-grouptestin实验与练习ExtendedACL使用扩展型ACL,禁止PCtelnet自己,但可以ping通。思考:如何实现PCping不通路由器,但路由器可以pingPC?F0/0192.168.1.254192.168.1.1实验与练习ExtendedACL配置第一步:定义一个扩展型ACLconfig#ipaccess-listextendedtestconfig_ext_nacl#denytcp192.168.1.0255.255.255.0192.168.1.254255.255.255.255eq23config_ext_nacl#permitipanyany第二步:在接口下应用这个ACLconfig#interfacef/0config_if#ipaccess-grouptestin实验与练习综合首先按照图示配置,保证PC1和PC2相互ping通通过ACL,使PC1无法ping通PC2,想想有多少种方法?F0/1F0/0192.168.1.254PC1:192.168.1.1PC2:172.16.1.1192.168.1.254小结本章小结掌握ACL的命令结构理解ACL匹配的顺序和默认值重点掌握扩展型ACL的应用ACL的调用,熟能生巧谢谢大家,更多详情请登陆

1 / 34
下载文档,编辑使用

©2015-2020 m.777doc.com 三七文档.

备案号:鲁ICP备2024069028号-1 客服联系 QQ:2149211541

×
保存成功