6、ACL与包过滤

整理文档很辛苦,赏杯茶钱您下走!

免费阅读已结束,点击下载阅读编辑剩下 ...

阅读已结束,您可以下载文档离线阅读编辑

资源描述

封面:封面图片可以更换主副标题右对齐,行距不可变中文主标题:微软雅黑32-35pt颜色:R226G0B0中文副标题:微软雅黑18-22pt颜色:R64G64B64配色参考方案:建议同一页面内不超过三种颜色,以下是10组配色方案,同一页面内只选择一组使用。(仅供参考)ACL与包过滤学习目标•了解ACL的作用与分类•了解ACL的基本规则•掌握用ACL进行包过滤课程内容•第一章ACL•第二章包过滤3技术背景引入ACL的技术背景‒网络中数据流的多样性‒用户要求对某些特定的数据流采取特殊的策略−只允许特定的主机访问服务器−限制FTP流量占用的带宽−过滤某些路由信息‒需要一种工具来挑选感兴趣的数据流4ACL概述AccessControllist访问控制列表‒对网络设备上的数据流进行分类识别的工具‒通过ACL定义数据的特征,识别数据流‒通过调用ACL,对识别的数据流进行控制ACL作用‒包过滤−允许或者拒绝特定的数据流经网络设备,保证网络安全‒其它−QoS−策略路由−路由过滤5ACL的分类IPv4ACL‒标准IPACL‒扩展IPACLIPv6ACL其他‒基于MAC的ACL(MACACL)‒专家ACL(ExpertACL)根据命名规则‒编号ACL‒命名ACLACL的工作原理ACL的组成‒由一组具有相同编号或者名字的访问控制规则组成(ACL规则)‒规则中定义检查字段‒由Permit/deny定义执行的动作ACL工作原理‒通过编号或者名字调用ACL‒网络设备根据ACL规则检查报文,并采取相应操作ACL基本规则ACL规则匹配顺序‒从上至下‒当报文匹配某条规则后,将执行操作,跳出匹配过程‒缺省最后隐含一条“denyany”的规则一个ACL中至少要有一条Permit规则经常匹配的、细化的语句放在前面8标准IPACL标识方法‒编号1~99和1300~1999‒命名standard定义字段‒源IP地址信息配置标准IPACL全局配置模式‒ruijie(config)#access-listaccess-list-number{permit|deny}{any|sourcesource-wildcard}[time-rangetime-range-name]ACL配置模式‒ruijie(config)#ipaccess-liststandard{name|access-list-number}‒Ruijie(config-std-nacl)#{permit|deny}{any|sourcesource-wildcard}[time-rangetime-range-name]Ruijie(config)#ipaccess-liststandardsampleRuijie(config-std-nacl)#permit172.16.1.00.0.0.255扩展IPACL标识方法‒编号100~199和2000~2699‒命名定义字段‒源IP地址、目的IP地址、协议、源端口、目的端口配置扩展IPACL全局配置模式‒ruijie(config)#access-listaccess-list-number{deny|permit}protocol{any|sourcesource-wildcard}[operatorport]{any|destinationdestination-wildcard}[operatorport][precedenceprecedence][tostos][time-rangetime-range-name][dscpdscp][fragment]‒Ruijie(config)#access-list101denyip172.16.2.00.0.0.255host192.168.6.8‒Ruijie(config)#access-list101permitanyany配置扩展IPACLACL配置模式‒ruijie(config)#ipaccess-listextended{name|access-list-number}‒Ruijie(config-ext-nacl)#{permit|deny}protocol{any|sourcesource-wildcard}[operatorport]{any|destinationdestination-wildcard}[operatorport][time-rangetime-range-name][dscpdscp][fragment]‒Ruijie(config)#ipaccess-listextendedsample‒Ruijie(config-ext-nacl)#permittcp172.16.1.00.0.0.255192.168.6.10eq标识方法‒命名‒扩展ACL定义字段‒源IPv6地址、目的IPv6地址、下一跳头部、源端口、目的端口等信息EthernetIPv6头部TCP/UPDDATA源目标IPv6地址下一跳头部源目标端口号配置IPv6ACLACL配置模式‒Ruijie(config)#ipv6access-listname‒Ruijie(config-ipv6-acl)#sn]{permit|deny}protocol{sourceIPv6-prefix/prefix-len|hostsource-ipv6-address|any}[operatorport]{any|destinationIPv6-prefix/prefix-len|hostsource-ipv6-address|any}[flow-label][time-rangetime-range-name][dscpdscp][fragment]‒Ruijie(config)#ipv6access-listsample‒Ruijie(config-ipv6-acl)#permitipv62001::/64anyMACACL标识方式‒编号:700~799‒命名定义字段‒源MAC地址、目的MAC地址、以太网类型配置MACACL全局配置模式‒ruijie(config)#access-listaccess-list-number{permit|deny}{any|hostsource-mac-address}{any|hostdestination-mac-address}[ethernet-type][time-rangetime-range-name]ACL配置模式‒Ruijie(config)#macaccess-listextended{name|access-list-number}‒Ruijie(config-mac-nacl)#{permit|deny}{any|hostsource-mac-address}{any|hostdestination-mac-address}[ethernet-type][time-rangetime-range-name]专家ACL标识方法‒编号:2700~2899‒命名过滤元素‒源MAC地址、目的MAC地址、以太网类型、源IP地址、目的IP地址、协议、源端口、目的端口配置专家ACL全局配置模式‒ruijie(config)#access-listaccess-list-number{permit|deny}[protocol|ethernet-type][VIDvid][{any|sourcesource-wildcard}]{hostsource-mac-address|any}[operatorport][{any|destinationdestination-wildcard}]{hostdestination-mac-address|any}[operatorport][precedenceprecedence][tostos][time-rangetime-range-name][dscpdscp][fragment]ACL配置模式‒Ruijie(config)#expertaccess-listextended{name|access-list-number}‒Ruijie(config-exp-nacl)#。。。。。。基于时间的ACL基于时间的ACL‒在ACL规则中使用time-range参数引用时间段‒任何类型的ACL都可以应用时间段‒配置了time-range的规则只会在指定的时间段内生效‒未引用时间段的规则将不受影响‒确保设备的系统时间的正确时间段‒绝对时间段(absolute)‒周期时间段(periodic)配置基于时间的ACL配置时间段‒Ruijie(config)#time-rangename配置绝对时间‒Ruijie(config-time-range)#absolute{starttime[endtime]配置周期时间‒Ruijie(config-time-range)#periodictimetotimeACL规则的修改全局模式下编号ACL规则的修改‒新规则添加到ACL的末尾‒无法单独删除某条规则‒建议:‒导出配置文件进行修改‒将ACL规则复制到编辑工具进行修改‒删除所有ACL规则重新编写ACL配置模式下ACL规则的修改‒可以给ACL规则编序号,按照序号查找匹配规则‒可以在任意位置插入新的ACL规则‒可以删除特定的ACL规则课程内容•第一章ACL•第二章包过滤23包过滤–缺省情况下,网络设备会转发所有数据–在接口下绑定IPaccess-group(包过滤)命令,对流经该接口的数据进行过滤–包过滤对本地生成的外出的数据不生效包过滤–Ruijie(config-IF)#ipaccess-groupACLin/out‒In对从该接口进入设备内部的数据包进行包过滤‒Out对从该接口向外发送数据时进行包过滤‒一个接口在一个方向只能应用一个ACLF1/0F1/1INOUT包过滤的配置–定义访问控制列表‒使用ACL定义规则‒Permit表示放通,deny表示丢弃‒通过多个相同编号或者名字的规则定义一系列相互关联的规则–在接口下调用访问控制列表‒在接口下使用IPaccess-group调用访问ACL‒通过IN/OUT定义方向包过滤的调试–显示全部的访问控制列表–Router#showaccess-lists–显示指定的访问控制列表–Router#showaccess-lists1-199–显示接口的访问列表应用–Router#showaccess-groupinterface接口号包过滤案例一需求:172.16.1.0网段的主机不可以访问服务器172.17.1.1,其它主机访问服务器172.17.1.1不受限制。包过滤案例二需求:网段172.16.1.0中的主机能够访问172.17.1.1中的FTP服务和WEB服务,而对该服务器的其它服务禁止访问,可以访问172.17.1.2的任何服务包过滤案例三需求:上班时间(9:00~18:00)不允许员工的主机(172.16.1.0/24)访问Internet,下班时间可以访问Internet上的Web服务。包过滤案例四需求:只允许172.16.1.10这台主机远程telnet路由器Router(config)#enablesecretruijieRouter(config)#access-list3permithost172.16.1.10Router(confg)#linevty04Router(config-line)#passwordruijieRouter(config-line)#access-class3in包过滤案例四需求:只允许2001::/64这个网段的用户的数据通过ruijie(config)#ipv6access-listsampleruijie(config-ipv6-nacl)#permitipv62001::/64anyruijie(config)#intFA0/1ruij

1 / 34
下载文档,编辑使用

©2015-2020 m.777doc.com 三七文档.

备案号:鲁ICP备2024069028号-1 客服联系 QQ:2149211541

×
保存成功