ACL的原理配置与排错.pptVIP

OSPF协议的原理、配置与排错 OSPF协议的原理、配置与排错 OSPF协议的原理、配置与排错 OSPF协议的原理、配置与排错 OSPF协议的原理、配置与排错 ACL的原理、配置与排错 课程内容 * OSPF协议的原理、配置与排错 * 第一章 ACL的基本概念 第二章 ACL的配置方法 第三章 ACL故障诊断 ACL的基本概念 访问控制列表（ACL） 应用于路由器接口的指令列表 ，用于指定哪些数据包可以接收转发，哪些数据包需要拒绝 ACL的工作原理 读取第三层及第四层包头中的信息 根据预先定义好的规则对包进行过滤 * OSPF协议的原理、配置与排错 * ACL的基本概念 ACL的作用 提供网络访问的基本安全手段 可用于QoS，控制数据流量 控制通信量 * OSPF协议的原理、配置与排错 * ACL的基本概念 * OSPF协议的原理、配置与排错 * 主机A 主机B 人力资源网络 研发网络 使用ACL阻止某指定网络访问另一指定网络 ACL的基本概念 * OSPF协议的原理、配置与排错 * 实现访问控制列表的核心技术是包过滤 Internet 公司总部 内部网络 未授权用户 办事处 访问控制列表 ACL的基本概念 * OSPF协议的原理、配置与排错 * 通过分析IP数据包包头信息，进行判断（这里IP所承载的上层协议为TCP） IP报头 TCP报头 数据 源地址 目的地址 源端口 目的端口 访问控制列表利用这4个元素定义的规则 ACL的基本概念 ACL的处理过程 * OSPF协议的原理、配置与排错 * 匹配 下一步 拒绝 允许 允许 允许 到达访问控制组接口的数据包 匹配 第一步 目的接口 隐含的 拒绝 丢弃 Y Y Y Y Y Y N N N 匹配 下一步 拒绝 拒绝 拒绝 ACL的基本概念 * OSPF协议的原理、配置与排错 * 使用命令ip access-group将ACL应用到某一个接口上 在接口的一个方向上，只能应用一个access-list Router(config-if)#ip access-group access-list-number {in|out} ACL的基本概念 deny和permit命令 * OSPF协议的原理、配置与排错 * Router(config)#access-list access-list-number {permit|deny} {test conditions} 允许数据包通过应用了访问控制列表的接口 拒绝数据包通过 ACL的配置方法 * OSPF协议的原理、配置与排错 * 通配符any可代替 55 Router(config)#access-list 1 permit 55 Router(config)#access-list 1 permit any ACL的配置方法 * OSPF协议的原理、配置与排错 * host表示检查IP地址的所有位 Router(config)#access-list 1 permit 9 Router(config)#access-list 1 permit host 9 ACL的基本概念 标准访问控制列表 根据数据包的源IP地址来允许或拒绝数据包 访问控制列表号从1到99 标准访问控制列表只使用源地址进行过滤，表明是允许还是拒绝 * OSPF协议的原理、配置与排错 * 从/24来的数据包可以通过！ 从/24来的数据包不能通过！ 路由器 ACL的基本概念 * OSPF协议的原理、配置与排错 * 第一步，使用access-list命令创建访问控制列表 第二步，使用ip access-group命令把访问控制列表应用到某接口 Router(config)#access-list access-list-number { permit | deny } source [ source- wildcard ] [log] Router(config-if)#ip access-group access-list-number { in | out } ACL的基本概念 扩展访问控制列表 基于源和目的地址、传输层协议和应用端口号进行过滤 每个条件都必须匹配，才会施加允许或拒绝条件 使用扩展ACL可以实现更加精确的流量控制 访问控制列表号从100到199 * OSPF协议的原理、配置与排错 * 从/24来的,到3的， 使用TCP协议， 利用HTTP访问的 数据包可以通过！ 路由器 ACL的基本概念 * OSPF协议的原理、配置与排错 * 端口号 关键字 描述 TCP/UDP 20 FTP-DATA （文件传输协议）FTP（数据） TCP 21 FTP （文件传