路由交换机ACL原理及配置分析.pptVIP

访问控制列表ACL原理及配置 什么是ACL? ACL如何工作 ACL如何工作 ACL如何工作 ACL的匹配顺序 ACL的匹配顺序 ACL的匹配顺序 ACL的匹配顺序 ACL的判别依据－五元组 ACL的规则总结 按照由上到下的顺序执行，找到第一个匹配后既执行相应的操作（然后跳出ACL） 每条ACL的末尾隐含一条deny any 的规则 ACL可应用于某个具体的IP接口的出方向或入方向 ACL可应用于系统的某种特定的服务（如针对设备的TELNET） 在引用ACL之前，要首先创建好ACL 对于一个协议，一个接口的一个方向上同一时间内只能设置一个ACL ACL配置步骤 ACL号码范围 标准与扩展ACL的比较 通配符的作用 匹配特定主机地址 匹配任意地址 匹配特定子网 配置标准ACL 标准ACL配置示例1 过滤 telnet 对路由器的访问 实例－－控制 telent 访问 扩展ACL的配置 扩展ACL的配置实例1 扩展ACL的配置实例2 ACL配置原则 ACL语句的顺序很关键 ACL按照由上到下的顺序执行，找到一个匹配语句后既执行相应的操作，然后跳出ACL而不会继续匹配下面的语句。所以配置ACL语句的顺序非常关键！ 自上到下的处理顺序 具体的判别条目应放置在前面 标准ACL可以自动排序： 主机 网段 any 隐含的拒绝所有的条目 除非最后有明确的允许语句，否则最终拒绝所有流量，所以ACL中必须有允许条目存在，否则一切流量被拒绝 如何放置ACL？ 标准ACL应该在什么位置路由器上设置？ －对于标准ACL，应该被配置在距离目的网络最近的路由器上。 扩展ACL应该在什么位置路由器上设置？ －对于扩展ACL，应该被配置在距离源网络最近的路由器上。 ACL配置显示 access-list 101 deny tcp 55 any eq 23 access-list 101 permit ip any any interface fei_ 2/1 ip access-group 101 out 3 S0 仅拒绝从子网 通过 fei_ 2/1口外出的Telnet 允许其他所有流量 非网段 Fei_1/1 Fei_2/1 ZXR10(config)# E0 E0 E1 S0 To0 S1 S0 S1 E0 E0 B A D PC_A PC_B ZXR10#show ip access-list 1 Standard IP access list 1 permit 55 permit 55 ACL是一个对经过路由器的数据进行判断、分类的方法。 常见的ACL的应用是将ACL应用到接口上。其主要作用是根据数据包与数据段的特征来进行判断，决定是否允许数据包通过路由器转发，其主要目的是对数据流量进行管理和控制。如果不使用ACL，路由器无法对流量进行限制。 ACL可以作为一个通用的数据流量的判别标准被应用在不同场合。 常见的其他使用ACL的场合有： 允许或禁止对路由器或来自路由器的telnet访问 QOS与队列技术 策略路由 数据速率限制 灵活拨号控制（SDC） 路由策略 端口流镜像 NAT ACL在以上应用中的作用是作为一个通用的流量判别方法，区分具有不同特征的数据流，进而对其采取不同的处理方式进行处理。 扩展ACL可以针对数据包的源地址、目的地址、协议类型及应用类型（端口号）等信息作为过滤的标准。即可以根据数据包是从那里来、到那里去、何种协议、什么样的应用等特征的来进行精确地控制。 ACL可被应用在数据包进入路由器的接口方向，也可被应用在数据包从路由器外出的接口方向。并且一台路由器上可以设置多个ACL。 但对于一台路由器的某个特定接口的特定方向上，针对某一个协议，如IP协议，只能同时应用一个ACL。 下面以应用在外出接口方向的ACL为例说明ACL的工作流程： 首先数据包进入路由器的接口，根据目的地址查找路由表，找到转发接口（如果路由表中没有相应的路由条目，路由器会直接丢弃此数据包，并给源主机发送目的不可达消息）。确定外出接口后需要检查是否在外出接口上配置了ACL，如果没有配置ACL，路由器将做与外出接口数据链路层协议相同的2层封装，并转发数据。 如果在外出接口上配置了ACL，则要根据ACL制定的原则对数据包进行判断，如果匹配了某一条ACL的判断语句并且这条语句的关键字果是permit，转发数据包。 接下来讨论ACL内部的具体处理过程： 每个ACL可以有多条语句组成，当一个数据包要通过ACL的检查时首先检查ACL中的第一条语句。如果匹配其判别条件则依据这条语句所配置的关键字对数据包操作。如果关键字是permit则转发数据包，如果关键字是deny则直接丢弃此数据包。 如果没有匹配