ACL技术概要.pptVIP

ACL 课程内容 IP包过滤技术 对路由器需要转发的数据包，先获取包头信息，然后和设定的规则进行比较，根据比较的结果对数据包进行转发或者丢弃。而实现包过滤的核心技术是访问控制列表。 IP 数据包过滤 访问控制列表是什么？ 一个IP数据包如下图所示（图中IP所承载的上层协议为TCP/UDP）： 为什么要使用访问控制列表 为什么要使用访问控制列表 性能 对网络设计中特定的用户进行控制 对网络之间的数据流量进行控制 安全 可以基于主机地址、目的地址和服务器类型来允许或禁止为特定的用户提供资源 访问控制列表的使用场合 访问控制列表可以用于防火墙包过滤； 访问控制列表可以用于Qos（Quality of Service），对数据流量进行控制； 在DCC中，访问控制列表还可用来规定触发拨号的条件； 访问控制列表还可以用于地址转换； 在配置路由策略时，可以利用访问控制列表来作路由信息的过滤。 访问控制列表的构成 ACE（访问控制列表的子规则） Time-range（时间段机制） ACL=ACE [+ time-range] （访问控制列表由一系列规则组成，有必要时 会和时间段结合） 访问列表类型 IP标准访问列表 能够对源地址进行过滤，是一种简单，直接的数据控制手段。 IP扩展访问列表 除了基于数据包源地址的过滤以外，还能够对协议，目的地址，端口号进行网络流量过滤。当然，配置也更复杂。 IP标准访问列表 IP扩展访问列表 标准访问列表和扩展访问列表比较 如何识别访问列表 如何识别访问列表 反掩码的作用 反掩码：如何检查相应的地址位 如何使用反掩码 反掩码和IP地址结合使用，可以描述一个地址范围。 通配符掩码指明特定的主机 通配符掩码指明所有主机 访问列表配置要点： 访问列表的编号指明了使用何种协议的访问列表 每个端口、每个方向、每条协议只能对应于一条访问列表 访问列表的内容决定了数据的控制顺序 具有严格限制条件的语句应放在访问列表所有语句的最上面 路由器在访问列表的最后有一条隐含声明：deny any 交换机在访问列表的最后有一条隐含声明： permit any 访问列表不能过滤由设备自己产生的数据 访问列表配置要点： 只能将ACL 应用于如下接口： a) 二层接口Switch Ports b) 二层接口Aggregate Port c) 三层接口Routed Port d) 三层接口L3 Aggregate Port e) 交换机虚拟接口 SVI(Switch virtual interface) ARP协议为系统保留协议,ACL不对ARP报文作用。 ACL与系统中其它的应用互斥： a) 802.1x： b) 端口安全： c) 交换机级安全： 访问表位置 扩展访问表尽量放在靠近过滤源的位置 目的：不会影响其它接口上的上的数据 标准访问表尽量放在靠近目的端口的位置 课程内容 访问控制列表 类型 锐捷设备支持以下几种类型的ACLs: IP ACLs 用于过滤IP 报文，包括TCP 和UDP －Standard IP access lists (标准IP 接入控制列表)使用源IP 地址作为匹配的条件 －Extended IP access lists(扩展IP 接入控制列表)使用源IP 地址、目的IP 地址及可选的协议类型信息作为匹配的条件 Ethernet ACLs 用于过滤二层数据流 －MAC Extended access lists(MAC 扩展控制列表)使用源MAC 地址、目的MAC 地址及可选的以太网类型作为匹配的条件 Expert ACLS 用于过滤二层和三层、二层和四层、二层和三层、四层数据流 －Expert Extended access lists(专家扩展控制列表)使用源 MAC 地址、目的MAC 地址、以太网类型、源IP、目的 IP、及可选的协议类型信息作为匹配的条件。 时间段的相关配置 在系统视图下，配置时间段: time-range time-range-name －设置绝对时间区间： absolute {start time date [end time date]| end time date } －设置周期时间： periodic day-of-the-week hh:mm to [day-of-the-week] hh:mm periodic {weekdays | weekend | daily} hh:mm to hh:mm 定义访问控制列表 在系统视图下，定义ACL并进入访问控制列表视图: 基于名字的定义 －ip access-list standard { name}