07访问控制列表.ppt

第7章访问控制列表 华中科技大学 计算机学院 张云鹤 yhzhang@mail.hust.edu.cn 7.1 ACL概述 ACL Access Control List 访问控制列表 路由器处理数据包转发的一组规则 决定数据包 允许转发——Permit 拒绝转发——Deny 如果不设置ACL，路由器转发网络链路上所有数据包 7.1 ACL概述 可以利用的参数 源、目的地址 上层协议 TCP UDP端口号 ... 应用于接口 In方向——进入 Out方向——发出 基于可路由协议，对于一个接口上的不同网络协议需要分别配置 7.1 ACL概述 ACL的作用 出于安全目的检查和过滤 限制数据流量提高网络性能 限制、减少路由更新内容 按照优先级或用户队列识别数据报 定义经由VPN传输的数据 定义NAT的条件 ... 7.2 执行ACL的过程 数据包处理过程 检查数据包是否可以被路由，可路由的将在路由表中查询路由，选择出站接口 检查出站接口的ACL，如果没有ACL，将数据包交换到出站的接口 如果有ACL，按照ACL语句的次序检测数据包直至有了匹配条件，按照匹配条件的语句对数据包进行数据包的允许转发或拒绝转发 如果没有任何语句匹配，将怎样？——使用隐含的“deny any”(拒绝所有)语句 7.2 执行ACL的过程 7.2 执行ACL的过程 7.2 执行ACL的过程 7.2 执行ACL的过程 ACL匹配过程 路由器按照ACL中各条语句的顺序依次匹配数据包 当数据包与一条语句的条件匹配了，则忽略ACL中的剩余所有语句的匹配处理，按照当前语句的设定来进行转发或拒绝转发 ACL最后都有一条缺省的隐含“deny any”语句 如果ACL中的所有显式语句没有匹配上，那么将匹配这条缺省的语句 ACL可以实时的创建，即实时有效的；因此不能单独修改其中的任何一条或几条，只能全部重写 因此，不要在路由器上直接编写一个大型的ACL，最好使用文字编辑器编写好整个ACL后传送到路由器上。 7.2 执行ACL的过程 7.2 执行ACL的过程 7.2 执行ACL的过程 7.2 执行ACL的过程 7.2 执行ACL的过程 ACL的特点 ACL不检查路由器本身自己产生的数据包 ACL只检查其他来源的数据包 ACL语句按自顶向下的顺序进行处理 最严格的语句放在列表顶部 最不严格的语句放在列表底部 如果ACL中没有找到匹配项，则执行隐性拒绝语句 每个接口的每个方向只能应用一个IP ACL 7.3 ACL类型和通配符掩码 7.3.1 ACL类型 标准访问控制列表 只对数据包中源地址进行检查。 扩展访问控制列表 检查源地址 检查目标地址 检查数据包的上层协议 可以使用代码表示，也可以命名 7.3 ACL类型和通配符掩码 7.3 ACL类型和通配符掩码 7.3.2 通配符掩码 通配符掩码指定了路由器在匹配地址时检查哪些位忽略哪些位 通配符掩码中为“0”的位表示需要检查的位，为“1”的位表示忽略检查的位，这与子网掩码中的意义是完全不同的 192.5.5.10 0.0.0.0二进制方式的表示0000010100001010 (源地址)0000000000000000 (通配符掩码) 7.3 ACL类型和通配符掩码 例1：计算表示下列网络中的所有节点的通配符掩码：192.5.5.0 255.255.255.0 答案：192.5.5.0 0.0.0.255 这个通配符掩码与C类地址的子网掩码正好相反 注意：针对整个网络或子网中所有节点的通配符掩码一般都是这样的 例2：计算表示下列子网中所有节点的通配符掩码： 192.5.5.32 255.255.255.224 答案：192.5.5.32 0.0.0.31 0.0.0.31与255.255.255.224正好相反 7.3 ACL类型和通配符掩码 二进制的形式1111111111100000 (255.255.255.224)0000000000011111 (0.0.0.31) .32子网中的节点地址——192.5.5.550000010100110111 (192.5.5.55) 节点地址0000010100100000 (192.5.5.32) 控制ip地址0000000000011111 (0.0.0.31)通配符掩码 7.3 ACL类型和通配符掩码 例3：掩码为255.255.255.192的192.5.5.64子网的控制IP地址和通