17 REUB_501_C1 E系列路由交换机ACL原理及配置V1.1(42).pptVIP

REUB_501_C1ZXR 10 IP功能特性原理和配置E系列访问控制列表ACL原理及配置 V1.1 本章学习目标 经过本章的学习，你可以获得以下收获： 了解ACL的概念，及其作用 了解ACL的工作原理和过程 掌握ACL的基本配置，实现对数据流的控制 课程内容 ACL基本原理 ACL配置步骤 ACL应用实例 什么是ACL? ACL的使用场合 哪些场合需要使用ACL？ 允许或禁止对路由器或来自路由器的telnet访问 QOS与队列技术 策略路由 数据速率限制 路由策略 端口流镜像 NAT …… ACL如何工作 ACL如何工作 ACL如何工作 ACL的匹配顺序 ACL的匹配顺序 ACL的匹配顺序 ACL的匹配顺序 ACL的判别依据－五元组 ACL的规则总结 按照由上到下的顺序执行，找到第一个匹配后既执行相应的操作（然后跳出ACL） 每条ACL的末尾隐含一条deny any 的规则 ACL可应用于某个具体的IP接口的出方向或入方向 ACL可应用于系统的某种特定的服务（如针对设备的TELNET） 在引用ACL之前，要首先创建好ACL 对于一个协议，一个接口的一个方向上同一时间内只能设置一个ACL 课程内容 ACL基本原理 ACL配置步骤 ACL应用实例 ACL配置步骤 ACL号码范围 标准与扩展ACL的比较 通配符的作用 匹配特定主机地址 匹配任意地址 匹配特定子网 配置标准ACL 标准ACL配置示例1 过滤 telnet 对路由器的访问 实例－－控制 telent 访问 扩展ACL的配置 扩展ACL的配置实例1 扩展ACL的配置实例2 ACL配置原则 ACL语句的顺序很关键 ACL按照由上到下的顺序执行，找到一个匹配语句后既执行相应的操作，然后跳出ACL而不会继续匹配下面的语句。所以配置ACL语句的顺序非常关键！ 自上到下的处理顺序 具体的判别条目应放置在前面 标准ACL可以自动排序： 主机 网段 any 隐含的拒绝所有的条目 除非最后有明确的允许语句，否则最终拒绝所有流量，所以ACL中必须有允许条目存在，否则一切流量被拒绝 如何放置ACL？ 标准ACL应该在什么位置路由器上设置？ －对于标准ACL，应该被配置在距离目的网络最近的路由器上。 扩展ACL应该在什么位置路由器上设置？ －对于扩展ACL，应该被配置在距离源网络最近的路由器上。 ACL配置显示 课程内容 ACL基本原理 ACL配置步骤 ACL应用实例 ACL实用案例-反向ACL防范病毒攻击（1） 需求： /24网段是服务器，为了保证服务器的安全，需要防止/24对该网段的攻击 /24还要能够使用服务器提供的www服务 ACL实用案例-反向ACL防范病毒攻击（2） ACL实用案例-使用ACL防止病毒攻击 常见的病毒都是利用系统的一些端口入侵系统的，只要禁用了这些端口就能有效地防范此类病毒。如蠕虫病毒通过入侵UDP1434端口。 access-list 110 deny udp any any eq 1434 内容回顾 ACL的概念和用途 ACL的运作原理 ACL的种类 ACL的使用规则 ACL的语法 查看ACL的语句 思考题 对于标准型ACL，应该放在网络的什么位置？而对于扩展型ACL，又应该放在网络的什么位置？ 在I P访问列表中，如果到最后也没有找到匹配，则传输数据包将如何处理？ 你该如何安排访问列表中的条目顺序？ 当数据包经过一个未定义访问列表的接口时会如何？ 下述访问列表，只有一行，用作一个接口的数据包过滤： access-list 100 permit tcp 55 any eq telnet 对于隐含的DENY ALL，禁止的是什么？ 对于特定子网网段范围的匹配，其计算方式与子网划分与子网掩码的计算类似但“0”与“1”的含义相反 配置标准ACL其列表号码范围1到99，配置语句中只有源地址的匹配条件，如果只写IP地址而不写通配符，其缺省通配符为。 可使用“no access-list access-list-number” 删除整个ACL。 在接口配置模式下使用ip access-group access-list-number { in | out }将ACL应用在接口上。 可使用“no ip access-group access-list-number” 去掉接口上的ACL设置 要求与配置结果分开出现，动画化，检查配置是否正确！！！ 注意，将ACL 1放在这两个接口的入方向行不行？不行，因为这样的话，和非网段就能够互通了。 注意，此ACL放在fei_1/1的入方向行不行？不行，因为这样的话，3就不能从这个接口发出任何流量，不能访问其他任何网段了。 此时可以提到标准ACL的位置，