BHBIN_网络知识分册_第五章_ACL技术.pptVIP

课程提纲 ACL基本概念 ACL在包过滤方面的应用 ACL在其它方面的应用 引入ACL背景 网络中数据流的多样性 实际应用要求对某些数据流采用特殊的策略 我希望给语音数据高的优先级 我不允许别人telnet我的主机 我的接口要对FTP流量限速 需要一种技术来挑选相应的数据流 访问列表概述 一种流量分类技术 IP ACL 网桥ACL 如何利用访问列表 适用于多种情况 判断需要的数据流 定义ACL内容挑选数据流 由相关应用调用ACL IP访问列表 标准ACL 只检查报文的源地址 编号范围：1-99,1300-1999 扩展ACL 检查报文的源目的地址、协议号和端口等信息 编号范围：100-199,2000-2699 一个访问控制列表可包含多条过滤规则 配置标准ACL access-list access-list-num { permit | deny } {A.B.C.D/M | any} [log] 配置扩展ACL access-list access-list-num { permit | deny } protocol {A.B.C.D/M | any} {A.B.C.D/M | any} [precedence 0-7] [tos 0-31] [log] 常用协议类型说明 ip 代表任何协议 tcp、udp 响应的关键字和指定端口号：eq,neq,lt,gt等 icmp 跟协议类型和代码 ACL的配置规则 自上到下生效 新加的条件被追加到尾部 隐含操作为deny any,但可调 在ACL尾加permit any 或deny any 没定义的ACL，按隐含操作处理 ACL的应用 出入接口包过滤 telnet访问控制 DDR NAT 策略路由 路由更新控制 课程提纲 ACL基本概念 ACL在包过滤方面的应用 ACL在其它方面的应用 HOS的包过滤特性 基于源目的地址、协议号、端口及其它报文信息的过滤 支持两种报文过滤模式，普通模式和基于连接状态的过滤 包过滤模式 普通模式 接口收发的所有报文都要进行访问控制列表检查，以包为单位 连接状态检测 对连接发起报文进行访问控制列表检查，以连接为单位 报文处理过程－标准ACL 一旦数据报文匹配了某条规则就立即执行 ACL的最后是一条隐含的“Deny Any” 扩展ACL的处理 标准访问列表的位置 扩展访问列表的指导 配置包过滤 ip filter on | off 配置包过滤（续） 显示ACL和包过滤 调试ACL和包过滤 标准ACL包过滤实例 Show和debug的输出 扩展ACL包过滤实例 课程提纲 ACL基本概念 ACL在包过滤方面的应用 ACL在其它方面的应用 telnet 访问控制 telnet 访问控制实例 ACL用于DDR ACL用于DDR ACL用于NAT ACL用于策略路由 ACL用于路由更新控制 access-list 101 permit tcp any any eq 21 access-list 101 permit tcp any any eq 20 access-list 101 deny ip any any interface eth0/0 ip add /30 ip nat outside interface eth0/1 ip address 54/16 ip nat inside ip nat on ip nat inside source list 101 interface eth0/0 NAT内部接口eth0/1，NAT外部接口eth0/0 数据流匹配条件由ACL101定义 对ftp数据流进行地址转换 Eth0/0 internet Eth0/1 Eth3/0 Eth0/0 Eth0/1 发往32的ftp数据包，从接口eth0/0送出 发往32的其它类型数据从接口eth3/0送出 32 ftp 其它 ACL用于策略路由 ip policy-route enable access-list 101 permit tcp any 32/32 eq 21 access-list 101 permit tcp any 32/32 eq 20 access-list 101 deny ip any any access-list 102 deny tcp any 32/32 eq 21 access-list 102 deny tcp any 32/32 eq 20 access-list 102 permit ip any 32/32 access-list 102 deny ip any any interface eth0/0 ip address /30 interface et