网络系统建设与运维中级 第6章 网络安全技术v3.5.pptxVIP

第6章网络安全技术

第0页

l理解访问控制列表（ACL）的基本原理和基本作用。

l掌握访问控制列表（ACL）的分类及其配置。

l理解网络地址转换（NAT）的基本知识。

l掌握网络地址转换（NAT）的分类及其配置。

l理解AAA认证的基本知识。

l掌握AAA的基本配置。

学习目标

第1页

6.1访问控制列表

6.1.1ACL基本原理

6.1.2基本ACL和高级ACL6.1.3ACL典型应用

6.2网络地址转换NAT

6.3AAA认证

目录

第2页

lACL基本概念

访问控制列表ACL（AccessControlList）是由一系列规则组成的集合，ACL通过这些规则对报文进行分类，从而使设备可以对不同类报文进行不同的处理。

一个ACL通常由若干条“deny｜permit”语句组成，每条语句就是该ACL的一条规则，每条语句中的“deny｜permit”就是与这条规则相对应的处理动作。

n处理动作“permit”的含义是“允许”

n处理动作“deny”的含义是“拒绝”

ACL是一种应用非常广泛的网络安全技术，配置ACL网络设备的工作过程可分为以下两个步骤：

n根据事先设定好的报文匹配规则对经过该设备的报文进行匹配；

n对匹配的报文执行事先设定好的处理动作。

6.1.1ACL基本原理

第3页

lACL规则

ACL负责管理用户配置的所有规则，并提供报文匹配规则的算法。ACL规则管理基本思想如下：

n每个ACL作为一个规则组，一般可以包含多个规则；

nACL中的每一条规则通过规则ID（rule-id）来标识，规则ID可以自行设置，也可以由系统根据步长自动生成，即设备会在创建ACL的过程中自动为每一条规则分配一个ID；

n默认情况下，ACL中的所有规则均按照规则ID从小到大的顺序与规则进行匹配；

n规则ID之间会留下一定的间隔。如果不指定规则ID时，具体间隔大小由“ACL的步长”来设定。

6.1.1ACL基本原理

第4页

lACL规则匹配

（1）配置了ACL的设备在接收到一个报文之后，会将该报文与ACL中的规则逐条进行匹配；

（2）如果不能匹配上当前这条规则，则会继续尝试去匹配下一条规则；

（3）一旦报文匹配上了某条规则，则会对该报文执行这条规则中定义的处理动作（permit或deny），并且不再继续尝试与后续规则进行匹配；

（4）如果报文不能匹配上ACL的任何一条规则，则设备会对该报文执行“permit”这个处理动作。

6.1.1ACL基本原理

第5页

lACL分类

根据ACL所具备的特性不同，可将ACL分成不同类型，如：

n基本ACL

n高级ACL

n二层ACL

n用户自定义ACL

其中应用最广泛的是基本ACL和高级ACL。各种类型ACL区别，如表所示。

ACL类型

编号范围

规则制订的主要依据

基本ACL

2000～2999

报文源IP地址等信息。

高级ACL

3000～3999

报文源IP地址、目的IP地址、报文优先级、IP承载的协议类型及特性等三、四层信息。

二层ACL

4000～4999

报文的源MAC地址、目的MAC地址、802.1p优先级、链路层协议类型等二层信息

用户自定义ACL

5000～5999

用户自定义报文的偏移位置和偏移量、从报文中提取出相关内容等信息

6.1.1ACL基本原理

第6页

l基本ACL命令格式

基本ACL只能基于IP报文的源IP地址、报文分片标记和时间段信息来定义规则。配置基本ACL规则命令具有如下结构：

rule[rule-id]{permit|deny}[source{source-addresssource-wildcard｜any}fragment|logging|time-rangetime-name]

6.1.2基本ACL和高级ACL

第7页

l案例6-1基本ACL配置

案例背景与要求：某公司网络含外来人员办公区、项目部办工区和财务部办公区。在外来人员办公区中，有一台专供外来人员使用的计算机PC2，IP地址为/24。出于网络安全考虑，需禁止财务部办公区接收PC2发送的IP报文A。为满足此需求，可在路由器R1上配置基本ACL。基本ACL可根据源IP地址信息识

别PC2发送的IP报文A，在GE0/0/3接口的出方向（Outbound方向）上拒绝放行IP报文A。

6.1.2基本ACL和高级ACL

第8页

[R1]acl2000//创建一个编号为2000的基本ACL

[R1-acl-basic-2000]rule