ACL与包过滤 技术培训中心.

Presentation on theme: "ACL与包过滤 技术培训中心."— Presentation transcript:

1 ACL与包过滤 技术培训中心

2 学习目标 了解ACL的作用与分类 了解ACL的基本规则 掌握用ACL进行包过滤 8

3 课程内容 第一章 ACL 第二章 包过滤

4 技术背景 引入ACL的技术背景 网络中数据流的多样性 用户要求对某些特定的数据流采取特殊的策略 需要一种工具来挑选感兴趣的数据流
只允许特定的主机访问服务器 限制FTP流量占用的带宽 过滤某些路由信息 需要一种工具来挑选感兴趣的数据流

5 ACL概述 Access Control list 访问控制列表 ACL作用 对网络设备上的数据流进行分类识别的工具
包过滤 允许或者拒绝特定的数据流经网络设备，保证网络安全 其它 QoS 策略路由 路由过滤

6 ACL的分类 IPv4 ACL IPv6 ACL 其他 根据命名规则 标准IP ACL 扩展IP ACL
基于MAC的ACL（MAC ACL） 专家ACL（Expert ACL） 根据命名规则 编号ACL 命名ACL

7 ACL的工作原理 ACL的组成 ACL工作原理 由一组具有相同编号或者名字的访问控制规则组成（ACL规则） 规则中定义检查字段
由Permit/deny定义执行的动作 ACL工作原理 通过编号或者名字调用ACL 网络设备根据ACL规则检查报文，并采取相应操作

8 ACL基本规则 ACL规则匹配顺序 一个ACL中至少要有一条Permit规则 经常匹配的、细化的语句放在前面 从上至下
当报文匹配某条规则后，将执行操作，跳出匹配过程 缺省最后隐含一条“deny any”的规则 一个ACL中至少要有一条Permit规则 经常匹配的、细化的语句放在前面

9 标准IP ACL 标识方法 编号 1~99和1300~1999 命名 standard 定义字段 源IP地址信息

10 配置标准IP ACL 全局配置模式 ACL配置模式
ruijie（config）#access-list access-list-number { permit | deny } { any | source source-wildcard } [ time-range time-range-name ] ACL配置模式 ruijie（config）# ip access-list standard { name | access-list-number } Ruijie(config-std-nacl)#{ permit | deny } { any | source source-wildcard } [ time-range time-range-name ] Ruijie（config）#ip access-list standard sample Ruijie(config-std-nacl)#permit

11 扩展IP ACL 标识方法 编号 100~199和2000~2699 命名 定义字段 源IP地址、目的IP地址、协议、源端口、目的端口

12 配置扩展IP ACL 全局配置模式 ruijie（config）#access-list access-list-number { deny | permit } protocol { any | source source-wildcard } [ operator port ] { any | destination destination-wildcard } [ operator port ] [ precedence precedence ] [ tos tos ] [ time-range time-range-name ] [ dscp dscp ] [ fragment ] Ruijie（config）#access-list 101 deny ip host Ruijie（config）#access-list 101 permit any any

13 配置扩展IP ACL ACL配置模式 ruijie（config）# ip access-list extended { name | access-list-number } Ruijie(config-ext-nacl)#{ permit | deny } protocol { any | source source-wildcard } [ operator port ] { any | destination destination-wildcard } [ operator port ] [ time-range time-range-name ] [ dscp dscp ] [ fragment ] Ruijie（config）#ip access-list extended sample Ruijie(config-ext-nacl)#permit tcp eq www

14 IPv6 ACL 标识方法 定义字段 命名 扩展ACL 源IPv6地址、目的IPv6地址、下一跳头部、源端口、目的端口等信息
Ethernet IPv6头部 TCP/UPD DATA 源 目标IPv6地址 源 目标端口号 下一跳头部

15 配置IPv6 ACL ACL配置模式 Ruijie(config)#ipv6 access-list name
Ruijie(config-ipv6-acl)#sn]{ permit | deny } protocol { source IPv6-prefix/prefix-len |host source-ipv6-address |any } [ operator port ] { any | destination IPv6-prefix/prefix-len |host source-ipv6-address |any } [flow-label ] [ time-range time-range-name ] [ dscp dscp ] [ fragment ] Ruijie(config)#ipv6 access-list sample Ruijie(config-ipv6-acl)#permit ipv6 2001：：/64 any

16 MAC ACL 标识方式 编号：700~799 命名 定义字段 源MAC地址、目的MAC地址、以太网类型

17 配置MAC ACL 全局配置模式 ACL配置模式
ruijie（config）#access-list access-list-number { permit | deny } { any | host source-mac-address } { any | host destination-mac-address } [ ethernet-type ] [ time-range time-range-name ] ACL配置模式 Ruijie(config)#mac access-list extended { name | access-list-number } Ruijie(config-mac-nacl)# { permit | deny } { any | host source-mac-address } { any | host destination-mac-address } [ ethernet-type ] [ time-range time-range-name ]

18 专家ACL 标识方法 编号：2700~2899 命名 过滤元素 源MAC地址、目的MAC地址、以太网类型、源IP地址、目的IP地址、协议、源端口、目的端口

19 配置专家 ACL 全局配置模式 ACL配置模式
ruijie（config）#access-list access-list-number { permit | deny } [ protocol | ethernet-type ] [ VID vid ] [ { any | source source-wildcard } ] { host source-mac-address | any } [ operator port ] [ { any | destination destination-wildcard } ] { host destination-mac-address | any } [ operator port ] [ precedence precedence ] [ tos tos ] [ time-range time-range-name ] [ dscp dscp ] [ fragment ] ACL配置模式 Ruijie(config)# expert access-list extended { name | access-list-number } Ruijie(config-exp-nacl)# 。。。。。。

20 基于时间的ACL 基于时间的ACL 时间段 在ACL规则中使用time-range参数引用时间段 任何类型的ACL都可以应用时间段
未引用时间段的规则将不受影响 确保设备的系统时间的正确 时间段 绝对时间段（absolute） 周期时间段（periodic）

21 配置基于时间 的ACL 配置时间段 配置绝对时间 配置周期时间 Ruijie(config)#time-range name
Ruijie(config-time-range)# absolute { start time [ end time ] 配置周期时间 Ruijie(config-time-range)# periodic time to time

22 ACL规则的修改 全局模式下编号ACL规则的修改 ACL配置模式下ACL规则的修改 新规则添加到ACL的末尾 无法单独删除某条规则 建议：
导出配置文件进行修改 将ACL规则复制到编辑工具进行修改 删除所有ACL规则重新编写 ACL配置模式下ACL规则的修改 可以给ACL规则编序号，按照序号查找匹配规则 可以在任意位置插入新的ACL规则 可以删除特定的ACL规则

23 课程内容 第一章 ACL 第二章 包过滤 23

24 包过滤 缺省情况下，网络设备会转发所有数据 在接口下绑定IP access-group （包过滤）命令，对流经该接口的数据进行过滤
包过滤对本地生成的外出的数据不生效

25 包过滤 Ruijie(config-IF)#ip access-group ACL in/out IN OUT

26 包过滤的配置 定义访问控制列表 在接口下调用访问控制列表 使用ACL定义规则 Permit表示放通，deny表示丢弃
通过多个相同编号或者名字的规则定义一系列相互关联的规则 在接口下调用访问控制列表 在接口下使用IP access-group调用访问ACL 通过IN/OUT定义方向

27 包过滤的调试 显示全部的访问控制列表 显示指定的访问控制列表 显示接口的访问列表应用 Router#show access-lists
Router#show access-group interface 接口号

28 包过滤案例一 需求： 网段的主机不可以访问服务器 ，其它主机访问服务器 不受限制。

29 包过滤案例二 需求：网段 中的主机能够访问 中的FTP服务和WEB服务，而对该服务器的其它服务禁止访问，可以访问 的任何服务

30 包过滤案例三 需求：上班时间（9：00~18：00）不允许员工的主机（ /24）访问Internet，下班时间可以访问Internet上的Web服务。

31 包过滤案例四 需求：只允许172.16.1.10这台主机远程telnet路由器
Router（config）#enable secret ruijie Router（config）#access-list 3 permit host Router（confg）#line vty 0 4 Router（config-line）#password ruijie Router（config-line）#access-class 3 in

32 包过滤案例四 需求：只允许2001：：/64这个网段的用户的数据通过
ruijie（config）#ipv6 access-list sample ruijie（config-ipv6-nacl）#permit ipv6 2001：：/64 any ruijie（config）#int FA0/1 ruijie（config-if）#ipv6 enable ruijie（config-if）#ipv6 traffic-filter sample in 2001：：/64 2001：301：：/64

33 课程回顾 ACL的作用及分类 ACL的配置 包过滤与ACL

34 谢 谢!