20_ACL流量控制

合集下载
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

©2009,蓝狐网络版权所有,未经授权不得使用与传播. 7
包过滤工作原理分析
入方向过滤规则案例: 1.不允许源IP为10.1.1.0/24网段的报文通过 2.不允许源IP为10.2.2.0/24网段,目标IP为10.3.3.0/24网段 的telnet报文通过 3.其他的均允许。
IP报头
TCP/UDP报头
▪ 在出口路由器上用访问控制列表来允许办公的业 务流量访问Internet,拒绝其它业务访问Internet, 配置如下: 创建access-list 1,允
许Vlan21的流量 Router(config)#access-list 1 permit 192.168.21.0 0.0.0.255 Router(config)#interface fastEthernet 2/0 Router(config-if)#ip access-group 1 in 将access-list 1应用在 路由器接口的in方向
©2009,蓝狐网络版权所有,未经授权不得使用与传播.
28
命名的访问控制列表
命名ACL中可以使用一个字母或字母数字组合的字符串
ACL的应用 – 包过滤防火墙功能 – NAT(Network Address Translation,网络地址转换) – QoS(Quality of Service,服务质量)的数据分类 – 路由策略和过滤 – 按需拨号
©2009,蓝狐网络版权所有,未经授权不得使用与传播.
4
ACL的作用
ACL的主要作用 – 进行数据包过滤,增加网络的安全性 – 区分数据流,为其它工具服务 基于特定数据流的特征来区分数据 – 源、目标IP地址 – 源、目标端口号 – 协议号或其他一些信息
到某接口的某方向上
允许或拒绝匹配的流量 源地址 通配符掩码
Router(config)#access-list 1 permit 172.16.0.0 0.0.255.255 Router(config)#interface fastEthernet 0/0 将访问控制列表应用 Router(config-if)#ip access-group 1 in 在接口的入方向上 Router#show access-lists 查看访问控制列表
©2009,蓝狐网络版权所有,未经授权不得使用与传播.
25
扩展访问列表案例分析
Area 0
生产:172.16.16.0/20 办公:172.17.16.0/20
为实现业务安全: 1.办公与生产业务不允许 相互访问 2.办公网段能访问internet
RT1
RT2
Area 1
生产:172.16.32.0/24 办公:172.17.32.0/24
©2009,蓝狐网络版权所有,未经授权不得使用与传播. 27
扩展ACL应用实例(2)配置
▪ 在三层交换机通过使用访问控制列表,拒绝办公 网内主机访问OA服务器的telnet流量,而允许其 它流量。配置如下:
创建ACL拒绝办公业务对OA的telnet流量 Switch(config)# access-list 101 deny tcp 192.168.21.0 0.0.0.255 192.168.1.1 0.0.0.0 eq 23 Switch(config)# access-list 101 permit ip 192.168.21.0 0.0.0.255 host 192.168.1.1 允许办公业务对OA的其他流量 Switch(config)# interface Vlan 10 将ACL应用在SVI Switch(config-if)#ip access-group 101 in 接口的in方向
控制层面
RIP进程 OSPF进程1 OSPF进程2 BGP进程
形成和维护 全局路由表
全局路由表
IP转发进程
使用全局路由表 进行数据包转发
转发层面
©2009,蓝狐网络版权所有,未经授权不得使用与传播. 3
访问控制列表概述
访问控制列表ACL – 访问控制列表(Access Control List,ACL) 是路由器和交换 机接口的指令列表,用来控制端口进出的数据包。
TELNET SMTP
NAMESERVER DOMAIN TFTP
终端连接 简单邮件传输协议
主机名字服务器 域名服务器(DNS) 普通文件传输协议(TFTP) 万维网
©2009,蓝狐网络版权所有,未经授权不得使用与传播.
TCP TCP
UDP TCP/UDP UDP TCP
24
WWW
扩展ACL的配置
第一步,使用access-list命令创建访问控制列表 第二步,使用ip access-group命令把访问控制列表应用
到某接口的某方向上
源地址及目标地址
协议
Router(config)#access-list 101 deny tcp 172.16.4.0 0.0.0.255 协议对应的端口号 172.16.3.0 0.0.0.255 eq 21 Router(config)#interface fastEthernet 0/0 Router(config-if)#ip access-group 101 in 将访问控制列表 应用在接口下

– –
针对网络中更细化的地址或子网的列表语句要在更笼统的语句前面, 将经常用到的条件放在不常用的条件前面 后续增加的语句总是放在列表的最后面,但在隐含拒绝语句的前面 在使用序号访问列表时,不能选择性的增加或移除访问列表语句, 但使用命名访问列表时可以这样做
©2009,蓝狐网络版权所有,未经授权不得使用与传播.
0.255.255.255
只比较前22位
只比较前8位
©2009,蓝狐网络版权所有,未经授权不得使用与传播.
18
通配符掩码的应用示例
IP地址
192.168.0.1
192.168.0.1
通配符掩码
0.0.0.255
0.0.3.255
表示的地址范围
192.168.0.0/24
192.168.0.0/22
192.168.0.1
192.168.0.1 —— 192.168.0.1
0.255.255.255
0.0.0.0(host)
192.0.0.0/8
192.168.0.1 0.0.0.0/0 192.168.0.0/24和 192.168.2.0/24
255.255.255.255
(any) 0.0.2.255
©2009,蓝狐网络版权所有,未经授权不得使用与传播.
19
标准ACL应用实例
▪ 某公司按业务的不同划分了多个Vlan,现要求只 有办公业务网段的主机能访问Internet,其它业务 网段主机不能访问Internet,要如何实现?
©2009,蓝狐网络版权所有,未经授权不得使用与传播. 20
标准ACL应用实例配置
RT3
RT4
RT3(config)#access-list 101 permit IP 172.16.32.0 0.0.0.255 172.16.0.0 0.0.255.255 RT3(config)#access-list 102 deny IP 172.17.32.0 0.0.0.255 172.16.0.0 0.0.255.255

思考: – 主机10.1.2.5/24能否实现访问? – 主机10.1.3.5/24能否实现访问? – 主机10.2.1.5/24能否实现访问?
©2009,蓝狐网络版权所有,未经授权不得使用与传播.
16
标准ACL的配置
第一步,使用access-list命令创建访问控制列表
第二步,使用ip access-group命令把访问控制列表应用
©2009,蓝狐网络版权所有,未经授权不得使用与传播.
14
标准ACL工作流程
末尾隐含拒绝
©2009,蓝狐网络版权所有,未经授权不得使用与传播.
15
标准ACL工作流程
– – – –
拒绝源IP网段为10.1.1.0/24的数据包 拒绝源IP网段为10.1.2.0/24的数据包 允许源IP网段为10.1.0.0/16的数据包 拒绝源IP网段为其他网段的数据包(默认拒绝)
©2009,蓝狐网络版权所有,未经授权不得使用与传播.
6
数据包过滤工作原理
在路由器上使用访问控制列表(ACL)可以控制特定的数据流。 ACL应用于接口上,每个接口的出入双向分别应用对某方向上 进出的数据包逐个过滤,丢弃或允许通过 仅当数据包经过一个接口时,才能被此接口的此方向的ACL过 滤

其他种类的访问控制列表
• • • • • 基于MAC地址的访问控制列表 基于时间的访问控制列表 动态访问控制列表 基于协议的访问控制列表 基于子网的访问控制列表
©2009,蓝狐网络版权所有,未经授权不得使用与传播.
13
标准ACL
标准访问控制列表 – 根据数据包的源IP地址来允许或拒绝数据包通过 – 访问控制列表号从1到99,1300到1999
注:在access-list 1的最后隐蔽了deny any语句, 因此过滤了其它业务网段的流量。
©2009,蓝狐网络版权所有,未经授权不得使用与传播. 21
扩展ACL
扩展访问控制列表 – 基于源和目的地址、传输层协议和应用端口号进行过滤 – 每个条件都必须匹配,才会施加允许或拒绝条件 – 使用扩展ACL可以实现更加精确的流量控制 – 访问控制列表号从100到199,2000到2699
RT3(config)#access-list 102 permit IP any any
©2009,蓝狐网络版权所有,未经授权不得使用与传播.
26
扩展ACL应用实例(2)
▪ 某公司按业务的不同划分了多个Vlan, 为保证 OA服务器的安全,现要求拒绝办公网内所有主机 访问OA服务器的telnet流量,要如何实现?
19_ACL流量控制
©2009,蓝狐网络版权所有,未经授权不得使用与传播.
本节大纲
ACL概述 ACL包过滤工作原理 ACL分类及工程应用
ACL常见故障分析
©2009,蓝狐网络版权所有,未经授权不得使用与传播.
2
功能层面的控制
功能层面的控制 – 控制层面:针对于路由协议的控制(路由过滤、路由属性操作) – 数据平面:针对于数据报文的控制(数据包过滤,数据报文字段)
IP报头
TCP/UDP报头
数据
协议号 源IP地址 目的IP地址
源端口 目的端口
对于TCP/UDP来说,访问 控制列表就是利用这5个 元素定义的规则。
©2009,蓝狐网络版权所有,未经授权不得使用与传播.
5
本节大纲
ACL概述 ACL包过滤工作原理 ACL分类及工程应用
ACL常见故障分析
数据
©2009,蓝狐网络版权所有,未经授权不得使用与传播.
8
入站包过滤工作流程
©2009,蓝狐网络版权所有,未经授权不得使用与传播.
9
出站包过滤工作流程
©2009,蓝狐网络版权所有,未经授权不得使用与传播.
10
ACL包过滤的基本原则
一个访问列表可以应用于多个路由器接口,然而,在每个
接口下,每个方向只允许应用一个访问列表。 ACL由ACL号绑定多条语句组成 ; Cisco ACL语句最后隐含deny any 语句 ACL匹配顺序,遵循自上而下的处理原则:
11
本节大纲
ACL概述 ACL包过滤工作原理 ACL分类及工程应用
ACL常见故障分析
©2009,蓝狐网络版权所有,未经授权不得使用与传播.
12
ACL的分类

基本类型的访问控制列表
• 标准访问控制列表
– 只基于源IP地址特征进行匹配
• 扩展访问控制列表
– 可以基于源、目IP,源目端口,协议进行匹配
©2009,蓝狐网络版权所有,未经授权不得使用与传播.
22
扩展ACL的工作流程
©2009,蓝狐网络版权所有,未经授权不得使用与传播.
23
常见协议及端口号
端口号
20 21
关键字
FTP-DATA FTP
描述
(文件传输协议)FTP(数据) (文件传输协议)FTP
TCP/UDP
TCP TCP
23 25
42 53 69 80
©2009,蓝狐网络版权所有,未经授权不得使用与传播.
17
通配符掩码
通配符掩码和IP地址结合使用以描述一个地址范围 通配符掩码和子网掩码相似,但含义不同(子网掩码必须
ห้องสมุดไป่ตู้
连续,通配符可以不连续)
– –
0表示对应位须比较 1表示对应位不比较
通配符掩码
0.0.0.255
含义
只比较前24位
0.0.3.255
相关文档
最新文档