




下載本文檔
版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)
文檔簡(jiǎn)介
1、ACL概述ACL濾原理ACL分類配置ACL濾ACL濾的注意事項(xiàng)ACL概述ACL(Access Control List,控制列表)是用來實(shí)現(xiàn)數(shù)據(jù)包識(shí)別功能的ACL可以應(yīng)用于諸多方面濾功能NAT(Network Address Translation,網(wǎng)絡(luò)地址轉(zhuǎn)換)QoS(Quality of Service,服務(wù)質(zhì)量)的數(shù)據(jù)分類路由策略和過濾按需撥號(hào)ACL概述ACL濾原理ACL分類配置ACL濾ACL濾的注意事項(xiàng)基于ACL的濾技術(shù)對(duì)進(jìn)出的數(shù)據(jù)包逐個(gè)過濾,丟棄或允許通過ACL應(yīng)用于接口上,每個(gè)接口的出入雙向分別過濾僅當(dāng)數(shù)據(jù)包經(jīng)過一個(gè)接口時(shí),才能被此接口的此方向的ACL過濾入方向過濾入方向過濾出方向
2、過濾出方向過濾接口接口路由轉(zhuǎn)發(fā)進(jìn)程入站濾工作流程匹配第一條規(guī)則數(shù)據(jù)包入站匹配第二條規(guī)則匹配最后一條規(guī)則丟棄通過YesPermit是否配置入方向ACL包過濾NoPermitDenyPermitDefault PermitDenyDenyDefaueny數(shù)據(jù)包進(jìn)入轉(zhuǎn)發(fā)流程N(yùn)oNoNo檢查默認(rèn)規(guī)則設(shè)定出站濾工作流程匹配第一條規(guī)則數(shù)據(jù)包到達(dá)出接口匹配第二條規(guī)則匹配最后一條規(guī)則丟棄通過YesPermit是否配置出方向ACL包過濾NoPermitDenyPermitDefault PermitDenyDenyDefaueny數(shù)據(jù)包出站NoNoNo檢查默認(rèn)規(guī)則設(shè)定通配符掩碼通配符掩碼含義0.0.0.255只
3、比較前24位0.0.3.255只比較前22位0.255.255.255只比較前8位通配符掩碼和IP地址結(jié)合使用以描述一個(gè)地址范圍通配符掩碼和子網(wǎng)掩碼相似,但含義不同0表示對(duì)應(yīng)位須比較1表示對(duì)應(yīng)位不比較通配符掩碼的應(yīng)用示例IP地址通配符掩碼表示的地址范圍192.168.0.10.0.0.255192.168.0.0/24192.168.0.10.0.3.255192.168.0.0/22192.168.0.10.255.255.255192.0.0.0/8192.168.0.10.0.0.0192.168.0.1192.168.0.1255.255.255.2550.0.0.0/0192.168
4、.0.10.0.2.255192.168.0.0/24和192.168.2.0/24ACL概述ACL濾原理ACL分類配置ACL濾ACL濾的注意事項(xiàng)ACL的標(biāo)識(shí)利用數(shù)字序號(hào)標(biāo)識(shí)控制列表可以給控制列表指定名稱,便于控制列表的分類數(shù)字序號(hào)的范圍基本控制列表20002999擴(kuò)展控制列表30003999基于二層的控制列表40004999用戶自定義的控制列表50005999基本ACL接口接口基本控制列表只根據(jù)報(bào)文的源IP地址信息制定規(guī)則從1.1.1.0/24來的數(shù)據(jù)包不能通過從2.2.2.0/28來的數(shù)據(jù)包可以通過DA=3.3.3.3 SA=1.1.1.1DA=3.3.3.3 SA=2.2.2.1分組分組
5、高級(jí)ACL接口接口高級(jí) 控制列表根據(jù)報(bào)文的源IP地址、目的IP地址、IP承載的協(xié)議類型、協(xié)議特性等三、四層信息制定規(guī)則從1.1.1.0/24來,到3.3.3.1的TCP端口80去的數(shù)據(jù)包不能通過從1.1.1.0/24來,到2.2.2.1的TCP端口23去的數(shù)據(jù)包可以通過DA=3.3.3.1, SA=1.1.1.1TCP, DP=80, SP=2032DA=2.2.2.1, SA=1.1.1.1TCP, DP=23, SP=3176分組分組二層ACL與用戶自定義ACL二層ACL根據(jù)報(bào)文的源MAC地址、目的MAC地址、 802.1p優(yōu)先級(jí)、二層協(xié)議類型等二層信息制定匹配規(guī)則用戶自定義ACL可以根據(jù)
6、任意位置的任意字串制定匹配規(guī)則報(bào)文的報(bào)文頭、IP頭等為基準(zhǔn),指定從第幾個(gè)字節(jié)開始與掩碼進(jìn)行 “與”操作,將從報(bào)文提取出來的字符串和用戶定義的字符串進(jìn)行比較,找到匹配的報(bào)文。ACL概述ACL濾原理ACL分類配置ACL濾ACL濾的注意事項(xiàng)ACL濾配置任務(wù)啟動(dòng)濾功能,設(shè)置默認(rèn)的過濾規(guī)則根據(jù)需要選擇合適的ACL分類創(chuàng)建正確的規(guī)則設(shè)置匹配條件設(shè)置合適的動(dòng)作(Permit/Deny)在路由器的接口上應(yīng)用ACL,并指明過濾報(bào)文的方向(入站/出站)啟動(dòng)濾功能功能需要在路由器上啟動(dòng)后才能生效設(shè)置的默認(rèn)過濾方式系統(tǒng)默認(rèn)的默認(rèn)過濾方式是permitsysname firewall enablesysname fir
7、ewall default permit | deny 配置基本ACLsysname acl number acl-number配置基本ACL,并指定ACL序號(hào)基本IPv4 ACL的序號(hào)取值范圍為20002999sysname-acl-basic-2000 rule rule-id deny | permit fragment | logging | source sour-addr sour-wildcard | any |time-range time-name 定義規(guī)則制定要匹配的源IP地址范圍指定動(dòng)作是permit或deny配置高級(jí)ACL配置高級(jí)IPv4 ACL,并指定ACL序號(hào)高級(jí)I
8、Pv4 ACL的序號(hào)取值范圍為30003999sysname-acl-adv-3000 rule rule-id deny | permit protocol destination dest-addr dest-wildcard | any | destination-port operator port1 port2 established | fragment | source sour-addr sour-wildcard | any | source-port operator port1 port2 | time-range time-namesysname acl number
9、acl-number定義規(guī)則需要配置規(guī)則來匹配源IP地址、目的IP地址、IP承載的協(xié)議類型、協(xié)議端等信息指定動(dòng)作是permit或deny配置二層ACL配置二層 ACL,并指定ACL序號(hào)二層ACL的序號(hào)取值范圍為40004999sysname-acl-ethernetframe-3000 rule rule-id deny | permit cos vlan-pri | dest-mac dest-addr dest-mask | lsap lsap-code lsap-wildcard | source-mac sour-addr source-mask | time-range time-n
10、amesysname acl number acl-number定義規(guī)則需要配置規(guī)則來匹配源MAC地址、目的MAC地址、802.1p優(yōu)先級(jí)、二層協(xié)議類型等二層信息指定動(dòng)作是permit或deny在接口上應(yīng)用ACL將ACL應(yīng)用到接口上,配置的ACL濾才能生效指明在接口上應(yīng)用的方向是Outbound還是Inboundsysname-Serial2/0 firewall packet-filter acl- number | name acl-name inbound | outbound ACL濾顯示與調(diào)試操作查看的統(tǒng)計(jì)信息number查看以太網(wǎng)幀過濾情況的信息清除的統(tǒng)計(jì)信息number顯示配置的
11、IPv4 ACL信息清除IPv4 ACL統(tǒng)計(jì)信息命令display firewall-statistics all | interface interface-type interface-display firewall ethernet-frame- filter all | dlsw | interface interface-type interface-number reset firewall-statistics all | interface interface-type interface-display acl acl-number | all reset acl coun
12、ter acl-number | all |ACL概述ACL濾原理ACL分類配置ACL濾ACL濾的注意事項(xiàng)ACL規(guī)則的匹配順序匹配順序指ACL中規(guī)則的優(yōu)先級(jí)。ACL支持兩種匹配順序:配置順序(config):按照用戶配置規(guī)則的先后順序進(jìn)行規(guī)則匹配自動(dòng)排序(auto):按照“深度優(yōu)先”的順序進(jìn)行規(guī)則匹配,即地址范圍小的規(guī)則被優(yōu)先進(jìn)行匹配配置ACL的匹配順序:sysname acl number acl-number match-order auto | config 不同匹配順序?qū)е陆Y(jié)果不同接口接口DA=3.3.3.3 SA=1.1.1.1分組acl number 2000 match-orde
13、r config rule permit source 1.1.1.0 0.0.0.255rule deny source 1.1.1.1 0接口接口DA=3.3.3.3 SA=1.1.1.1分組acl number 2000 match-order autorule permit source 1.1.1.0 0.0.0.255rule deny source 1.1.1.1 0在網(wǎng)絡(luò)中的正確位置配置ACL濾盡可能在靠近數(shù)據(jù)源的路由器接口上配置ACL,以減少不必要的流量轉(zhuǎn)發(fā)高級(jí)ACL應(yīng)該在靠近被過濾源的接口上應(yīng)用ACL,以盡早不必要的流量進(jìn)入網(wǎng)絡(luò)基本ACL過于靠近被過濾源的基本ACL可能該源
14、合法目的應(yīng)在不影響其他合法的前提下,盡可能使ACL靠近被過濾的源高級(jí)ACL部署位置示例PCAE0/1E0/0RTCRTBRTA要求PCA不能NetworkA和 NetworkB,但可以其他所有網(wǎng)絡(luò)NetworkA192.168.0.0/24NetworkB 192.168.1.0/24NetworkC 192.168.2.0/24NetworkD 192.168.3.0/24E0/0E0/1172.16.0.1RTC firewall enable RTC acl number 3000RTC-acl-adv-3000 rule deny ip source 172.16.0.1 0 dest
15、ination 192.168.0.0 0.0.1.255RTC-Ethernet0/0 firewall packet-filter 3000 inbound基本ACL部署位置示例要求PCA不能NetworkA和 NetworkB,但可以其他所有網(wǎng)絡(luò)PCA16.0.1E0/1E0/0RTCRTBRTANetworkA192.168.0.0/24NetworkB 192.168.1.0/24NetworkC 192.168.2.0/24NetworkD 192.168.3.0/24E0/0E0/1172.RTA firewall enableRTA acl number 2000RTA-acl-basic-2000 rule deny source 172.16.0.1 0 RTA-Ethernet0/1 firewall packet-filter 2000 inb
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。
最新文檔
- 城軌行業(yè)的綠色低碳發(fā)展
- 2024年份第2季度裝修合同窗臺(tái)外沿防水斜坡施工標(biāo)準(zhǔn)爭(zhēng)議
- DB14T 1666-2024肉羊中獸藥保健技術(shù)規(guī)程
- 開展校園教研活動(dòng)總結(jié)
- 物業(yè)個(gè)人工作總結(jié)
- 車間工程勞務(wù)大清包施工合同
- 沈陽市種子買賣合同
- 2025年黔南貨運(yùn)從業(yè)資格證好考嗎
- 2025年迪慶c1貨運(yùn)上崗證模擬考試
- 疫情防控家長(zhǎng)培訓(xùn)會(huì)課件
- 20道瑞幸咖啡營(yíng)運(yùn)經(jīng)理崗位常見面試問題含HR常問問題考察點(diǎn)及參考回答
- 教師調(diào)課申請(qǐng)表
- 急性心力衰竭中國(guó)急診管理指南2022
- 《利用導(dǎo)數(shù)研究函數(shù)的零點(diǎn)問題》教學(xué)設(shè)計(jì)
- 茶室設(shè)計(jì)-課件
- 安全生產(chǎn)重大事故隱患排查報(bào)告表
- 顱骨修補(bǔ)術(shù)后護(hù)理查房
- 管道系統(tǒng)吹洗(掃)記錄(壓縮空氣)
- 建設(shè)單位甲方對(duì)監(jiān)理單位考核管理辦法
- Access數(shù)據(jù)庫應(yīng)用技術(shù)(第3版)PPT完整全套教學(xué)課件
- 小型提灌站管護(hù)合同范本
評(píng)論
0/150
提交評(píng)論