CHP6訪問控制列表

訪問控制列表(ACL)Page2學(xué)習(xí)目標(biāo)

學(xué)完本課程后，您應(yīng)該能：掌握ACL在企業(yè)網(wǎng)絡(luò)中的應(yīng)用掌握ACL的工作原理掌握ACL的配置Page3ACLACL應(yīng)用場景Page4服務(wù)器AG0/0/0G0/0/1/.2/24ACL是由一系列規(guī)則組成的集合。ACL通過定義規(guī)則來允許或拒絕流量的通過，對網(wǎng)絡(luò)設(shè)備自身產(chǎn)生的數(shù)據(jù)包不起作用。

RTASWA主機(jī)A主機(jī)B主機(jī)C主機(jī)DACL應(yīng)用場景Page5G0/0/0數(shù)據(jù)未匹配數(shù)據(jù)數(shù)據(jù)加密后數(shù)據(jù)匹配ACL可以根據(jù)需求來定義過濾的條件以及匹配條件后所執(zhí)行的動作。/.2/24SWA主機(jī)A主機(jī)B主機(jī)C主機(jī)DRTAACL作用1．限制網(wǎng)絡(luò)流量、提高網(wǎng)絡(luò)性能。2．提供對通信流量的控制手段。3．提供網(wǎng)絡(luò)訪問的基本安全手段。4．在路由器接口處，決定哪種類型的通信流量被轉(zhuǎn)發(fā)、哪種類型的通信流量被阻塞。5．在QoS實施中對數(shù)據(jù)包進(jìn)行分類。6.定義IPSecVPN的感興趣流量。7.匹配NAT的源。8.路由導(dǎo)入時匹配路由條目。9.PBR中定義策略Page6ACL分類Page7分類編號范圍參數(shù)基本ACL2000-2999源IP地址等高級ACL3000-3999源IP地址、目的IP地址、

源端口、目的端口等二層ACL4000-4999源MAC地址、目的MAC地址、以太幀協(xié)議類型等ACL兩種匹配順序：配置順序(默認(rèn)采用)和自動排序。配置順序按ACL規(guī)則編號從小到大的順序進(jìn)行匹配。自動排序使用“深度優(yōu)先”的原則進(jìn)行匹配，即根據(jù)規(guī)則的精確度排序。ACL規(guī)則Page8如果未匹配如果未匹配/24/24RTARTBrule15denysource55每個ACL可以包含多個規(guī)則，RTA根據(jù)規(guī)則來對數(shù)據(jù)流量進(jìn)行過濾。一個ACL可以由多條“deny

|

permit”語句組成ARG3系列路由器默認(rèn)規(guī)則編號的步長是5。rule10denysource55acl2000rule5denysource55ACL條件匹配順序Page9根據(jù)各描述語句的判斷條件，對數(shù)據(jù)包進(jìn)行檢查。一旦找到了某一匹配條件，就結(jié)束比較過程，不再檢查以后的其他條件判斷語句。ACL通配符掩碼通配符掩碼使用以下規(guī)則匹配二進(jìn)制1和0:通配符掩碼位0—匹配地址中對應(yīng)位的值通配符掩碼位1—忽略地址中對應(yīng)位的值每個ACL都應(yīng)該放置在最能發(fā)揮作用的位置?；镜囊?guī)則是：將復(fù)雜ACL盡可能靠近要拒絕流量的源。這樣，才能在不需要的流量流經(jīng)網(wǎng)絡(luò)之前將其過濾掉.因為基本ACL不會指定目的地址，所以其位置應(yīng)該盡可能靠近目的地.放置ACL位置S1/0/0G0/0/1G0/0/1G0/0/0G0/0/1G0/0/1G0/0/0S1/0/0S1/0/1S1/0/1基于時間的

ACL什么是基于時間的ACL?基于時間的ACL允許根據(jù)時間執(zhí)行訪問控制.基于時間的ACL具有許多優(yōu)點(diǎn)，例如:在允許或拒絕資源訪問方面為網(wǎng)絡(luò)管理員提供了更多的控制權(quán).允許網(wǎng)絡(luò)管理員控制日志消息。time-rangetime-range

time-name

{

start-time

to

end-time

days

|

from

time1date1

[

to

time2date2

]}[Huawei]time-rangetestfrom0:02016/1/1to23:592016/12/31配置時間段test，從2016年1月1日00:00起到2016年12月31日23:59生效[Huawei]time-rangetest8:00to18:00working-day配置時間段test，在周一到周五每天8:00到18:00生效[Huawei]time-rangetest14:00to18:00off-day配置時間段test，在周六、周日下午14:00到18:00生效Page13ACL配置命令編號ACL:acl

[

number

]

acl-number

[

match-order

{

auto

|

config

}][Huawei]acl2000命名ACL:aclname

acl-name

[

advance

|

basic

|

link

|

acl-number

][

match-order

{

auto

|

config

}][Huawei]aclnameHuaweibasicPage14基本ACL配置Page15G0/0/0/24/24主機(jī)A主機(jī)BRTA[RTA]acl2000[RTA-acl-basic-2000]ruledenysource55[RTA]interfaceGigabitEthernet0/0/0[RTA-GigabitEthernet0/0/0]traffic-filteroutboundacl2000[RTA]user-interfacevty04[RTA-ui-vty0-4]acl2001inbound配置確認(rèn)Page16[RTA]displayacl2000BasicACL2000,1ruleAcl'sstepis5rule5denysource55[RTA]displaytraffic-filterapplied-record

InterfaceDirectionAppliedRecord

GigabitEthernet0/0/0outboundacl2000

[RTA]displaytraffic-filterstatisticsinterfaceg0/0/0outbound*interfaceGigabitEthernet0/0/0outboundMatched:5(Packets)Passed:0(Packets)Dropped:5(Packets)高級ACL配置Page17RTA/24/24FTP服務(wù)器私有服務(wù)器G0/0/0/24/24主機(jī)A主機(jī)B[RTA]acl3000[RTA-acl-adv-3000]ruledenytime-rangeTESTtcpsource55destinationdestination-porteq21[RTA-acl-adv-3000]ruledenytime-rangeTESTtcpsource55destination[RTA-acl-adv-3000]rulepermitip[RTA-GigabitEthernet0/0/0]traffic-filteroutboundacl3000配置驗證Page18[RTA]displayacl3000AdvancedACL3000,3rulesAcl'sstepis5rule5denytcpsource55destination0destination-porteqftptime-rangeTESTrule10denytcpsource55destination0time-rangeTESTrule15permitip[RTA]displaytraffic-filterapplied-record

InterfaceDirectionAppliedRecord

GigabitEthernet0/0/0outboundacl3000

<RTA>displaytime-rangeTESTCurrenttimeis23:50:246-5-2016Sunday

Time-range:TEST(Active)

00:00to23:59off-dayACL應(yīng)用-NATPage19RTA/24/24主機(jī)A主機(jī)BG0/0/0本例要求通過ACL來實現(xiàn)主機(jī)A和主機(jī)B分別使用不同的公網(wǎng)地址池來進(jìn)行NAT轉(zhuǎn)換。地址池2……0地址池1……5Page20ACL應(yīng)用-NAT[RTA]nataddress-group15[RTA]nataddress-group20010[RTA]acl2000[RTA-acl-basic-2000]rulepermitsource55[RTA]acl2001[RTA-acl-basic-2001]rulepermitsource55[RTA-acl-basic-2001]interfaceGigabitEthernet0/0/0[RTA-GigabitEthernet0/0/0]natoutbound2000address-group1[RTA-GigabitEthernet0/0/0]natoutbound2001address-group2[RTA-GigabitEthernet0/0/0]natstaticprotocoltcpglobal0080inside190080[RTA-GigabitEthernet0/0/0]natstaticglobal01inside01NATALG(FTP為例)Page21

主動模式（PORT）的連接過程

被動模式（PASV）的連接過程natalg

{

all

|

dns

|

ftp

|

rtsp

|

sip

}

enable，使能NATALG功能[RTA]displaynatalgNATApplicationLevelGatewayInformation:

ApplicationStatus

dnsEnabled

ftpEnabled

rtspEnabled

sipEnabledPage22二層ACL二層ACLacl

[

number

]

acl-number

[

match-order

{

auto

|

config

}]，使用編號創(chuàng)建一個二層ACLaclname

acl-name

{

link

|

acl-number

}[

match-order

{

auto

|

config

}]，使用名稱創(chuàng)建一個二層ACLrule

{

permit

|

deny

}[

l2-protocol

type-value

[

type-mask

]|

destination-mac

dest-mac-address

[

dest-mac-mask

]|

source-mac

source-mac-address

[

source-mac-mask

]|

vlan-id

vlan-id

[

vlan-id-mask

]|

8021p

802.1p-value

|[

time-range

time-range-name

]]

*創(chuàng)建規(guī)則Page23二層ACL舉例（1）要求AR1在接口G0/0/0對源MAC為5489-98e9-2ece的報文進(jìn)行流量統(tǒng)計,并將報文丟棄Page24二層ACL舉例（1）[R1]aclnumber4000[R1-acl-L2-4000]rule10permitsource-mac5489-98e9-2eceffff-ffff-ffff[R1-acl-L2-4000]q[R1]trafficclassifierc1[R1-classifier-c1]if-matchacl4000[R1-classifier-c1]q[R1]trafficbehaviorb1[R1-behavior-b1]deny[R1-behavior-b1]statisticenable[R1-behavior-b1]q[R1]trafficpolicyp1[R1-trafficpolicy-p1]classifierc1behaviorb1[R1-trafficpolicy-p1]q[R1]interfaceGigabitEthernet0/0/0[R1-GigabitEthernet0/0/0]traffic-policyp1inboundPage25驗證二層ACL[R1]displayaclall

TotalquantityofnonemptyACLnumberis1L2ACL4000,1ruleAcl'sstepis5

rule10permitsource-mac5489-98e9-2ece(3matches)[R1]displaytraffic-policyapplied-record

PolicyName:p1

PolicyIndex:0

Classifier:c1Behavior:b1*interfaceGigabitEthernet0/0/0

traffic-policyp1inbound

slot0:successPage26驗證二層ACL[R1]displaytrafficpolicystatisticsinterfaceg0/0/0inbound

Interface:GigabitEthernet0/0/0

Trafficpolicyinbound:p1

Rulenumber:1

Currentstatus:OK!ItemSum(Packets/Bytes)Rate(pps/bps)Matched3/0/

2520

+--Passed0/0/

00

+--Dropped3/0/

2520

+--Filter3/0/

2520Page27二層ACL舉例（2）要求CLIENT1不能訪問CLIENT2，拒絕CLIENT1到CLIENT3的ARP流量Page28二層ACL舉例（2）[S1]acl4000[S1-acl-L2-4000]rule10denyl2-protocolarpdestination-mac5489-9862-2FF8ffff-ffff-ffffsource-mac5489-9803-2C28ffff-ffff-ffff[S1-acl-L2-4000]rule20denysource-mac5489-9862-2FF8ffff-ffff-ffffdestination-macffff-ffff-ffffffff-ffff-ffff

[S1-acl-L2-4000]intg0/0/1[S1-GigabitEthernet0/0/1]traffic-filterinacl4000Page29驗證二層ACL[S1]displayaclallTotalnonemptyACLnumberis1

L2ACL4000,2rulesAcl'sstepis5rule10denyl2-protocolarpdestination-mac5489-9862-2ff8source-mac5489-9803-2c28rule20denydestination-macffff-ffff-ffffsource-mac5489-9862-2ff8

[S1]displaytraffic-appliedinterfaceinboundACLappliedinboundinterfaceGigabitEthernet0/0/1

ACL4000rule10denyl2-protocolarpdestination-mac5489-9862-2ff8source-mac5489-9803-2c28ACTIONS:filter

ACL4000rule20denydestination-macffff-ffff-ffffsource-mac5489-9862-2ff8ACTIONS:filterPage30ACL配置防火墻Page31ACL配置防火墻定義防火墻過濾規(guī)則[R1]aclnumber3000[R1-acl-adv-3000]rule10permittcpdestination00destination-porteqwww[R1-acl-adv-3000]rule20denyip[R1-acl-adv-3000]q[R1]aclnumber3001[R1-acl-adv-3001]rule10permitipsource55[R1-acl-adv-3001]rule20denyip[R1-acl-adv-3001]qPage32