重點1：ACL原理與配置（必會）

ACL原理與配置目錄（Content）ACL原理與配置ACL概述ACL工作原理ACL配置及應(yīng)用?

summer課堂2技術(shù)背景：需要一個工具，實現(xiàn)流量過濾某公司為保證財務(wù)數(shù)據(jù)安全，禁止研發(fā)部門訪問財務(wù)服務(wù)器，但總裁辦公室不受限制。過濾IP流量工具？禁止通過的報文流量允許通過的報文流量InternetVLAN10VLAN20總裁辦公室192.168.3.0/24研發(fā)部門192.168.2.0/24財務(wù)部服務(wù)器192.168.4.4/24?

summer課堂3ACL概述IP

HeaderTCP/UDPHeaderData源IP地址

目的IP地址協(xié)議類型源端口

目的端口ACL是由一系列permit或deny語句組成的、有序規(guī)則的列表。ACL是一個匹配工具，能夠?qū)笪倪M行匹配和區(qū)分。ACL應(yīng)用匹配IP流量在Traffic-filter中被調(diào)用在NAT（NetworkAddressTranslation）中被調(diào)用在路由策略中被調(diào)用在防火墻的策略部署中被調(diào)用在QoS中被調(diào)用其他……?

summer課堂4目錄（Content）華為配置ACL概述ACL工作原理ACL配置及應(yīng)用?

summer課堂5ACL的組成ACL由若干條permit或deny語句組成。每條語句就是該ACL的一條規(guī)則，每條語句中的permit或deny就是與這條規(guī)則相對應(yīng)的處理動作。ACL的組成ACL的分類ACL的匹配規(guī)則acl

number2000rule

10deny source

2.2.2.0

0.0.0.255rule

15

permit

source3.3.3.0

0.0.0.255……rule

4294967294deny訪問控制列表的編號rule

5

permit

source1.1.1.00.0.0.255規(guī)則編號用戶自定義的規(guī)則系統(tǒng)在ACL末尾隱含的規(guī)則動作匹配項(此處為源IP地址)每條規(guī)則都是什么意思？?

summer課堂6規(guī)則編號acl

number

2000rulerulerule51015denydenypermitsource

10.1.1.1

0source

10.1.1.2

0source

10.1.1.0

0.0.0.255步長=5規(guī)則編號如果希望增加1條規(guī)則，該如何處理？rule

11

deny

source

10.1.1.3

0acl

number

2000rule5denysource

10.1.1.1

0rule10denysource

10.1.1.2

0rule11denysource

10.1.1.3

0rule15permitsource

10.1.1.0

0.0.0.255ACL的組成ACL的分類ACL的匹配規(guī)則規(guī)則編號與步長規(guī)則編號（Rule

ID）：一個ACL中的每一條規(guī)則都有一個相應(yīng)的編號。步長（Step）:步長是系統(tǒng)自動為ACL規(guī)則分配編號時，每個相鄰規(guī)則編號之間的差值，缺省值為5。步長的作用是為了方便后續(xù)在舊規(guī)則之間，插入新的規(guī)則。Rule

ID分配規(guī)則：系統(tǒng)為ACL中首條未手工指定編號的規(guī)則分配編號時，使用步長值（例如步長=5，首條規(guī)則編號為5）作為該規(guī)則的起始編號；為后續(xù)規(guī)則分配編號時，則使用大于當(dāng)前ACL內(nèi)最大規(guī)則編號且是步長整數(shù)倍的最小整數(shù)作為規(guī)則編號。?

summer課堂7通配符（1）acl

number

2000rulerulerule51015denydenypermitsource

10.1.1.1source

10.1.1.2source

10.1.1.0000.0.0.255通配符匹配規(guī)則：“0”表示“匹配”；“1”表示“隨機分配”如何匹配192.168.1.1/24對應(yīng)網(wǎng)段的地址？192.168.1.10.0.0.2551100000010101000000000010000000100000000000000000000000011111111嚴格匹配隨機分配192.168.1.0/24網(wǎng)段通配符(Wildcard)通配符是一個32比特長度的數(shù)值，用于指示IP地址中，哪些比特位需要嚴格匹配，哪些比特位無需匹配。通配符通常采用類似網(wǎng)絡(luò)掩碼的點分十進制形式表示，但是含義卻與網(wǎng)絡(luò)掩碼完全不同。?

summer課堂8通配符（2）……192.168.11192.168.100000001匹配192.168.1.0/24這個子網(wǎng)中的奇數(shù)IP地址，例如192.168.1.1、192.168.1.3、192.168.1.5等。嚴格匹配 隨機分配 嚴格匹配答案：192.168.1.1

0.0.0.254192.168.13192.168.100000011192.168.15192.168.100000101對應(yīng)通配符0.0.0.11111110通配符中的1或者0可以不連續(xù)ACL的組成ACL的分類ACL的匹配規(guī)則特殊的通配符精確匹配192.168.1.1這個IP地址192.168.1.1

0.0.0.0

=

192.168.1.1

0匹配所有IP地址0.0.0.0

255.255.255

=

any?

summer課堂9ACL分類基于ACL規(guī)則定義方式的分類分類編號范圍規(guī)則定義描述基本ACL2000~2999僅使用報文的源IP地址、分片信息和生效時間段信息來定義規(guī)則。高級ACL3000~3999可使用IPv4報文的源IP地址、目的IP地址、IP協(xié)議類型、ICMP類型、TCP源/目的端口號、UDP源/目的端口號、生效時間段等來定義規(guī)則。二層ACL4000~4999使用報文的以太網(wǎng)幀頭信息來定義規(guī)則，如根據(jù)源MAC地址、目的MAC地址、二層協(xié)議類型等。用戶自定義ACL5000~5999使用報文頭、偏移位置、字符串掩碼和用戶自定義字符串來定義規(guī)則。用戶ACL6000~6999既可使用IPv4報文的源IP地址或源UCL（User

Control

List）組，也可使用目的IP地址或目的UCL組、

IP協(xié)議類型、ICMP類型、TCP源端口/目的端口、UDP源端口/目的端口號等來定義規(guī)則。ACL的組成ACL的分類ACL的匹配規(guī)則?

summer課堂10基于ACL標(biāo)識方法的分類分類規(guī)則定義描述數(shù)字型ACL傳統(tǒng)的ACL標(biāo)識方法。創(chuàng)建ACL時，指定一個唯一的數(shù)字標(biāo)識該ACL。命名型ACL通過名稱代替編號來標(biāo)識ACL?；続CL和高級ACL基本ACL編號范圍：2000-2999IP

HeaderTCP/UDPHeaderData源IP地址acl

number2000rule5denysource

10.1.1.1

0rule10denysource

10.1.1.2

0rule15permitsource

10.1.1.0

0.0.0.255IP

HeaderTCP/UDPHeaderData編號范圍：3000-3999acl

number3000rule

5

permit

ip source

10.1.1.0

0.0.0.255

destination

10.1.3.0

0.0.0.255rule

10

permit

tcp

source

10.1.2.0

0.0.0.255

destination

10.1.3.0

0.0.0.255

destination-port

eq

21源IP地址目的IP地址協(xié)議類型源端口

目的端口ACL的組成ACL的分類ACL的匹配規(guī)則?

summer課堂11高級ACLACL的匹配機制分析第一條rule分析下一條ruleACL匹配結(jié)果為拒絕ACL匹配結(jié)果為允許ACL匹配結(jié)果為不匹配引用的ACL是否存在？是ACL是否存在rule？是命中rule否是否剩余rule是否否否是permitACL動作是

permit還是denydeny匹配原則：一旦命中即停止匹配ACL的組成ACL的分類ACL的匹配規(guī)則開始結(jié)束?

summer課堂12ACL的匹配順序及匹配結(jié)果配置順序（config模式）?系統(tǒng)按照ACL規(guī)則編號從小到大的順序進行報文匹配，規(guī)則編號越小越容易被匹配。ACL的組成ACL的分類ACL的匹配規(guī)則192.168.1.1/24192.168.1.2/24192.168.1.4/24192.168.1.5/24192.168.1.1/24acl

2000192.168.1.2/24rule

1

permit

source

192.168.1.1

0.0.0.0192.168.1.3/24rule

2

permit

source

192.168.1.2

0.0.0.0192.168.1.4/24rule

3

deny source

192.168.1.3

0.0.0.0192.168.1.5/24rule

4

permit

0.0.0.0

255.255.255.255待匹配對象基本ACL被匹配為“允許”的IP“允許”是指允許流量通過嗎？rule

1：允許源IP地址為192.168.1.1的報文

rule

2：允許源IP地址為192.168.1.2的報文

rule

3：拒絕源IP地址為192.168.1.3的報文

rule

4：允許其他所有IP地址的報文?

summer課堂13ACL的應(yīng)用位置ACL的組成ACL的分類ACL的匹配規(guī)則在此接口上部署ACL對如圖所示的數(shù)量流量生效，需應(yīng)用在inbound

(入站）方向數(shù)據(jù)報文在此接口上部署ACL對如圖所示的數(shù)量流量生效，需應(yīng)用在outbound

(出站)方向?

summer課堂14入站(Inbound)及出站(Outbound)方向ACL的組成ACL的分類ACL的匹配規(guī)則InboundOutbound接口上是否應(yīng)用入方向

ACL？路由NoYesYes數(shù)據(jù)報文ACL是否允許該流量通行？No是否有匹配的路由條目NoYes路由到出接口ACL是否允許該流量通行？出接口是否Yes應(yīng)用出方向ACLYesNoNo數(shù)據(jù)報文數(shù)據(jù)報文?

summer課堂15數(shù)據(jù)報文目錄（Content）華為配置ACL概述ACL工作原理ACL配置及應(yīng)用?

summer課堂16?

summer課堂17ACL基礎(chǔ)配置命令[Huawei]

acl[

number

]

acl-number[

match-order

config

]1.

創(chuàng)建基本ACL使用編號（2000～2999）創(chuàng)建一個數(shù)字型的基本ACL，并進入基本ACL視圖。[Huawei]

aclname

acl-name{

basic

|

acl-number}

[

match-order

config

]使用名稱創(chuàng)建一個命名型的基本ACL，并進入基本ACL視圖。2.

配置基本ACL的規(guī)則[Huawei-acl-basic-2000]

rule[rule-id]

{

deny|

permit

}

[

source{

source-addresssource-wildcard

|

any}

|

time-rangetime-name

]在基本ACL視圖下，通過此命令來配置基本ACL的規(guī)則?；A(chǔ)案例：使用基本ACL過濾數(shù)據(jù)流量配置需求：在Router上部署基本ACL后，ACL將試圖穿越Router的源地址為192.168.1.0/24網(wǎng)段的數(shù)據(jù)包過濾掉，并放行其他流量，從而禁止192.168.1.0/24網(wǎng)段的用戶訪問Router右側(cè)的服務(wù)器網(wǎng)絡(luò)。1、Router已完成IP地址和路由的相關(guān)配置[Router]

acl

2000[Router-acl-basic-2000]rule

deny

source

192.168.1.0

0.0.0.255[Router-acl-basic-2000]

rule

permit

source

any2、在Router上創(chuàng)建基本ACL，禁止192.168.1.0/24網(wǎng)段訪問服務(wù)器網(wǎng)絡(luò)：InternetRouterGE0/0/1192.168.1.0/24192.168.2.0/24?

summer課堂18Server10.1.1.1/24GE0/0/2[Router]

interface

GigabitEthernet

0/0/1[Router-GigabitEthernet0/0/1]

traffic-filter

inbound

acl

2000[Router-GigabitEthernet0/0/1]

quit3、由于從接口GE0/0/1進入Router，所以在接口GE0/0/1的入方向配置流量過濾：?

summer課堂19高級ACL命令（1）[Huawei]

acl[

number

]

acl-number[

match-order

config

]1.

創(chuàng)建高級ACL使用編號（3000～3999）創(chuàng)建一個數(shù)字型的高級ACL，并進入高級ACL視圖。[Huawei]

aclname

acl-name

{

advance

|

acl-number}

[

match-order

config

]使用名稱創(chuàng)建一個命名型的高級ACL，進入高級ACL視圖。?

summer課堂20高級ACL命令（2）2.

配置基本ACL的規(guī)則根據(jù)IP承載的協(xié)議類型不同，在設(shè)備上配置不同的高級ACL規(guī)則。對于不同的協(xié)議類型，有不同的參數(shù)組合。?當(dāng)參數(shù)protocol為IP時，高級ACL的命令格式為在高級ACL視圖下，通過此命令來配置高級ACL的規(guī)則。?當(dāng)參數(shù)protocol為TCP時，高級ACL的命令格式為rule

[rule-id

]

{

deny

|

permit

}

ip

[

destination

{

destination-address

destination-wildcard|

any

}

|

source

{

source-address

source-wildcard|any

}

|

time-range

time-name

|

[

dscp

dscp

|

[

tos

tos

|

precedence

precedence]

]

]在高級ACL視圖下，通過此命令來配置高級ACL的規(guī)則。rule

[rule-id

]{

deny

|

permit

}

{

protocol-number

|

tcp}

[

destination

{

destination-address

destination-wildcard

|

any

}

|

destination-port{

eq

port

|

gt

port

|

lt

port

|

range

port-start

port-end

}

|

source

{

source-addresssource-wildcard

|

any

}

|

source-port

{

eq

port

|

gt

port

|

ltport

|

range

port-startport-end

}

|tcp-flag

{

ack

|

fin

|

syn

}

*

|

time-range

time-name

]

*進階案例：使用高級ACL限制不同網(wǎng)段的用戶互訪(1)1、Router已完成IP地址和路由的相關(guān)配置。2、創(chuàng)建高級ACL

3001并配置ACL規(guī)則，拒絕研發(fā)部訪問市場部的報文：[Router]

acl

3001[Router-acl-adv-3001]

rule

deny

ip

source

10.1.1.0

0.0.0.255destination

10.1.2.0

0.0.0.255[Router-acl-adv-3001]

quit[Router]

acl

3002[Router-acl-adv-3002]

rule

deny

ip

source

10.1.2.0

0.0.0.255destination

10.1.1.0

0.0.0.255[Router-acl-adv-3002]

quit3、創(chuàng)建高級ACL

3002并配置ACL規(guī)則，拒絕市場部訪問研發(fā)部的報文：配置需求：某公司通過Router實現(xiàn)各部門之間的互連。為方便管理網(wǎng)絡(luò)，管理員為公司的研發(fā)部和市場部規(guī)劃了兩個網(wǎng)段的IP地址?，F(xiàn)要求Router能夠限制兩個網(wǎng)段之間互訪，防止公司機密泄露。InternetRouterGE0/0/1

10.1.1.1/24研發(fā)部門10.1.1.0/24GE0/0/2

10.1.2.1/24市場部門10.1.2.0/24?

summer課堂21進階案例：使用高級ACL限制不同網(wǎng)段的用戶互訪(2)[Router]

interface

GigabitEthernet

0/0/1[Router-GigabitEthernet0/0/1]

traffic-filter

inbound

acl

3001[Router-GigabitEthernet0/0/1]

quit[Router]

interface

GigabitEthernet

0/0/2[Router-GigabitEthernet0/0/2]

traffic-filter

inbound

acl

3002[Router-GigabitEthernet0/0/2]

quit4、由于研發(fā)部和市場部互訪的流量分別從接口GE0/0/1和GE0/0/2進入Router，所以在接口GE0/0/1和GE0/0/2的入方向配置流量過濾：InternetRouterGE0/0/1

10.1.1.1/24