网络技术培训系列课程：安全技术-ACL与包过滤

《网络技术培训系列课程：安全技术-ACL与包过滤》由会员分享，可在线阅读，更多相关《网络技术培训系列课程：安全技术-ACL与包过滤（32页珍藏版）》请在装配图网上搜索。

1、ACL与包过滤技术培训中心技术培训中心 课程内容l第一章第一章 ACLl第二章 包过滤2技术背景 引入ACL的技术背景 网络中数据流的多样性 用户要求对某些特定的数据流采取特殊的策略 只允许特定的主机访问服务器 限制FTP流量占用的带宽 过滤某些路由信息 需要一种工具来挑选感兴趣的数据流3ACL概述 Access Control list 访问控制列表 对网络设备上的数据流进行分类识别的工具 通过ACL定义数据的特征，识别数据流 通过调用ACL，对识别的数据流进行控制 ACL作用 包过滤 允许或者拒绝特定的数据流经网络设备，保证网络安全 其它 QoS 策略路由 路由过滤4ACL的分类 IPv4

2、 ACL 标准IP ACL 扩展IP ACL IPv6 ACL 其他 基于MAC的ACL（MAC ACL）专家ACL（Expert ACL）根据命名规则 编号ACL 命名ACLACL的工作原理 ACL的组成 由一组具有相同编号或者名字的访问控制规则组成（ACL规则）规则中定义检查字段 由Permit/deny定义执行的动作 ACL工作原理 通过编号或者名字调用ACL 网络设备根据ACL规则检查报文，并采取相应操作ACL基本规则 ACL规则匹配顺序 从上至下 当报文匹配某条规则后，将执行操作，跳出匹配过程 缺省最后隐含一条“deny any”的规则 一个ACL中至少要有一条Permit规则 经常

3、匹配的、细化的语句放在前面7标准IP ACL 标识方法 编号 199和13001999 命名 standard 定义字段 源IP地址信息配置标准IP ACL 全局配置模式 ruijie（config）#access-list access-list-number permit|deny any|source source-wildcard time-range time-range-name ACL配置模式 ruijie（config）#ip access-list standard name|access-list-number Ruijie(config-std-nacl)#permit|

4、deny any|source source-wildcard time-range time-range-name Ruijie（config）#ip access-list standard sampleRuijie(config-std-nacl)#permit 172.16.1.0 0.0.0.255扩展IP ACL 标识方法 编号 100199和20002699 命名 定义字段 源IP地址、目的IP地址、协议、源端口、目的端口配置扩展IP ACL 全局配置模式 ruijie（config）#access-list access-list-number deny|permit prot

5、ocol any|source source-wildcard operator port any|destination destination-wildcard operator port precedence precedence tos tos time-range time-range-name dscp dscp fragment Ruijie（config）#access-list 101 deny ip 172.16.2.0 0.0.0.255 host 192.168.6.8 Ruijie（config）#access-list 101 permit any any配置扩展I

6、P ACL ACL配置模式 ruijie（config）#ip access-list extended name|access-list-number Ruijie(config-ext-nacl)#permit|deny protocol any|source source-wildcard operator port any|destination destination-wildcard operator port time-range time-range-name dscp dscp fragment Ruijie（config）#ip access-list extended s

7、ample Ruijie(config-ext-nacl)#permit tcp 172.16.1.0 0.0.0.255 192.168.6.10 eq wwwIPv6 ACL 标识方法 命名 扩展ACL 定义字段 源IPv6地址、目的IPv6地址、下一跳头部、源端口、目的端口等信息EthernetIPv6头部TCP/UPDDATA源 目标IPv6地址下一跳头部源 目标端口号配置IPv6 ACL ACL配置模式 Ruijie(config)#ipv6 access-list name Ruijie(config-ipv6-acl)#sn permit|deny protocol source

8、 IPv6-prefix/prefix-len|host source-ipv6-address|any operator port any|destination IPv6-prefix/prefix-len|host source-ipv6-address|any flow-label time-range time-range-name dscp dscp fragment Ruijie(config)#ipv6 access-list sample Ruijie(config-ipv6-acl)#permit ipv6 2001：/64 anyMAC ACL 标识方式 编号：70079

9、9 命名 定义字段 源MAC地址、目的MAC地址、以太网类型配置MAC ACL 全局配置模式 ruijie（config）#access-list access-list-number permit|deny any|host source-mac-address any|host destination-mac-address ethernet-type time-range time-range-name ACL配置模式 Ruijie(config)#mac access-list extended name|access-list-number Ruijie(config-mac-nac

10、l)#permit|deny any|host source-mac-address any|host destination-mac-address ethernet-type time-range time-range-name 专家ACL 标识方法 编号：27002899 命名 过滤元素 源MAC地址、目的MAC地址、以太网类型、源IP地址、目的IP地址、协议、源端口、目的端口配置专家 ACL 全局配置模式 ruijie（config）#access-list access-list-number permit|deny protocol|ethernet-type VID vid an

11、y|source source-wildcard host source-mac-address|any operator port any|destination destination-wildcard host destination-mac-address|any operator port precedence precedence tos tos time-range time-range-name dscp dscp fragment ACL配置模式 Ruijie(config)#expert access-list extended name|access-list-numbe

12、r Ruijie(config-exp-nacl)#。基于时间的ACL 基于时间的ACL 在ACL规则中使用time-range参数引用时间段 任何类型的ACL都可以应用时间段 配置了time-range的规则只会在指定的时间段内生效 未引用时间段的规则将不受影响 确保设备的系统时间的正确 时间段 绝对时间段（absolute）周期时间段（periodic）配置基于时间 的ACL 配置时间段 Ruijie(config)#time-range name 配置绝对时间 Ruijie(config-time-range)#absolute start time end time 配置周期时间 Ru

13、ijie(config-time-range)#periodic time to timeACL规则的修改 全局模式下编号ACL规则的修改 新规则添加到ACL的末尾 无法单独删除某条规则 建议：导出配置文件进行修改 将ACL规则复制到编辑工具进行修改 删除所有ACL规则重新编写 ACL配置模式下ACL规则的修改 可以给ACL规则编序号，按照序号查找匹配规则 可以在任意位置插入新的ACL规则 可以删除特定的ACL规则课程内容l第一章第一章 ACLl第二章第二章 包过滤包过滤22 包过滤 缺省情况下，网络设备会转发所有数据 在接口下绑定IP access-group（包过滤）命令，对流经该接口的数

14、据进行过滤 包过滤对本地生成的外出的数据不生效 包过滤 Ruijie(config-IF)#ip access-group ACL in/out In 对从该接口进入设备内部的数据包进行包过滤 Out 对从该接口向外发送数据时进行包过滤 一个接口在一个方向只能应用一个ACL包过滤的配置 定义访问控制列表 使用ACL定义规则 Permit表示放通，deny表示丢弃 通过多个相同编号或者名字的规则定义一系列相互关联的规则 在接口下调用访问控制列表 在接口下使用IP access-group调用访问ACL 通过IN/OUT定义方向 包过滤的调试 显示全部的访问控制列表 Router#show acc

15、ess-lists 显示指定的访问控制列表 Router#show access-lists 显示接口的访问列表应用 Router#show access-group interface 接口号包过滤案例一需求：172.16.1.0网段的主机不可以访问服务器172.17.1.1，其它主机访问服务器172.17.1.1不受限制。包过滤案例二需求：网段172.16.1.0中的主机能够访问172.17.1.1中的FTP服务和WEB服务，而对该服务器的其它服务禁止访问，可以访问172.17.1.2的任何服务包过滤案例三需求：上班时间（9：0018：00）不允许员工的主机（172.16.1.0/24）访

16、问Internet，下班时间可以访问Internet上的Web服务。包过滤案例四需求：只允许172.16.1.10这台主机远程telnet路由器 Router（config）#enable secret ruijieRouter（config）#access-list 3 permit host 172.16.1.10Router（confg）#line vty 0 4Router（config-line）#password ruijieRouter（config-line）#access-class 3 in包过滤案例四需求：只允许2001：/64这个网段的用户的数据通过ruijie（config）#ipv6 access-list sampleruijie（config-ipv6-nacl）#permit ipv6 2001：/64 anyruijie（config）#int FA0/1ruijie（config-if）#ipv6 enableruijie（config-if）#ipv6 traffic-filter sample in2001：/642001：301：/64课程回顾lACL的作用及分类lACL的配置l包过滤与ACL