6、ACL与包过滤

封面：封面图片可以更换主副标题右对齐，行距不可变中文主标题:微软雅黑32-35pt颜色:R226G0B0中文副标题:微软雅黑18-22pt颜色:R64G64B64配色参考方案：建议同一页面内不超过三种颜色，以下是10组配色方案，同一页面内只选择一组使用。（仅供参考）ACL与包过滤学习目标•了解ACL的作用与分类•了解ACL的基本规则•掌握用ACL进行包过滤课程内容•第一章ACL•第二章包过滤3技术背景引入ACL的技术背景‒网络中数据流的多样性‒用户要求对某些特定的数据流采取特殊的策略−只允许特定的主机访问服务器−限制FTP流量占用的带宽−过滤某些路由信息‒需要一种工具来挑选感兴趣的数据流4ACL概述AccessControllist访问控制列表‒对网络设备上的数据流进行分类识别的工具‒通过ACL定义数据的特征，识别数据流‒通过调用ACL，对识别的数据流进行控制ACL作用‒包过滤−允许或者拒绝特定的数据流经网络设备，保证网络安全‒其它−QoS−策略路由−路由过滤5ACL的分类IPv4ACL‒标准IPACL‒扩展IPACLIPv6ACL其他‒基于MAC的ACL（MACACL）‒专家ACL（ExpertACL）根据命名规则‒编号ACL‒命名ACLACL的工作原理ACL的组成‒由一组具有相同编号或者名字的访问控制规则组成（ACL规则）‒规则中定义检查字段‒由Permit/deny定义执行的动作ACL工作原理‒通过编号或者名字调用ACL‒网络设备根据ACL规则检查报文，并采取相应操作ACL基本规则ACL规则匹配顺序‒从上至下‒当报文匹配某条规则后，将执行操作，跳出匹配过程‒缺省最后隐含一条“denyany”的规则一个ACL中至少要有一条Permit规则经常匹配的、细化的语句放在前面8标准IPACL标识方法‒编号1~99和1300~1999‒命名standard定义字段‒源IP地址信息配置标准IPACL全局配置模式‒ruijie（config）#access-listaccess-list-number{permit|deny}{any|sourcesource-wildcard}[time-rangetime-range-name]ACL配置模式‒ruijie（config）#ipaccess-liststandard{name|access-list-number}‒Ruijie(config-std-nacl)#{permit|deny}{any|sourcesource-wildcard}[time-rangetime-range-name]Ruijie（config）#ipaccess-liststandardsampleRuijie(config-std-nacl)#permit172.16.1.00.0.0.255扩展IPACL标识方法‒编号100~199和2000~2699‒命名定义字段‒源IP地址、目的IP地址、协议、源端口、目的端口配置扩展IPACL全局配置模式‒ruijie（config）#access-listaccess-list-number{deny|permit}protocol{any|sourcesource-wildcard}[operatorport]{any|destinationdestination-wildcard}[operatorport][precedenceprecedence][tostos][time-rangetime-range-name][dscpdscp][fragment]‒Ruijie（config）#access-list101denyip172.16.2.00.0.0.255host192.168.6.8‒Ruijie（config）#access-list101permitanyany配置扩展IPACLACL配置模式‒ruijie（config）#ipaccess-listextended{name|access-list-number}‒Ruijie(config-ext-nacl)#{permit|deny}protocol{any|sourcesource-wildcard}[operatorport]{any|destinationdestination-wildcard}[operatorport][time-rangetime-range-name][dscpdscp][fragment]‒Ruijie（config）#ipaccess-listextendedsample‒Ruijie(config-ext-nacl)#permittcp172.16.1.00.0.0.255192.168.6.10eq标识方法‒命名‒扩展ACL定义字段‒源IPv6地址、目的IPv6地址、下一跳头部、源端口、目的端口等信息EthernetIPv6头部TCP/UPDDATA源目标IPv6地址下一跳头部源目标端口号配置IPv6ACLACL配置模式‒Ruijie(config)#ipv6access-listname‒Ruijie(config-ipv6-acl)#sn]{permit|deny}protocol{sourceIPv6-prefix/prefix-len|hostsource-ipv6-address|any}[operatorport]{any|destinationIPv6-prefix/prefix-len|hostsource-ipv6-address|any}[flow-label][time-rangetime-range-name][dscpdscp][fragment]‒Ruijie(config)#ipv6access-listsample‒Ruijie(config-ipv6-acl)#permitipv62001：：/64anyMACACL标识方式‒编号：700~799‒命名定义字段‒源MAC地址、目的MAC地址、以太网类型配置MACACL全局配置模式‒ruijie（config）#access-listaccess-list-number{permit|deny}{any|hostsource-mac-address}{any|hostdestination-mac-address}[ethernet-type][time-rangetime-range-name]ACL配置模式‒Ruijie(config)#macaccess-listextended{name|access-list-number}‒Ruijie(config-mac-nacl)#{permit|deny}{any|hostsource-mac-address}{any|hostdestination-mac-address}[ethernet-type][time-rangetime-range-name]专家ACL标识方法‒编号：2700~2899‒命名过滤元素‒源MAC地址、目的MAC地址、以太网类型、源IP地址、目的IP地址、协议、源端口、目的端口配置专家ACL全局配置模式‒ruijie（config）#access-listaccess-list-number{permit|deny}[protocol|ethernet-type][VIDvid][{any|sourcesource-wildcard}]{hostsource-mac-address|any}[operatorport][{any|destinationdestination-wildcard}]{hostdestination-mac-address|any}[operatorport][precedenceprecedence][tostos][time-rangetime-range-name][dscpdscp][fragment]ACL配置模式‒Ruijie(config)#expertaccess-listextended{name|access-list-number}‒Ruijie(config-exp-nacl)#。。。。。。基于时间的ACL基于时间的ACL‒在ACL规则中使用time-range参数引用时间段‒任何类型的ACL都可以应用时间段‒配置了time-range的规则只会在指定的时间段内生效‒未引用时间段的规则将不受影响‒确保设备的系统时间的正确时间段‒绝对时间段（absolute）‒周期时间段（periodic）配置基于时间的ACL配置时间段‒Ruijie(config)#time-rangename配置绝对时间‒Ruijie(config-time-range)#absolute{starttime[endtime]配置周期时间‒Ruijie(config-time-range)#periodictimetotimeACL规则的修改全局模式下编号ACL规则的修改‒新规则添加到ACL的末尾‒无法单独删除某条规则‒建议：‒导出配置文件进行修改‒将ACL规则复制到编辑工具进行修改‒删除所有ACL规则重新编写ACL配置模式下ACL规则的修改‒可以给ACL规则编序号，按照序号查找匹配规则‒可以在任意位置插入新的ACL规则‒可以删除特定的ACL规则课程内容•第一章ACL•第二章包过滤23包过滤–缺省情况下，网络设备会转发所有数据–在接口下绑定IPaccess-group（包过滤）命令，对流经该接口的数据进行过滤–包过滤对本地生成的外出的数据不生效包过滤–Ruijie(config-IF)#ipaccess-groupACLin/out‒In对从该接口进入设备内部的数据包进行包过滤‒Out对从该接口向外发送数据时进行包过滤‒一个接口在一个方向只能应用一个ACLF1/0F1/1INOUT包过滤的配置–定义访问控制列表‒使用ACL定义规则‒Permit表示放通，deny表示丢弃‒通过多个相同编号或者名字的规则定义一系列相互关联的规则–在接口下调用访问控制列表‒在接口下使用IPaccess-group调用访问ACL‒通过IN/OUT定义方向包过滤的调试–显示全部的访问控制列表–Router#showaccess-lists–显示指定的访问控制列表–Router#showaccess-lists1-199–显示接口的访问列表应用–Router#showaccess-groupinterface接口号包过滤案例一需求：172.16.1.0网段的主机不可以访问服务器172.17.1.1，其它主机访问服务器172.17.1.1不受限制。包过滤案例二需求：网段172.16.1.0中的主机能够访问172.17.1.1中的FTP服务和WEB服务，而对该服务器的其它服务禁止访问，可以访问172.17.1.2的任何服务包过滤案例三需求：上班时间（9：00~18：00）不允许员工的主机（172.16.1.0/24）访问Internet，下班时间可以访问Internet上的Web服务。包过滤案例四需求：只允许172.16.1.10这台主机远程telnet路由器Router（config）#enablesecretruijieRouter（config）#access-list3permithost172.16.1.10Router（confg）#linevty04Router（config-line）#passwordruijieRouter（config-line）#access-class3in包过滤案例四需求：只允许2001：：/64这个网段的用户的数据通过ruijie（config）#ipv6access-listsampleruijie（config-ipv6-nacl）#permitipv62001：：/64anyruijie（config）#intFA0/1ruij