ACL原理及配置

ACL原理从行业到专业从企业到大学课程目标•经过本章的学习，你可以获得以下收获：–了解ACL的概念及其作用–了解ACL的工作原理和过程课程大纲•ACL概念和作用•ACL分类•ACL工作原理•ACL规则FDDI172.16.0.0172.17.0.0TokenRingInternet什么是ACL?–ACL：AccessControlList访问控制列表•当网络流量不断增长的时候，对数据流进行管理和限制的方法•对数据包进行过滤FDDI172.16.0.0172.17.0.0TokenRingInternet为什么需要ACL？•当网络接口增加时，管理IP流量•当报文经过路由器时，进行过滤ACL的使用场合•哪些场合需要使用ACL？–允许或禁止对路由器或来自路由器的telnet访问–QOS与队列技术–策略路由–数据速率限制–路由策略–端口流镜像–NAT–……ACL的配置流程•定义触发条件•定义报文匹配规则•与端口或服务绑定数据包出接口数据包入接口ACL处理过程允许?源地址、目的地址协议课程大纲•ACL概念和作用•ACL分类•ACL工作原理•ACL规则目的IP地址源IP地址协议号目的端口段(如TCP报头)数据数据包(IP报头)帧报头(如HDLC)使用ACL检测数据包拒绝允许ACL的判别依据－五元组源端口标准ACL仅以源IP地址作为过滤标准只能粗略的限制某一大类协议，如IP协议扩展ACL可以把源地址、目的地址、协议类型及端口号等作为过滤标准可以精确的限制到某一种具体的协议ACL的分类及匹配依据ACL的命令结构PermitDenySIP++Time-rangeEvent标准ACL的命令结构扩展ACL的命令结构课程大纲•ACL概念和作用•ACL分类•ACL工作原理•ACL规则数据包入接口NY丢弃处理选择出接口NACL?路由表?Y数据包出接口ACL如何工作(1)数据包出接口否是丢弃处理选择接口路由表?否ACL匹配控制允许?是ACL如何工作(2)ACL?是数据包入接口数据包出接口否是丢弃处理选择接口路由表?否ACL匹配控制允许?是ACL如何工作(3)ACL?是数据包入接口否如果没有访问列表语句匹配，则丢弃该包课程大纲•ACL概念和作用•ACL分类•ACL工作原理•ACL规则ACL的匹配顺序(1)ACL内部处理具体过程：丢弃处理是目的接口拒绝拒绝是匹配第一条规则?允许ACL的匹配顺序(2)ACL内部处理具体过程：丢弃处理是目的接口是匹配第一条规则?否下一条?是是拒绝拒绝拒绝允许允许ACL的匹配顺序(3)ACL内部处理具体过程：丢弃处理是目的接口是匹配第一条规则?否匹配下一条?匹配最后一条?是是否是是拒绝拒绝拒绝拒绝允许允许允许ACL的匹配顺序(4)ACL内部处理具体过程：丢弃处理是目的接口是匹配第一条规则?否匹配下一条?匹配最后一条?是是否是是**说明：当ACL的最后一条不匹配时，系统使用隐含的“丢弃全部”进行处理！拒绝拒绝拒绝拒绝允许允许允许否ACL的规则总结思考：我们应该按照怎样一个顺序配置ACL•按照由上到下的顺序执行，找到第一个匹配后即执行相应的操作（然后跳出ACL）•每条ACL的末尾隐含一条denyany的规则•ACL可应用于某个具体的IP接口的出方向或入方向•ACL可应用于系统的某种特定的服务（如针对设备的TELNET）•在引用ACL之前，要首先创建好ACL•对于一个协议，一个接口的一个方向上同一时间内只如何放置ACL？•标准ACL应该在什么位置路由器上设置？－对于标准ACL，应该被配置在距离目的网络最近的路由器上。•扩展ACL应该在什么位置路由器上设置？－对于扩展ACL，应该被配置在距离源网络最近的路由器上。E0E0E1S0To0S1S0S1E0E0TokenRingBADPC_APC_B内容回顾•ACL概念和作用•ACL分类•ACL工作原理•ACL规则THANKS!