访问控制列表方案.doc

一、 ACL 简介 Access control list 访问控制列表 数据分类工具：区分流向网络设备的数据流，基于特定数据流的特征区分数据 特征： 源IP 源、目标IP 协议号 端口号 其他一些信息 ACL 使用目的： 区分数据以便统一执行规定的动作 包过滤：定义丢弃或放通的数据特征。丢弃一些数据；放通另外一些数据。 NAT：定义要转换的地址。 IPSec/VPN：定义要加密的数据 QoS：区分不同的业务数据 路由策略：定义要控制的路由 按需拨号；定义感兴趣的流量 ACL 分类： 标准ACL：基于源IP 进行分类；编号1~99 扩展ACL：基于源IP、目标IP、协议号、端口号、应用层；编号100~199 命名ACL：就是把编号取代为名字，并用关键字区分标准或扩展。 二、 包过滤： 通过定义数据的特征，丢弃/放通一些数据 在特定的设备，特定的接口，特定的方向上绑定 人口ACL：针对从该接口进入的数据进行包过滤 出口ACL：针对从该接口离开该设备的数据进行包过滤 针对特定的一个接口，一个协议，一个方向上只能使用一个ACL ACL 默认不控制自己产生的数据 路由器处理数据包的流程： ACL 前： 接口收到数据，还原成二层帧 基于目标IP 查找路由表，找到出口 针对出口完成二层重写并封装 ACL 后： 人口ACL： 接口收到数据，还原成二层帧 首先进行基于ACL 的包过滤 被放通的数据查找路由表找出口 基于出口完成二层重写 出口ACL： 接口收到数据，还原成二层帧 基于目标IP 查找路由表，找出口 如果接口有出口ACL，则进行包过滤 允许的数据基于出口完成二层重写 三、 ACL 的基本原则 ACL 的语句由两部分组成：条件、操作 Access‐list 23 permit 192.168.1.8 0.0.0.0 在包过滤中首先检测数据是否符合条件，如果符合条件则执行规定的操纵动作。 ACL 由ACL 号绑定多条语句 匹配顺序：先上后下执行查找 Cisco ACL 缺省有一条隐藏语句：Deny any；Deny any any Deny 0.0.0.0 255.255.255.255 ACL 的语句书写顺序决定执行顺序 细化的、经常匹配的放在前面、粗略的放在后面 标准IP访问列表（1‐99，1300‐1999）：只使用SIP信息来过滤决定。 扩展IP访问列表（100‐199，2000‐2699）：根据源和目的IP地址、源和目的端口、 协议类型等信息作出过滤。 不能单独删除ACL 中的某些语句 命名ACL 支持单独删除ACL 中的某条语句 ACL 对CPU 有一定的考验~ 四、 ACL 的基本配置 保证基本的连通性 定义数据的特征及相应的操作 Access‐list [#]permit/deny 源IP 通配符 在接口上调用ACL Ip access‐group acl# in/out 命名方式ACL： Ip access‐list standard/extend ccnp Config‐acl# permit #or deny # 可以针对特定的语句进行添加、删除 在接口上调用命名ACL Ip access‐group ccnp in/out 自反ACL 带Established 选项的ACL 检查TCP 头部中的Ack 或Rst 位，如果该位置1 则符合Estalbished 选项 交换网络中的ACL Racl：路由ACL 应用于交换机三层接口上的ACL（IP 流的ACL） Pacl：端口ACL 应用于交换机二层接口的ACL，只对In 方向的匹配，可以定义IP 流和非IP 流 Mac‐Acl： Mac access‐list 1 deny mac_pc1 Int f0/2 ; mac access‐group 1 in Vlan‐map： 定义ACL：定义数据流 Vlan‐map：决定数据流的行为 Access‐list 100 permit 192.168.2.0 0.0.0.255 192.168.2.0 0.0.0.255 Vlan access‐map ccnp 10 Match ip address 100 Action drop Vlan filter ccnp vlan 2 访问控制列表的作用： 今天的网络就好比一条复杂的高速公路 ，各种数据在其上快速通过，为了正确的规划流量，保证网络的畅通，安全。我们就要设一些禁行标志、规定单行线等等，这就是网络上的ACL 其实在网络上有很多种方法可以实现以上的作用，但是最简单易行的还是访问控制列表。 访问控制列表：就是用来在使用路由技术的网络里，识别和过滤那些由某些网络发出的或者被发送出去到某些网络的符合我们所规定条件的数据流量，以决定这些数据流量是应该转发还是应该丢弃的技术。