數(shù)據(jù)通信武漢鐵路52課件_第1頁(yè)
數(shù)據(jù)通信武漢鐵路52課件_第2頁(yè)
數(shù)據(jù)通信武漢鐵路52課件_第3頁(yè)
數(shù)據(jù)通信武漢鐵路52課件_第4頁(yè)
數(shù)據(jù)通信武漢鐵路52課件_第5頁(yè)
已閱讀5頁(yè),還剩16頁(yè)未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

數(shù)據(jù)通信武漢鐵路職業(yè)技術(shù)學(xué)院主講人:毛詩(shī)偉ACL基本原理Internet172.17.0.0172.16.0.0管理員控制臺(tái)一、ACL基本概念A(yù)CLACL(AccessControlLists):是一種數(shù)據(jù)包匹配工具,能夠通過(guò)特定規(guī)則指揮數(shù)據(jù)包動(dòng)作,網(wǎng)絡(luò)設(shè)備使用ACL可以對(duì)網(wǎng)絡(luò)訪問(wèn)進(jìn)行控制,有效保證網(wǎng)絡(luò)的安全運(yùn)行。Internet172.17.0.0172.16.0.0管理員控制臺(tái)ACL訪問(wèn)控制列表ACL(AccessControlList)可以定義一系列不同的規(guī)則,每條規(guī)則都描述了對(duì)匹配一定信息的數(shù)據(jù)包所采取的動(dòng)作:允許(permit)或拒絕(deny)。一、ACL基本概念I(lǐng)nternet172.17.0.0172.16.0.0管理員控制臺(tái)ACL設(shè)備根據(jù)這些規(guī)則對(duì)數(shù)據(jù)包進(jìn)行分類,并針對(duì)不同類型的報(bào)文進(jìn)行不同的處理,從而可以實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)訪問(wèn)行為的控制、限制網(wǎng)絡(luò)流量、提高網(wǎng)絡(luò)性能、防止網(wǎng)絡(luò)攻擊等等。一、ACL基本概念網(wǎng)絡(luò)訪問(wèn)行為控制01限制網(wǎng)絡(luò)流量02提高網(wǎng)絡(luò)性能03防止網(wǎng)絡(luò)攻擊04一、ACL基本概念A(yù)CL的功能二、ACL使用場(chǎng)景ACL可以限制網(wǎng)絡(luò)流量、提高網(wǎng)絡(luò)性能它是一種對(duì)通信流量進(jìn)行控制的手段;能夠提供控制網(wǎng)絡(luò)訪問(wèn)的基本安全手段。過(guò)濾流量抓取流量二、ACL使用場(chǎng)景此時(shí)ACL的作用就是過(guò)濾流量,決定哪種類型的通信流量被轉(zhuǎn)發(fā)、哪種類型的通信流量被阻塞。調(diào)用在路由器接口處不調(diào)用在接口處使用場(chǎng)景那么此時(shí)ACL的作用就是匹配并抓取流量,用于其他協(xié)議后一步處理。ACL沒(méi)有調(diào)用在接口上二、ACL使用場(chǎng)景調(diào)用在接口上的ACL拒絕相關(guān)流量進(jìn)入數(shù)據(jù)包過(guò)濾流量根據(jù)ACL中的匹配條件對(duì)進(jìn)站和出站的報(bào)文進(jìn)行過(guò)濾處理。打個(gè)比方,ACL其實(shí)是一種報(bào)文過(guò)濾器,ACL規(guī)則就是過(guò)濾器的濾芯。安裝什么樣的濾芯(即根據(jù)報(bào)文特征配置相應(yīng)的ACL規(guī)則),ACL就能過(guò)濾出什么樣的報(bào)文。1.02.03.04.02.0網(wǎng)段流量被標(biāo)記抓取流量根據(jù)ACL中的條件對(duì)流量進(jìn)行標(biāo)記,以供設(shè)備進(jìn)一步進(jìn)行特殊處理。三、流量轉(zhuǎn)發(fā)機(jī)制是否有進(jìn)站ACL查詢路由是否有出站ACLFile進(jìn)站出站否Permit/Deny?是找到出口PPDPermit/Deny?D否轉(zhuǎn)發(fā)數(shù)據(jù)包進(jìn)站首先看有無(wú)進(jìn)方向ACL,如果有則查看ACL規(guī)則,如果ACL允許則繼續(xù)查路由表決定是否轉(zhuǎn)發(fā),如果ACL拒絕那么數(shù)據(jù)包將不經(jīng)過(guò)路由表直接丟棄。出站方向會(huì)先看路由表是否轉(zhuǎn)發(fā),如果能夠轉(zhuǎn)發(fā)再繼續(xù)查出站方向的ACL表,最終決定數(shù)據(jù)數(shù)據(jù)包是否能從此接口發(fā)出。ACL應(yīng)用在設(shè)備接口出方向報(bào)文先經(jīng)過(guò)路由表路由后轉(zhuǎn)至出接口,根據(jù)接口上應(yīng)用的出方向ACL條件進(jìn)行匹配,是允許permit還是拒絕deny,如果是允許,就根據(jù)路由表轉(zhuǎn)發(fā)數(shù)據(jù),如果是拒絕就直接將數(shù)據(jù)包丟棄了。入方向出方向VS先路由后匹配先匹配后路由ACL應(yīng)用在設(shè)備接口入方向當(dāng)接口收到數(shù)據(jù)包時(shí),先根據(jù)應(yīng)用在接口上的ACL條件進(jìn)行匹配,如果允許則根據(jù)路由表進(jìn)行轉(zhuǎn)發(fā),如果拒絕則直接丟棄。三、流量轉(zhuǎn)發(fā)機(jī)制四、ACL查表規(guī)則NoNoNoMatch?Match?Match?ImplicitDenyDenyDenyDenyPermitPermitPermitPacketPermittedPacketDeniedPacketReadyforACLProcessing四、ACL查表規(guī)則NoNoNoMatch?Match?Match?ImplicitDenyDenyDenyDenyPermitPermitPermitPacketPermittedPacketDeniedPacketReadyforACLProcessing

從第一條語(yǔ)句開(kāi)始向下比對(duì),一但比對(duì)成功不再進(jìn)行后續(xù)比對(duì)。列表最后隱藏了一條“拒絕所有”如果所有語(yǔ)句都沒(méi)有比對(duì)成功,默認(rèn)是“拒絕”,一般在配置時(shí)建議將重要的規(guī)則靠前部署。

路由器的一個(gè)接口同一個(gè)方向最多只能有一個(gè)列表,但一個(gè)列表中可以有N條語(yǔ)句,列表在調(diào)用的時(shí)候需要分清方向,進(jìn)入接口的是“in”離開(kāi)接口的是“out”。四、ACL查表規(guī)則本示例中,RTA收到了來(lái)自兩個(gè)網(wǎng)絡(luò)的報(bào)文。RTA會(huì)依據(jù)ACL的配置順序來(lái)匹配這些報(bào)文。網(wǎng)絡(luò)172.16.0.0/24發(fā)送的數(shù)據(jù)流量將被RTA上配置的ACL2000的規(guī)則15匹配,因此會(huì)被拒絕。而來(lái)自網(wǎng)絡(luò)172.17.0.0/24的報(bào)文不能匹配訪問(wèn)控制列表中的任何規(guī)則,遂執(zhí)行隱式拒絕所有,因此也會(huì)被拒絕。如果未匹配如果未匹配172.16.0.0/24172.17.0.0/24RTARTBrule15denysource172.16.0.00.0.0.255rule10denysource192.168.2.00.0.0.255acl2000rule5denysource192.168.1.00.0.0.255五、ACL分類分類編號(hào)范圍參數(shù)標(biāo)準(zhǔn)ACL2000-2999源IP地址等擴(kuò)展ACL3000-3999源IP地址、目的IP地址、

源端口、目的端口、特定協(xié)議根據(jù)不同的劃分規(guī)則,ACL可以有不同的分類。最常見(jiàn)的兩種分類是標(biāo)準(zhǔn)ACL和擴(kuò)展ACL標(biāo)準(zhǔn)ACL可以使用報(bào)文的源IP地址來(lái)匹配報(bào)文,其編號(hào)取值范圍是2000-2999五、ACL分類分類編號(hào)范圍參數(shù)標(biāo)準(zhǔn)ACL2000-2999源IP地址等擴(kuò)展ACL3000-3999源IP地址、目的IP地址、

源端口、目的端口、特定協(xié)議擴(kuò)展ACL可以使用報(bào)文的源/目的IP地址、源/目的端口號(hào)以及協(xié)議類型等信息來(lái)匹配報(bào)文擴(kuò)展ACL可以定義比基本ACL更準(zhǔn)確、更豐富、更靈活的規(guī)則,其編號(hào)取值范圍是3000-3999五、ACL分類分類編號(hào)范圍參數(shù)標(biāo)準(zhǔn)ACL2000-2999源IP地址等擴(kuò)展ACL3000-3999源IP地址、目的IP地址、

源端口、目的端口、特定協(xié)議在實(shí)際工程中,需要根據(jù)業(yè)務(wù)需求,靈活選擇ACL類型進(jìn)行配置六、ACL部署注意事項(xiàng)01ACL用于流量過(guò)濾時(shí)只能過(guò)濾穿過(guò)它的流量,不能過(guò)濾本地始發(fā)流量02一個(gè)路由器能配置多個(gè)ACL03ACL用于流量過(guò)濾是做在接口上的,同一個(gè)接口同一個(gè)方向只能調(diào)用一個(gè)ACL表項(xiàng)(一個(gè)接口不同方向可以調(diào)用不同表),一個(gè)ACL內(nèi)能有多個(gè)策略條目六、ACL部署注意事項(xiàng)04標(biāo)準(zhǔn)ACL盡量布置靠近信宿05擴(kuò)展ACL盡量布置靠近信源06盡量不要用標(biāo)準(zhǔn)ACL

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

最新文檔

評(píng)論

0/150

提交評(píng)論