Module4網絡安全技術《網絡互聯技術》任務4.3

基本ACL配置ACL基本概念ACL基本原理ACL配置流程ACL配置命令隨著網絡的飛速發展，網絡安全和網絡服務質量的問題日益突出。網絡環境的安全性和網絡服務質量的可靠性是網絡性能評價的重要指標。通過ACL可以實現對網絡中報文流的精確識別和控制，達到控制網絡訪問行為、防止網絡攻擊和提高網絡帶寬利用率的目的。本次任務介紹ACL的基本原理及基本ACL的配置。任務背景準備知識1.ACL基本概念ACL（訪問控制列表）是由一條或多條規則組成的集合。ACL相當于一個過濾器，而規則相當于濾芯。設備可以根據這些規則，抓取特定的報文，并對這些報文進行控制。示例中，公司網絡的財務管理系統只希望被財務部門的主機訪問，可以通過定義ACL規則并部署在相關設備上來保證通信的安全。1.ACL基本概念ACL組成ACL由一系列規則組成。具體包括：編號：ACL標識，不同類型ACL的編號有特定的取值范圍；規則：用于描述報文的匹配條件及處理動作。包括一下要素：規則編號：標識ACL規則，可以自行配置規則編號，也可以由系統自動分配；處理動作：允許（Permit）/拒絕（Deny）；匹配條件：定義報文的匹配項。ACL組成示例1.ACL基本概念ACL部署應用ACL定義之后，必須在業務模塊中應用才能生效。ACL應用的業務模塊包括：對轉發的報文進行過濾：基于全局和接口，對轉發的報文進行過濾，從而使設備能夠進一步對過濾出的報文進行丟棄、修改優先級、重定向等處理。對上送CPU處理的報文進行過濾：對上送CPU的報文進行必要的限制，可以避免CPU處理過多的協議報文造成占用率過高、性能下降。登錄控制：對設備的登錄權限進行控制，允許合法用戶登錄，拒絕非法用戶登錄，從而有效防止未經授權用戶的非法接入，保證網絡安全性。路由過濾：應用在各種動態路由協議中，對路由協議發布、接收的路由信息以及組播流量進行過濾。最基本的ACL應用方式，是在簡化流策略/流策略中應用ACL，使設備能夠基于全局或接口下發ACL，實現對轉發報文的過濾。1.ACL基本概念ACL匹配機制報文與ACL進行匹配時，遵循“一旦命中即停止”的機制。ACL匹配結果分為匹配或不匹配，不論匹配的動作是“permit”還是“deny”，都稱為“匹配”；不匹配是指不存在ACL，或ACL中無規則，再或者在ACL中遍歷了所有規則都沒有找到符合匹配條件的規則。簡化流策略是依據規則中的permit或deny來對報文執行相應的動作。ACL匹配機制1.ACL基本概念ACL分類基于ACL規則定義方式，可將ACL分為基本ACL、高級ACL、二層ACL和用戶ACL。基于ACL標識的方式，可將ACL分為數字型ACL和命名型ACL。數字型ACL：通過編號來標識ACL。創建ACL時，指定一個唯一的數字標識該ACL。命名型ACL：通過名稱代替編號來標識ACL。命名ACL在創建時可以同時指定ACL編號，若不指定，系統將自動分配。基于ACL規則定義的分類ACL分類規則定義描述編號范圍基本ACL僅使用報文的源IP地址、分片信息和生效時間段信息來定義規則2000～2999高級ACL可使用IPv4報文的源IP地址、目的IP地址、IP協議類型、ICMP類型、TCP源/目的端口、UDP源/目的端口號、生效時間段等來定義規則3000～3999二層ACL使用報文的以太網幀頭信息來定義規則，如根據源MAC地址、目的MAC地址、二層協議類型等。4000～4999用戶ACL可使用IPv4報文的源IP地址、目的IP地址、IP協議類型、ICMP類型、TCP源端口/目的端口、UDP源端口/目的端口號等來定義規則6000～60312.ACL基本原理ACL步長一個ACL中可以有多條規則，每一條規則都會有一個編號。步長指ACL規則編號之間的差值。ACL中首條規則若不指定編號則使用步長值作為該規則的編號。如步長為5，首條規則的編號未手工指定時，系統會自動設置為5。后續規則若不指定編號，則使用大于當前最大編號，且是步長最小整倍數作為該規則編號。ACL按照規則的編號由小到大進行的排序，步長的引入可以便于在舊的規則之前插入新的規則。2.ACL基本原理通配符掩碼通配符掩碼長度為32位比特，用來與源/目的IP地址字段共同確定一個地址范圍。通配符掩碼與IP地址的反向子網掩碼類似。不同的是子網掩碼中“0”和“1”必須是連續的，而通配符掩碼中“0”和“1”可以是不連續的。“0”表示需要匹配，“1”表示無需匹配。通配符掩碼用單個“0”表示，代表主機地址。示例中，“192.168.10.00.0.0.255”表示前24位為“192.168.10”的IP地址，即192.168.10.0/24網段的主機地址。示例中，“192.168.10.10.0.0.254”表示前24位為“192.168.10”且最后1比特為1的IP地址，即192.168.10.0/24網段中最后字節為奇數的IP地址。2.ACL基本原理ACL常用匹配項源IP地址；源IP地址+目的IP地址；TCP/UDP+源IP地址+源端口+目的IP地址+目的端口；IP承載的協議（ICMP、gre等）+源IP地址+目的IP地址。ACL匹配項示例2.ACL基本原理ACL編寫規則通常將地址范圍小、流量定義精細的規則寫在前面。避免報文因命中寬松條件的規則而停止往下匹配，從而無法命中嚴格條件的規則。示例拓撲，R1部署ACL,要求只允許總經理和財務部主機訪問財務管理系統。按上述規則順序，總經理主機訪問財務管理系統的流量匹配了條件更寬松的第一條規則，執行拒絕動作，所以總經理無法訪問財務管理系統。合理的順序如下：2.ACL基本原理ACL部署原則在部署基本ACL時，盡量靠近目的，避免正常的流量被過濾。在部署高級ACL時，因為能對流量進行精確定義，所以應盡量靠近源，以盡早過濾掉相關流量，避免該流量在網絡中繼續傳輸，耗用通信資源，增加路由器負擔。示例中，使用基本ACL禁止PC1和PC2通信。若部署在R1，會導致PC1訪問PC3的正常流量也被過濾，所以應部署在靠近目的主機的R2。示例中，使用高級ACL禁止PC1和PC2通信。若部署在R2，會導致PC1訪問PC2的流量到達R2后才被過濾，所以應部署在靠近源主機的R1。3.ACL配置流程ACL配置流程如下：創建ACL：根據需求創建基本ACL或高級ACL；定義ACL規則；接口應用ACL。（1）創建ACL命令：acl[number]acl-number說明：編號范圍2000~2999為基本ACL，3000~3999為高級ACL視圖：系統視圖舉例1：路由器R1上創建基本ACL2000。或舉例2：路由器R1上創建高級ACL3000。[R1]aclnumber20004.ACL配置命令[R1]acl2000[R1]aclnumber3000（2）創建命名ACL命令：aclnameacl-name[acl-number]說明：若不指定ACL編號，系統會指定一個可用的最大的高級ACL編號視圖：系統視圖舉例1：路由器R1上創建名為test1的基本ACL，編號為2100。舉例2：路由器R1上創建名為test2的高級ACL，編號為3100。[R1]aclnametest12100[R1]aclnametest231004.ACL配置命令（3）配置基本ACL規則命令：rule[rule-id]{deny|permit}[source{source-address

source-wildcard|any}]說明：若不配置source，表示報文的任何源地址都匹配視圖：ACL視圖舉例：路由器R1配置ACL

2000，拒絕192.168.10.0/24通過，其余網段允許通過。[R1]acl2000[R1-acl-basic-2000]rule5denysource192.168.10.00.0.0.255[R1-acl-basic-2000]rule10permitsourceany4.ACL配置命令（4）ACL應用命令：traffic-filter{inbound|outbound}acl{bas-acl|adv-acl|nameacl-name}

說明：inbound表示對接收的報文進行過濾，outbound表示對發送的報文進行過濾。bas-acl為基本ACL編號，adv-acl為高級ACL編號視圖：接口視圖舉例1：路由器R1在Gi0/0/0入方向應用ACL

2001。舉例2：路由器R1在Gi0/0/1出方向應用ACL

3001。[R1]interfaceGigabitEthernet0/0/0[R1-GigabitEthernet0/0/0]traffic-filterinboundacl2001[R1]interfaceGigabitEthernet0/0/1[R1-GigabitEthernet0/0/1]traffic-filteroutboundacl30014.ACL配置命令5.任務實施：基本ACL配置（1）掌握基本ACL的工作原理；（2）掌握基本ACL的配置方法。（一）任務目的

某公司安裝部署了財務管理系統，出于安全考慮，只允許財務部和總經理主機可以訪問，其它部門不能訪問。（二）任務描述（1）拓撲圖（2）操作流程終端及財務管理系統配置網絡參數；交換機S1配置VLAN、VLANIF及網絡參數，規劃如下：R1、S1配置靜態路由，實現全網連通；R1配置基本ACL，要求只允許VLAN10（財務部）和VLAN30（總經理）的主機可以訪問財務管理系統。（三）實施規劃VLANVLANIF_IP地址Vlan1010.1.10.254Vlan2010.1.20.254Vlan3010.1.30.2545.任務實施：基本ACL配置（四）操作步驟S1配置VLAN及VLANIF終端配置網絡參數[S1]vlanbatch102030[S1]intg1/0/1[S1-GE1/0/1]portlink-typeaccess[S1-GE1/0/1]portdefaultvlan10[S1-GE1/0/1]undoshutdown//eNSPCE6800接口默認shutdown[S1-GE1/0/1]intg1/0/2[S1-GE1/0/2]portlink-typeaccess[S1-GE1/0/2]portdefaultvlan20[S1-GE1/0/2]undoshutdown[S1-GE1/0/2]intg1/0/3[S1-GE1/0/3]portlink-typeaccess[S1-GE1/0/3]portdefaultvlan30[S1-GE1/0/3]undoshutdownS1配置VLAN：

配置靜態路由

配置基本ACL5.任務實施：基本ACL配置（四）操作步驟S1配置VLAN及VLANIF終端配置網絡參數[S1]intvlanif10[S1-Vlanif10]ipadd10.1.10.25424[S1-Vlanif10]intvlanif20[S1-Vlanif20]ipadd10.1.20.25424[S1-Vlanif20]intvlanif30[S1-Vlanif30]ipadd10.1.30.25424[S1-Vlanif30]intg1/0/0[S1-GE1/0/0]undoshutdown[S1-GE1/0/0]undoportswitch//二層接口轉三層模式[S1-GE1/0/0]ipadd10.0.0.224[S1-GE1/0/0]quitS1配置VLANIF及IP地址：

配置靜態路由

配置基本ACL5.任務實施：基本ACL配置（四）操作步驟S1配置VLAN及VLANIF終端配置網絡參數[R1]intg0/0/0[R1-GigabitEthernet0/0/0]ipadd10.0.0.124[R1-GigabitEthernet0/0/0]intg0/0/1[R1-GigabitEthernet0/0/1]ipadd10.2.0.25424[R1-GigabitEthernet0/0/1]quit[R1]iproute-static10.1.0.0255.255.0.010.0.0.2//靜態匯總路由R1配置網絡參數及靜態路由：配置靜態路由R1配置基本ACL[S1]iproute-static10.2.0.1255.255.255.25510.0.0.1//靜態主機路由S1配置靜態路由：此時，各部門主機均能訪問財務管理系統。5.任務實施：基本ACL配置（四）操作步驟S1配置VLAN及VLANIF終端配置網絡參數[R1]acl2000[R1-acl-basic-2000]rulepermitsource10.1.10.00.0.0.255

//允許來自10.1.10.0/24網段的報文通過[R1-acl-basic-2000]rulepermitsource10.1.30.10

//允許來自10.1.30.1的報文通過[R1-acl-basic-2000]ruledenysourceany//拒絕所有[R1-GigabitEthernet0/0/1]traffic-filteroutboundacl2000

//R1的G0/0/1出方向應用R1配置基本ACL：配置靜態路由R1配置基本ACL5.任務實施：基本ACL配置（五）實驗測試查看ACL配置信息[R1]disacl2000BasicACL2000,3rulesAcl'sstepis5rule5permitsource10.1.10.00.0.0.255(3matches)rule10permitsource10.