資源描述:
《路由器及路由協(xié)議基礎(chǔ)配置-訪問(wèn)控制列表.ppt》由會(huì)員上傳分享�����,免費(fèi)在線閱讀,更多相關(guān)內(nèi)容在行業(yè)資料-天天文庫(kù)�。
1、路由器及路由協(xié)議基礎(chǔ)配置訪問(wèn)控制列表計(jì)算機(jī)科學(xué)與工程學(xué)院實(shí)驗(yàn)中心張翔索引訪問(wèn)控制列表基礎(chǔ)訪問(wèn)控制列表22021/7/25什么是訪問(wèn)控制列表對(duì)于數(shù)據(jù)流控制的需求作為網(wǎng)絡(luò)管理者���,我們通常需要了解如何去控制非法的網(wǎng)絡(luò)訪問(wèn)����,而允許正常的網(wǎng)絡(luò)訪問(wèn)��。盡管已經(jīng)存在有多種措施�,比如如密碼�����,復(fù)查設(shè)備(callbackequipment)等等��。但是���,還需要更靈活的基本數(shù)據(jù)流過(guò)濾能力和特定的控制能力�。例如����,網(wǎng)絡(luò)管理者可能需要允許用戶訪問(wèn)Internet�����,但是卻不允許外部的用戶登錄到局域網(wǎng)中��。路由器提供的數(shù)據(jù)流過(guò)濾功能路由器提供了基本的數(shù)據(jù)流過(guò)濾能力����,比如說(shuō)使用
2����、“訪問(wèn)控制列表(ACL)”,通過(guò)ACL���,我們可以有條件地阻止或發(fā)行Internet數(shù)據(jù)流��。32021/7/25什么是訪問(wèn)控制列表簡(jiǎn)單講���,訪問(wèn)控制列表ACL是運(yùn)用到路由器端口的指令列表。這些指令告訴路由器接受哪些數(shù)據(jù)報(bào)文而拒絕哪些數(shù)據(jù)報(bào)文����。接受或者拒絕根據(jù)一定的規(guī)則進(jìn)行�,如源地址�����,目標(biāo)地址�����,端口號(hào)等��。ACL使得用戶能夠檢測(cè)特定的數(shù)據(jù)報(bào)文����,從而實(shí)現(xiàn)數(shù)據(jù)流的管理����。42021/7/25ACL的功能ACL可以用于執(zhí)行以下一些功能:限制網(wǎng)絡(luò)數(shù)據(jù)流,增加網(wǎng)絡(luò)性能��。例如:通過(guò)使用ACL限制在線視頻數(shù)據(jù)流��,可以極大地減輕網(wǎng)絡(luò)負(fù)載�����,提高網(wǎng)絡(luò)性能。提供數(shù)據(jù)流控
3�����、制�����。例如:ACL可以限定或者減少路由更新的內(nèi)容�����。如果這些更新在該網(wǎng)絡(luò)條件下并不是必須的�,那么通過(guò)對(duì)其進(jìn)行流控可以很好的節(jié)約帶寬,提高網(wǎng)絡(luò)性能�。為網(wǎng)絡(luò)訪問(wèn)提供基本的安全保護(hù)。ACL可以允許某個(gè)主機(jī)訪問(wèn)網(wǎng)絡(luò)的某一部分�,而阻止另一臺(tái)主機(jī)訪問(wèn)網(wǎng)絡(luò)的這個(gè)部分。決定是否在路由器端口轉(zhuǎn)發(fā)或者阻止指定類型的數(shù)據(jù)報(bào)文例如:ACL可以允許某一個(gè)特定網(wǎng)段的email數(shù)據(jù)流通過(guò)路由器進(jìn)行轉(zhuǎn)發(fā)��,但是卻出于安全的需要阻止所有的telnet數(shù)據(jù)流��。52021/7/25路由器對(duì)ACL的執(zhí)行路由器將根據(jù)ACL中指定的條件���,對(duì)經(jīng)過(guò)路由器端口的數(shù)據(jù)報(bào)文逐一進(jìn)行檢查�。通常ACL
4、執(zhí)行判斷的標(biāo)準(zhǔn)基于源或者目的IP地址���,協(xié)議以及上層協(xié)議端口號(hào)���。62021/7/25ACL在路由器上的應(yīng)用Onelist,perport,perdirection,perprotocolACL應(yīng)該根據(jù)路由器的端口所允許的每一個(gè)協(xié)議來(lái)制定。如果需要控制流經(jīng)某個(gè)端口的所有數(shù)據(jù)流�,就需要為該端口允許的每一個(gè)協(xié)議分別創(chuàng)建ACL。例如��,如果一個(gè)端口配置成僅允許IP�����,AppleTalk和IPX協(xié)議的數(shù)據(jù)流進(jìn)入�,那么就需要?jiǎng)?chuàng)建至少三條ACL;如果該路由器需要在兩個(gè)端口的進(jìn)出兩個(gè)方向上僅允許以上三個(gè)協(xié)議通過(guò)��,那么則需要應(yīng)用至少12條ACL��。72021/7/
5�、25ACL如何工作����?ACL語(yǔ)句按照邏輯次序順序執(zhí)行�����,如果與某個(gè)條件語(yǔ)句相匹配���,分組就會(huì)根據(jù)規(guī)則被允許通過(guò)或被拒絕通過(guò);一旦某一條語(yǔ)句匹配���,則不會(huì)再檢查后面的其他規(guī)則語(yǔ)句����;如果所有的規(guī)則語(yǔ)句都不匹配��,最后將強(qiáng)加一條拒絕全局流量的隱式語(yǔ)句�。82021/7/25路由器如何執(zhí)行選路與ACL功能?無(wú)論是否使用ACL��,路由器處理數(shù)據(jù)報(bào)文最初的過(guò)程是相同的�����。當(dāng)一個(gè)數(shù)據(jù)報(bào)進(jìn)入一個(gè)端口����,路由器檢查這個(gè)數(shù)據(jù)報(bào)是否可路由���。如果是可以路由的,路由器檢查這個(gè)端口是否有ACL應(yīng)用���。如果有����,根據(jù)ACL中的條件指令�,檢查這個(gè)數(shù)據(jù)報(bào)文。如果數(shù)據(jù)報(bào)是被允許的����,就查詢路由表,
6��、決定數(shù)據(jù)報(bào)的目標(biāo)端口��。路由器檢查目標(biāo)端口是否存在ACL控制流出的數(shù)據(jù)報(bào)不存在�,這個(gè)數(shù)據(jù)報(bào)就直接發(fā)送到目標(biāo)端口。如果存在��,就再根據(jù)ACL進(jìn)行取舍�。92021/7/25路由器執(zhí)行數(shù)據(jù)報(bào)文處理的流程圖102021/7/25創(chuàng)建與應(yīng)用ACL配置模式ACL需要在全局配置模式中創(chuàng)建;ACL類型Cisco路由器支持多種ACL類型�����,包括標(biāo)準(zhǔn)����、擴(kuò)展、IPX����、AppleTalk等;配置ACL的時(shí)候需要為每一個(gè)協(xié)議的ACL指定一個(gè)唯一的數(shù)字����,用以標(biāo)識(shí)這個(gè)ACL。這個(gè)數(shù)字必須在有效范圍之內(nèi)(參看下圖)112021/7/25創(chuàng)建與應(yīng)用ACL創(chuàng)建ACL的步驟Step
7�����、1:�在全局配置模式中使用access-list命令撰寫ACL應(yīng)用規(guī)則(僅針對(duì)使用數(shù)字定義ACL的情況)��;請(qǐng)?zhí)貏e注意創(chuàng)建ACL的順序����!因?yàn)槁酚善髟趹?yīng)用ACL時(shí)是按照順序依次檢查執(zhí)行的���。ACL順序所表現(xiàn)出的邏輯正確性關(guān)系到該ACL是否能正確實(shí)現(xiàn)照管理員的控制意圖!Step2:�在路由器端口配置子模式中使用access-group命令將寫好的ACL應(yīng)用到該指定端口����;一組ACL可以同時(shí)應(yīng)用到多個(gè)路由器端口,所有通過(guò)這些端口的數(shù)據(jù)報(bào)文都必須接受該組ACL的檢查�。122021/7/25創(chuàng)建與應(yīng)用ACL創(chuàng)建于應(yīng)用ACL示例132021/7/25刪除、
8�����、修改ACL修改ACL對(duì)于傳統(tǒng)的使用數(shù)字編號(hào)定義的ACL�����,如果需要增加另外的語(yǔ)句或是語(yǔ)句需要改變�,你就必須刪掉該ACL,然后再重新建立一個(gè)帶有新語(yǔ)句的ACL��。一個(gè)好的辦法是�,使用PC上的文本編輯
