第27章用訪問控制列表實(shí)現(xiàn)包過濾

控制列表實(shí) ISSUE杭 通信技 引要增強(qiáng)性，網(wǎng)絡(luò)設(shè)備需要具備控制某些或某些數(shù)據(jù)的力 濾是一種被廣泛使用的技術(shù)。它使用ACL來實(shí)現(xiàn)據(jù)識別，并決定是轉(zhuǎn)發(fā)還是丟棄這些數(shù)據(jù)包由ACL定義的報(bào)文匹配規(guī)則，還可以被其它需要對數(shù)據(jù)進(jìn)行區(qū)分的合課程目了解ACL掌握 濾工作原掌握ACL掌握 濾的配掌握 濾的配置應(yīng)用注意事 配置 ACL概ACL（AccessControlList， →NAT（NetworkAddressTranslation，網(wǎng)絡(luò)→QoS（QualityofService，服務(wù)質(zhì)量）分→→按需撥配置 基于ACL 濾技入方向過 出方向過接 路由轉(zhuǎn) 接出方向過 入方向過對進(jìn)出的數(shù)據(jù)包逐個(gè)過濾，丟棄或允許通C過濾此方向的CL過濾入 濾工作流

濾

Default

出 濾工作流

濾

Default

通配符掩→0表示對應(yīng)位須比→1通配符掩含只比較前24只比較前22只比較前8通配符掩碼的應(yīng)用示IP地通配符掩表示的地址范192.168.0.0/24和 配置 ACL的標(biāo) 控制列表的數(shù)字序號的范基本控制列擴(kuò)展控制列基于二層的控制列用戶自定義的控制列可以 基本 從1.1.1.0/24從2.2.2.0/28分DA=3.3.3.3DA=3.3.3.3DA=3.3.3.3接 DA=3.3.3.3分高級高級控制列表根據(jù)報(bào)文的源IP地址、目的IP從1.1.1.0/24來，到3.3.3.1的TCP端口80分DA=2.2.2.1,DA=2.2.2.1,分二層ACL與用戶自定義用戶自定義CL配規(guī)則→報(bào)文的報(bào)文頭、IP頭等為基準(zhǔn)，指定從第幾個(gè)字節(jié)開始與掩碼進(jìn)“與”操作，將從報(bào)文提取出來的字符串和用戶定義的字符串進(jìn)比較，找到匹配的報(bào)文 濾配置任啟 →→設(shè)置合適的動(dòng)作 啟 功[sysname][sysname]firewall設(shè) →系統(tǒng)默認(rèn)的默認(rèn)過濾方式是[sysname][sysname]firewalldefault{permit|deny配置基本→基本IPv4ACL的序號取值范圍為[sysname][sysname]aclnumberacl-→制定要匹配的源IP→指定動(dòng)作是permit或[sysname-acl-basic-2000][sysname-acl-basic-2000]rule[rule-id]{deny|permit[fragment|logging|source{sour-addrsour-wildcard|any}time-rangetime-name配置高級→高級IPv4ACL的序號取值范圍為[sysname][sysname]aclnumberacl-→需要配置規(guī)則來匹配源IP地址、目的IP地址、IP承載的協(xié)議 →指定動(dòng)作是permit或[sysname-acl-adv-3000][sysname-acl-adv-3000]rule[rule-id]{deny|permit}[destination{dest-addrdest-wildcard|any}|destination-portoperatorport1[port2]established|fragment|source{sour-addrsour-wildcard|any}|source-portoperatorport1[port2]|time-range配置二層配置二層ACL，并指定ACL→二層ACL的序號取值范圍為[sysname][sysname]aclnumberacl-→需要配置規(guī)則來匹配源MAC地址、目的MAC地址、→指定動(dòng)作是permit [sysname-acl-ethernetframe-3000]rule[sysname-acl-ethernetframe-3000]rule[rule-id]{deny|permit}[cosvlan-pri|dest-macdest-addrdest-mask|lsaplsap-codewildcard|source-macsour-addrsource-mask|time-rangetime-在接口上應(yīng)用 [sysname-Serial2/0[sysname-Serial2/0]firewallpacket-filter{number|nameacl-name}{inbound|outbound 濾顯示與調(diào)操命查看的統(tǒng)計(jì)信displayfirewall-statistics{all|interfaceinterface-typeinterface-displayfirewallethernet-frame-filter{all|dlsw|interfaceinterface-typeinterface-number}清除的統(tǒng)計(jì)信resetfirewall-statistics{all|interfaceinterface-typeinterface-顯示配置的IPv4ACL信displayacl{acl-number|清除IPv4ACLresetaclcounter{acl-number|all 配置 ACL規(guī)則的匹配順→配置順序（config）→自動(dòng)排序（auto）：[sysname][sysname]aclnumberacl-number[match-{auto|config}不同匹配順序?qū)е陆Y(jié)果aclnumberaclnumber2000match-orderrulepermitsource1.1.1.0ruledenysource1.1.1.1接接DA=3.3.3.3aclnumberaclnumber2000match-orderrulepermitsource1.1.1.0ruledenysource1.1.1.1接接DA=3.3.3.3在網(wǎng)絡(luò)中的正確位置配置 高級→應(yīng)該在靠近被過濾源的接口上應(yīng)用ACL，以盡 不基本→過于靠近被過濾源的基本ACL可 該 →應(yīng)在不影響其他合 高級ACL部署位置示

[RTC][RTC]firewallenable[RTC]aclnumber[RTC-acl-adv-3000]ruledenyipsource172.16.0.10destination192.168.0.00.0.1.255[RTC-Ethernet0/0]firewallpacket-filter3000基本ACL部署位置示

[RTA][RTA]firewall[