交换机或路由器检查通过的每个数据包数据,读取包中的信息,如源地址、目的地址,源端口、目的端口等,根据应用在交换机或路由器接口上预先定义的安全规则,对通过的数据包进行过滤,从而达到对网络用户进行安全控制的目的。ACL安全控制技术首先需要在配置的设备中编写很多控制信息流向的命令,如图5-2所示,这些命令告诉交换机或路由器哪些数据包可以接收,哪些数据包需要拒绝。
图5-2 ACL的命令组成图例
数据包进入路由器的接口,根据目的地址查找路由表,找到转发接口(如果路由表中没有相应的路由条目,路由器会直接丢弃此数据包,并给源主机发送目的不可达消息)。确定外出接口后需要检查是否在外出接口上配置了ACL:如果没有配置ACL,路由器将做与外出接口数据链路层协议相同的二层封装,并转发数据。如果在外出接口上配置了ACL,则要根据ACL制定的原则对数据包进行判断,如果匹配了某一条ACL的判断语句并且这条语句的关键字是permit,则转发数据包;如果匹配了某一条ACL的判断语句并且这条语句的关键字不是permit,而是deny,则丢弃数据包。如图5-3所示。
(www.chuimin.cn)
图5-3 ACL安全技术原理图
图5-4 ACL条件匹配顺序
接下来通过如图5-4所示的流程分析ACL内部的具体处理过程:交换机端口应用ACL后,由于一个ACL中有很多安全规则表项,那么进入端口的报文执行哪条安全规则呢?数据包进入端口后,按照列表中的条件语句从上到下执行判断。当一个数据包要通过ACL的检查时,首先检查ACL中的第一条语句,如果匹配其判别条件,则依据这条语句所配置的关键字对数据包进行操作,关键字是permit则转发数据包,关键字是deny则直接丢弃此数据包。如果没有匹配第一条语句的判别条件,则进行下一条语句的匹配,同样,如果匹配其判别条件,则依据这条语句所配置的关键字对数据包进行操作,关键字是permit则转发数据包,关键字是deny则直接丢弃此数据包。这样的过程一直进行,一旦数据包匹配了某条语句的判别语句,则根据这条语句所配置的关键字或转发或丢弃。如果一个数据包没有匹配上ACL中的任何一条语句,则会被丢弃掉,因为缺省情况下每一个ACL在最后都有一条隐含的匹配所有数据包的条目,其关键字是deny,即访问控制列表的缺省规则是拒绝所有。以上ACL内部的处理过程总的来说,就是自上而下,按顺序执行,直到找到匹配的规则,拒绝或允许。
有关网络设备配置与实训的文章
配置标准命名的ACL所用命令①定义命名的ACLSwitch#ip access-list standard {name}Switch#{permit|deny}源地址 通配符掩码|any②应用ACL到接口Switch# ip access-group{name}in|out锐捷全系列交换机可针对物理接口和SVI接口应用ACL。针对物理接口,只能配置入栈应用;针对SVI接口,可以配置入栈和出栈应用。标准命名的ACL配置举例设计一个标准命名的ACL,应用在接口F 0/24上,以便阻塞来自一个特定子网192.168.100.0的通信流量,而允许所有其他的通信流量通过,并把它们转发出去。Switch#ip access-list standard task1Switch#deny 192.168.100.0 0.0.0.255Switch#permit anySwitch#interface fa0/24Switch#ip access-group task1 in......
2023-11-17
图5-5ACL配置拓扑图例若只允许172.16.0.0的网络的通信流量通过,而阻塞其他所有的通信流量,其配置方法为:Router# access-list 1 permit172.16.0.0 0.0.255.255Router# interface fa1/0Router# ip access-group 1 out若阻塞来自一个特定主机172.16.4.13的通信流量,而把所有其他的通信流量从fa1/0接口转发出去,其配置方法为:Router# access-list1 deny host 172.16.4.13Router# access-list1 permit anyRouter#int f1/0Router# ip access-group 1 out若阻塞来自一个特定子网172.16.4.0的通信流量,而允许所有其他的通信流量,并把它们转发出去,其配置方法为:Router# access-list1 deny 172.16.4.0 0.0.0.255Router# access-list1 permit anyRouter# interface fa1/0Router# ip access-group 1 out......
2023-11-17
配置扩展命名ACL所用命令①定义扩展命名的ACLSwitch#ip access-list extended {name}Switch#{permit|deny}协议 源地址 通配符掩码 目的地址通配符掩码[运算符 端口号]②应用ACL到接口Switch# ip access-group{name}in|out扩展命名的ACL配置举例设计一个命名ACL,只拒绝来自特定子网192.168.100.0的FTP和Telnet通信流量通过fa 0/24。Switch#ip access-list extended task2Switch# deny tcp 192.168.100.0 0.0.0.255 any eq 21Switch#deny tcp 192.168.100.0 0.0.0.255 any eq 23Switch#permit ip any anySwitch#exitSwitch#interface fa0/24Switch#ip access-group task2 in......
2023-11-17
实训目的通过以下实训,理解并掌握标准命名的ACL的配置方法。如图5-11所示,在S3760和S2126上分别划分两个基于端口的VLAN:VLAN 100,VLAN 200。图5-11交换机上标准命名的ACLS3760的配置如下:S3760端口F 0/1设置成Trunk口。PC 1、PC 2的网络设置为:PC 1:192.168.100.11/24 网关192.168.100.1PC 2:192.168.200.22/24 网关192.168.200.1要求实现:不配置ACL,PC 1和PC 2都能通过交换机S3760与外部网络通信;配置ACL后,VLAN 100的主机不能连接到外部网络。实训设备RG-S3760交换机1台,RG-S2126交换机1台,PC 2台,直通网线若干。......
2023-11-17
微机及其应用涉及的学科门类较多,详见图1-16。特别是数学,在微机技术中是灵魂。解读电工技术疑难问题往往是衡量、评价一名电气工作人员技术水平的一个无形的标准,特别是在现场,当疑难问题出现后会有很多方面的人聚集在一起商讨解决办法,尽快解决问题恢复生产。这里就控制电路、继电保护电路、微机控制检测保护电路的分析方法及技巧进行具体的讲述。......
2023-06-29
某局域网一路由器连接了3个网段,如图5-7所示。图5-7扩展ACL配置拓扑图例设计一个扩展ACL,只允许172.16.4.0网络的WWW通信流量到达网络172.16.3.0,其他通信流量全部拒绝。Router# access-list 101 permit tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 80Router# interface fa1/0Router# ip access-group 101 out设计一个扩展ACL,拒绝172.16.4.0网络的FTP通信流量通过fa1/0到达网络172.16.3.0,其他信息流均可通过。Router# access-list101 deny tcp 172.16.4.0 0.0.0.255 any eq 23Router# access-list101 permit ip any any......
2023-11-17
实训目的通过以下案例的配置,掌握路由器上编号的标准IP访问列表规则及配置,实现不同网段间互相访问的安全控制。公司的经理部、财务部门和销售部门分属不同的3个网段,三部门之间用路由器进行信息传递。实训步骤首先按实训拓扑图连接各设备,然后按以下步骤进行功能配置。......
2023-11-17
实训目的通过本实训,掌握扩展访问列表的配置,理解扩展访问列表丰富的过滤条件。如图5-8所示,各设备IP地址设计如下,通过扩展ACL技术禁止192.168.0.0/24到PC-B的远程登入,但能ping通。Router-A:S1/2192.168.1.1/24;F1/0 192.168.0.1/24Router-B:S1/2192.168.1.2/24;F1/0 192.168.2.1/24PC-A:192.168.0.2/24 网关192.168.0.1PC-B:192.168.2.2/24 网关192.168.2.1图5-8扩展ACL配置实训图例实训设备路由器RG-R1762 2台,PC 2台,V.35线缆2条,网线2条。实训步骤首先按实训拓扑图连接各设备,然后按以下步骤进行功能配置。图5-10PC-A对PC-B能ping通但不能Telnet知识拓展常见网络......
2023-11-17
相关推荐