络系统集成技术.pptVIP

网络系统集成技术 本章内容 理论环节 访问控制列表的作用 访问控制列表的概念 访问控制列表的分类 访问控制列表的应用 实践环节 配置IP基本访问控制列表 配置IP扩展访问控制列表 案例分析环节 访问控制列表的作用 控制通信流量 例如，当网络访问流量较大时,需要对网络流量进行管理。 访问控制列表的作用（续） 实现网络的安全访问 如下图：ACL允许人力资源网内的主机A访问财务网，而拒 绝主机B访问。 访问控制列表的概念 一个访问控制列表（ACL，Access Control List）是由一系列的检查条件及对符合该条件的数据包是否允许经过网络边缘设备的决定构成的，是应用在网络边缘设备接口上的一组有序的规则集合。 在被应用到网络边缘设备接口之前，ACL对网络边缘设备没有影响。 基于TCP/IP访问控制列表的分类 访问控制列表的应用规则 路由器应用访问列表对流经接口的数据包进行控制 1.入栈应用（in） 经某接口进入设备内部的数据包进行安全规则过滤 2.出栈应用（out） 设备从某接口向外发送数据时进行安全规则过滤 一个接口在一个方向只能应用一组访问控制列表 访问控制列表的入栈应用 访问控制列表的出栈应用 IP访问控制列表的基本准则 ACL中规则的顺序问题 在定义ACL时，一定要将条件限制范围小的规则放到ACL的前面，条件限制范围大的规则放到ACL的后面。 一切未被允许的就是禁止的 定义访问控制列表规则时，最终的缺省规则是拒绝所有数据包通过 按规则链来进行匹配 使用源地址、目的地址、源端口、目的端口、协议、时间段进行匹配 规则匹配原则 从头到尾，至顶向下的匹配方式 匹配成功马上停止 立刻使用该规则的“允许/拒绝……” IP访问控制列表的基本准则 一个访问列表多条过滤规则 标准访问控制列表 标准访问列表 根据数据包源IP地址进行规则定义 标准访问控制列表 反掩码 0表示检查相应的地址比特 1表示不检查相应的地址比特 标准访问控制列表的配置 1.定义标准ACL 编号的标准访问列表Router(config)#access-list 1-99 permit|deny 源地址 反掩码 命名的标准访问列表 switch(config)# ip access-list standard name switch(config-std-nacl)#{permit|deny} 源地址 [反掩码] 2.应用ACL到接口 Router(config-if)#ip access-group 1-99 { in | out } 标准访问控制列表配置实例 access-list 1 deny 55 access-list 1 permit any (access-list 1 deny any) 标准访问控制列表配置实例 access-list 1 permit 55 (access-list 1 deny any) interface serial 1/2 ip access-group 1 out 标准访问控制列表配置实例 access-list 11 deny access-list 11 permit 55 int e0 ip access-group 11 in 标准访问控制列表配置实例 扩展访问控制列表 扩展访问控制列表 根据数据包中源IP、目的IP、源端口、目的端口、协议进行规则定义 扩展访问控制列表的配置 1.定义扩展的ACL 编号的扩展ACL Router(config)#access-list 100-199 permit /deny 协议 源地址 反掩码 源端口 目的地址 反掩码 目的端口 命名的扩展ACL ip access-list extended {name} { permit /deny } 协议 源地址 反掩码[源端口] 目的地址 反掩码 [ 目的端口 ] 2.应用ACL到接口 Router(config-if)#ip access-group 100-199 { in | out } 扩展访问控制列表的配置 常用端口与协议对照表 扩展访问控制列表配置实例 如何创建一条扩展ACL 该ACL有一条ACE，用于允许指定网络（192.168.x..x）的 所有主机以HTTP访问服务器，但拒绝其它所 有主机使用网络 Router (config)# access-list 103 permit tcp 55 host eq www Router # show access-lists 103 扩展访问