第七章访问控制列表.pptVIP

* * 第七章 访问控制列表 一、ACL概述 二、标准ACL 三、标准命名ACL 四、扩展ACL 五、扩展命名ACL 一、ACL概述 ACL通过在路由器接口处控制路由器数据包是被转发还是被阻塞来过滤网络通信流量。路由器根据ACL中指定的条件来检测通过路由器的每个数据包，从而决定是转发还是丢弃该数据包。ACL中的条件，既可以是数据包的源地址，也可以是目的地址，还可以是上层协议或其他因素。 1、ACL的主要功能： 限制网络流量，提高网络性能 提供对通信流量的控制手段 提供网络访问的基本安全手段 在路由器接口处，决定哪种类型的通信流量被转发，哪种类型的通信流量被阻塞 2、ACL的分类 ACL 标准ACL：表号为1~99 扩展ACL：表号为100~199 命名ACL： 表号为字符串 标准命名ACL 扩展命名ACL 3、ACL的配置 通常ACL的配制分为两步 ： 定义访问控制列表（在全局模式）： access-list 表号 {permit|deny} {测试条件} 将访问控制列表应用到某一接口上（在端口模式）： {protocol} access-group 表号{in|out} 二、标准ACL 标准ACL检查可以被路由的数据包的源地址，从而允许或拒绝基于网络、子网或主机IP地址的某一协议簇通过路由器出口。 1、配置标准ACL所用命令： access-list 表号 {permit|deny} 源地址 通配符掩码 其中，源地址可以是IP地址，也可以是网络地址； 通配符掩码是用来决定哪些位需要匹配 ， 通配符掩码的形式相当于反过来的子网掩码， 与通配符掩码0对应的位要检查， 与通配符掩码1对应的位不要检查。 Ip access-group 表号{in|out} 其中，in表示流入端口，out 表示流出端口 2、标准ACL配置举例 只允许的网络的通信流量通过，而阻塞其他所有的通信流量 ： R (config) # access-list 1 permit 55 R (config) # interface fa0/0 R (config-if) # ip access-group 1 out R (config) # interface fa0/1 R (config-if) # ip access-group 1 out 阻塞来自一个特定主机3的通信流量，而把所有的其他的通信流量从fa0/0接口转发出去 ： Router(config) # access-list 1 deny host 3 Router(config) # access-list 1 permit any Router(config) #int f0 Router(config-if) # ip access-group 1 out 阻塞来自一个特定子网的通信流量，而允许所有其他的通信流量，并把它们转发出去 R (config) # access-list 1 deny 55 R (config) # access-list 1 permit any R (config) # interface fa0/0 R (config-if) # ip access-group 1 out 三、标准命名ACL 命名ACL允许使用一个字母数字组合的字符串来表示ACL表号 1、配置标准命名ACL所用命令： R (config)#ip access-list standard name Deny 源地址 通配符掩码 | any 或permit 源地址 通配符掩码 | any R(config-if)# ip access-group name in |out 2、标准命名ACL配置举例 设计一个标准命名ALC，以便阻塞来自一个特定子网的通信流量，而允许所有其它的通信流量，并把它们转发出去 ： Router(config)#ip access-list standard task1 Router(config-std-nacl)#deny 55 Router(config-std-nacl)#permit any Router(config)#interface fa0/0 Router(config-if)#ip access-group task1 in 四、扩展ACL 扩展ACL比标准ACL提供了更广阔的控制范围，因而更受网络管理员的偏爱。 扩展ACL既检查数据包的源地址，也检查数据包的目的地址，还可以检查数据包特定的协