路由交换技术与应用项目化教程 作者 孙秀英 ACL原理及配置.pptVIP

访问控制列表ACL 本章学习目标 经过本章的学习，你可以获得： 理解ACL的概念及其作用 掌握ACL的工作原理和过程 掌握ACL的基本配置，实现对数据流的控制 一、ACL的概念与作用 二、ACL工作原理 ACL应用于接口时，方向： IN：进入接口，当访问控制列表被用于检测从接口输入的数据包时，包在进入路由器之前要经过访问控制列表的处理。 OUT：外出接口，当访问控制列表被用于检测从接口输出的数据包，包在从该路由器端口输出之前要经过访问控制列表的处理。 2、ACL工作流程（出端口为例） 2、ACL工作流程（出端口为例）续 2、ACL工作流程（出端口为例）续 3、ACL语句内部处理过程 3、ACL语句内部处理过程（续） 3、ACL语句内部处理过程（续） 3、ACL语句内部处理过程（续） 标准与扩展ACL的比较 ACL的判别依据－五元组 四、ACL的规则总结 按照由上到下的顺序执行，找到第一个匹配后既执行相应的操作（然后跳出ACL） 每条ACL的末尾隐含一条deny any 的规则 ACL可应用于某个具体的IP接口的出方向或入方向 ACL可应用于系统的某种特定的服务（如针对设备的TELNET） 在引用ACL之前，要首先创建好ACL 对于一个协议，一个接口的一个方向上同一时间内只能设置一个ACL ACL配置步骤 ACL号码范围 通配符的作用 匹配特定主机地址 匹配任意地址 匹配特定子网 配置标准ACL 标准ACL配置示例1 扩展ACL的配置 扩展ACL的配置实例1 扩展ACL的配置实例2 ACL配置原则 ACL语句的顺序很关键 ACL按照由上到下的顺序执行，找到一个匹配语句后既执行相应的操作，然后跳出ACL而不会继续匹配下面的语句。所以配置ACL语句的顺序非常关键！ 自上到下的处理顺序 具体的判别条目应放置在前面 标准ACL可以自动排序： 主机 网段 any 隐含的拒绝所有的条目 除非最后有明确的允许语句，否则最终拒绝所有流量，所以ACL中必须有允许条目存在，否则一切流量被拒绝 如何放置ACL？ 标准ACL应该在什么位置设置？ －对于标准ACL，应该被配置在距离目的比较近的地方。 扩展ACL应该在什么位置设置？ －对于扩展ACL，应该被配置在距离源端比较近的地方。 内容回顾 ACL的概念和用途 ACL的工作原理 ACL的种类 ACL的使用规则 ACL的语法 ACL的配置 思考题 对于标准型ACL，应该放在网络的什么位置？而对于扩展型ACL，又应该放在网络的什么位置？ 在I P访问列表中，如果到最后也没有找到匹配，则传输数据包将如何处理？ 你该如何安排访问列表中的条目顺序？ 作业： P216 2、3 最后应用在接口fei-1/2的外出方向上。 其作用为拒绝从子网 到子网 通过fei_ 1/2口出去的FTP访问 ，同时允许其他所有流量的访问。 最后应用在接口fei-1/2的外出方向上。 其作用为拒绝从子网 发出的通过fei_ 1/2口外出的到达任何网络的telnet访问 ，同时允许其他所有流量的访问。 ACL配置原则 ACL语句的顺序很关键。 ACL按照由上到下的顺序执行，找到一个匹配语句后既执行相应的操作，然后跳出ACL而不会继续匹配下面的语句。所以ACL中语句的顺序很关键，如果顺序错误则有可能效果与预期完全相反。可以进入acl配置模式，进行灵活编辑，支持单条删除和单条增加，也可以 使用文本编辑器在TFTP服务器或使用PC剪切、粘帖来创建ACL。 ACL的执行是按自上到下的处理顺序进行的，如果首先指定一个大的网络范围，拒绝其通过，然后指定这个大范围内的某个更小范围的网段，允许其通过，则允许的条目永远不会起作用，因为数据包会首先匹配上前面的一条语句并直接被丢弃，而不会再匹配后续的语句，所以要首先配置最为具体的匹配条件，如主机的匹配语句，然后是不太具体的条件，如针对网段的语句；最后为最不具体的匹配条件，如针对所有网络的语句。 对于标准ACL，路由器可以根据ACL语句中的判别条件的范围自动排序。 每个ACL末尾都隐含有拒绝全部数据的语句，所以ACL中必须有明确的允许数据包通过的语句，否则将拒绝掉所有流量。 acl basic number 11 rule 1 deny 3 rule 2 permit any (rule 3 deny 55) －－隐含拒绝全部 interface fei_1/2 ip access-group 1 out 3 S0 拒绝特定主机3对网段的访问 非网段 Fei_1/1 Fei_1/2 标准ACL配置示例2 标准ACL的位置，一般放在离目的端比较近的出方向上。 拒绝特定子网对网段的访问 3 S0 非网段 ac