路由型与交换型互联网基础 程庆梅 14.acl新.pptVIP

访问控制列表 访问控制列表（ACL） 应用于路由器接口的指令列表 ，用于指定哪些数据包可以接收转发，哪些数据包需要拒绝 ACL的工作原理 读取第三层及第四层包头中的信息 根据预先定义好的规则对包进行过滤 什么是访问控制列表 提供网络访问的基本安全手段 控制通信量 访问控制列表的作用2-1 主机A 主机B 人力资源网络 研发网络 使用ACL阻止某指定网络访问另一指定网络 访问控制列表的作用2-2 实现访问控制列表的核心技术是包过滤 Internet 公司总部 内部网络 未授权用户 办事处 访问控制列表 访问控制列表工作原理2-1 通过分析IP数据包包头信息，进行判断（这里IP所承载的上层协议为TCP） IP报头 TCP报头 数据 源地址 目的地址 源端口 目的端口 访问控制列表工作原理2-2 匹配 下一步 拒绝 允许 允许 允许 到达访问控制组接口的数据包 匹配 第一步 目的接口 隐含的 拒绝 丢弃 Y Y Y Y Y Y N N N 匹配 下一步 拒绝 拒绝 拒绝 路由器对访问控制列表的处理过程 进入数据包 源地址 匹配吗？ 有更多 条目吗？ 应用条件 拒绝 允许 路由到接口 查找路由表 是 是 否 是 否 Icmp消息 转发数据包 接口上有访问 控制列表吗？ 列表中的 下一个条目 否 访问控制列表入与出3-2 外出数据包 查找路由表 接口上有访问 控制列表吗？ 源地址匹配吗？ 拒绝 允许 列表中的 下一个条目 是 是 转发数据包 Icmp消息 否 否 否 有更多条目吗？ 应用条件 是 访问控制列表入与出3-3 基本类型的访问控制列表 标准访问控制列表 扩展访问控制列表 其他种类的访问控制列表 基于MAC地址的访问控制列表 基于时间的访问控制列表 访问控制列表的种类 扩展acl 路由器B 路由器C 路由器D 路由器A S0 S0 S1 S1 E0 E0 E1 E0 E0 E1 源 目的 应用访问控制列表 标准acl 标准访问控制列表3-1 标准访问控制列表 根据数据包的源IP地址来允许或拒绝数据包 访问控制列表号从1到99 也可使用命名方式明确指定 标准访问控制列表3-2 标准访问控制列表只使用源地址进行过滤，表明是允许还是拒绝 从/24来的数据包可以通过！ 从/24来的数据包不能通过！ 路由器 如果在访问控制列表中有的话 应用条件 拒绝 允许 更多条目？ 列表中的下一个条目 否 有访问控制列表吗？ 源地址 不匹配 是 匹配 是 否 Icmp消息 转发数据包 标准访问控制列表3-3 标准访问控制列表配置 第一步，创建访问控制列表 Router_config#access-list 1 permit 命名法： Router_config#ip access-list standard fortest Router_config_std_nacl#deny 55 第二步，应用到接口的出方向上 Router_config_f0/0#ip access-group 1 out 访问列表号 列表条件 源地址 列表名 列表条件 源地址 访问列表号或名称 针对应用数据的方向 Non- E0 E1 S0 3 标准ACL应用1：允许特定源的流量2-1 标准ACL应用：允许特定源的流量2-2 第一步，创建允许来自的流量的ACL 第二步，应用到接口E0和E1的出方向上 Router_config#access-list 1 permit Router_config#interface E0 Router_config_e0#ip access-group 1 out Router_config#interface E1 Router_config_e1#ip access-group 1 out 标准ACL应用：拒绝特定子网的流量 第一步，创建拒绝来自子网的流量的ACL 第二步，应用到接口E0的出方向 Router_config#ip access-list standard aaa Router_config_std_nacl#deny Router_config_std_nacl#permit any Router_config#interface E0 Router_config_e0#ip access-group aaa out 此步骤很关键 扩展访问控制列表4-1 扩展访问控制列表 基于源和目的地址、传输层协议和应用端口号进行过滤 每个条件都必须匹配，才会施加允许或拒绝条件 使用扩展ACL可以实现更加精确的流量控制 访问控制列表号从100到199 也可使用命名方式明确指定 扩展访问控制列表4-2 扩展访问控制列表使用更多的信