03-访问控制列表ACL-ok.pptVIP

IP访问控制列表 ACL 浙江工业职业技术学院 什么是访问列表 IP Access-list：IP访问列表或访问控制列表，简称IP ACL IP ACL就是对经过网络设备的数据包根据一定的规则进行数据包的过滤。 为什么要使用访问列表 为什么要使用访问列表 访问列表的组成 定义访问列表的步骤 第一步，定义规则（哪些数据允许通过，哪些数据不允许通过） 第二步，将规则应用在路由器（或交换机）的接口上 访问控制列表的分类： 1、标准访问控制列表 1-99 2、扩展访问控制列表 100-199 3、基于名称的访问列表 访问控制列表规则元素 源IP、目的IP、源端口、目的端口、协议 访问列表规则的应用 路由器应用访问列表对流经接口的数据包进行控制 1.入栈应用（in） 2.出栈应用（out） 访问列表的入栈应用 IP ACL的基本准则 一切未被允许的就是禁止的。 路由器或三层交换机缺省允许所有的信息流通过; 而防火墙缺省封锁所有的信息流，然后对希望提供的服务逐项开放。 按规则链来进行匹配 使用源地址、目的地址、源端口、目的端口、协议、时间段进行匹配 从头到尾，至顶向下的匹配方式 匹配成功马上停止 立刻使用该规则的“允许、拒绝……” 一个访问列表多个测试条件 访问列表规则的定义 标准访问列表 根据数据包源IP地址进行规则定义 扩展访问列表 根据数据包中源IP、目的IP、源端口、目的端口、协议进行规则定义 IP标准访问列表 IP扩展访问列表 反掩码（通配符） 通配符：如何检查相应的地址位 通配符掩码指明特定的主机 通配符掩码指明所有主机 通配符掩码和IP子网的对应 IP标准访问列表的配置 1.定义标准ACL 编号的标准访问列表 Router(config)#access-list 1-99 {permit|deny} 源地址 [反掩码] 2.应用ACL到接口 Router(config-if)#ip access-group 1-99 { in | out } IP扩展访问列表的配置 1.定义扩展的ACL Router(config)#access-list 100-199 { permit /deny } 协议 源地址 反掩码 [源端口] 目的地址 反掩码 [ 目的端口 ] 2.应用ACL到接口 Router(config-if)#ip access-group 100-199 { in | out } 扩展访问列表的应用 访问列表的验证 显示全部的访问列表 Router#show access-lists 显示指定的访问列表 Router#show access-lists 1-199 显示接口的访问列表应用 Router#show ip interface 接口名称 接口编号 补充：使用名称访问列表 用访问列表控制Vlan间的互访 禁止/24网络用户访问VLAN10 ip access-list standard abc deny 55 permit any ! interface Vlan 10 ip access-group abc in/out ISP √ 网络安全性 可以是路由器或三层交换机或防火墙 接入层交换机 RG-S2126 核心交换机 RG-S3512G /RG-S4009 服务器群 路由器 RG-NBR1000 Internet 交换机堆叠 接入层交换机 RG-S2126 不同部门所属VLAN不同 1 2 2 2 1 1 1 2 技术部 VLAN20 财务部 VLAN10 隔离病毒源 隔离外网病毒 WWW EMAIL FTP N Y 是否允许? Y 是否应用访问列表? N 查找路由表 进行选路转发 以ICMP信息通知源发送方 以ICMP信息通知源发送方 N Y 选择出口S0 路由表中是否存在记录? N Y 查看访问列表的陈述 是否允许? Y 是否应用访问列表? N S0 S0 访问列表的出栈应用 Y 拒绝 Y 是否匹配测试条件1 ? 允许 N 拒绝 允许 是否匹配测试条件2 ? 拒绝 是否匹配最后一个测试条件 ? Y Y N Y Y 允许 被系统隐含拒绝 N 源地址 TCP/UDP 数据 IP eg.HDLC 1-99 号列表 目的地址 源地址 协议 端口号 100-199号列表 TCP/UDP 数据 IP eg.HDLC 0表示检查相应的地址比特 1表示不检查相应的地址比特 0 0 1 1 1 1 1 1 128 64 32 16 8 4 2 1 0 0 0 0 0 0 0 0 0 0 0 0 1 1 1 1 1 1 1 1 1 1 0 0 1 1