ATEN_PPT_CHAP12_V13研讨.pptVIP

Chapter 热备份路由协议（HSRP）的作用和工作原理 各种HSRP的术语和参数的作用 HSRP的配置和排错 访问控制列表ACL 第12章 本章目标 理解访问控制列表的工作原理（访问控制列表的作用，路由器对访问控制列表的处理过程） 理解访问控制列表的反码 掌握访问控制列表的种类 掌握标准和扩展访问控制列表的配置方法 能够利用访问控制列表对网络进行控制 本章结构 访问控制列表（ACL） 应用于路由器接口的指令列表 ，用于指定哪些数据包可以接收转发，哪些数据包需要拒绝 ACL的工作原理 读取第三层及第四层包头中的信息 根据预先定义好的规则对包进行过滤 提供网络访问的基本安全手段 可用于QoS，控制数据流量 控制通信量 实现访问控制列表的核心技术是包过滤 通过分析IP数据包包头信息，进行判断（这里IP所承载的上层协议为TCP） 访问控制列表入与出3-1 使用命令ip access-group将ACL应用到某一个接口上 在接口的一个方向上，只能应用一个access-list 第一步，创建访问控制列表 第二步，应用到接口e0的出方向上 使用通配符any和host 2-1 通配符any可代替 55 使用通配符any和host 2-2 host表示检查IP地址的所有位 基本类型的访问控制列表 标准访问控制列表 扩展访问控制列表 其他种类的访问控制列表 基于MAC地址的访问控制列表 基于时间的访问控制列表 标准访问控制列表3-1 标准访问控制列表 根据数据包的源IP地址来允许或拒绝数据包 访问控制列表号从1到99 标准访问控制列表3-2 标准访问控制列表只使用源地址进行过滤，表明是允许还是拒绝 标准访问控制列表的配置 第一步，使用access-list命令创建访问控制列表 标准ACL应用：允许特定源的流量2-2 第一步，创建允许来自的流量的ACL 第二步，应用到接口E0和E1的出方向上 标准ACL应用：拒绝特定主机的通信流量 第一步，创建拒绝来自3的流量的ACL 第二步，应用到接口E0的出方向 标准ACL应用：拒绝特定子网的流量 第一步，创建拒绝来自子网的流量的ACL 第二步，应用到接口E0的出方向 扩展访问控制列表4-1 扩展访问控制列表 基于源和目的地址、传输层协议和应用端口号进行过滤 每个条件都必须匹配，才会施加允许或拒绝条件 使用扩展ACL可以实现更加精确的流量控制 访问控制列表号从100到199 扩展访问控制列表4-2 扩展访问控制列表使用更多的信息描述数据包，表明是允许还是拒绝 扩展访问控制列表的配置3-1 第一步，使用access-list命令创建扩展访问控制列表 扩展访问控制列表操作符的含义 扩展访问控制列表的配置3-3 第二步，使用ip access-group命令将扩展访问控制列表应用到某接口 扩展ACL应用1：拒绝ftp流量通过E0 第一步，创建拒绝来自、去往、ftp流量的ACL 第二步，应用到接口E0的出方向 扩展ACL应用2： 拒绝telnet流量通过E0 第一步，创建拒绝来自、去往、telnet流量的ACL 第二步，应用到接口E0的出方向上 标准ACL和扩展ACL中可以使用一个字母数字组合的字符串（名字）代替来表示ACL的表号 命名IP访问列表允许从指定的访问列表删除单个条目 如果添加一个条目到列表中，那么该条目被添加到列表末尾 不能以同一个名字命名多个ACL 在命名的访问控制列表下 ，permit和deny命令的语法格式与前述有所不同 第一步，创建名为cisco的命名访问控制列表 第二步，指定一个或多个permit及deny条件 第三步，应用到接口E0的出方向 查看访问控制列表2-1 Router#show ip interface fastethernet 0/0 FastEthernet0/0 is up, line protocol is up Internet address is /24 Broadcast address is 55 Address determined by setup command MTU is 1500 bytes Helper address is not set Directed broadcast forwarding is disabled Outgoing access list is cisco Inbound access list is not set Proxy ARP is enabled Local Prox