第3讲访问控制列表.pptVIP

第3讲 访问控制列表 主讲人：黄 彦 hyanna@126.com 课程内容 3.1 ACL概述 3.2 ACL的配置任务 3.3 标准访问控制列表 3.4 扩展访问控制列表 3.5 正确放置访问控制列表 3.1 ACL概述 3.1.1 ACL简介 3.1.2 ACL功能 3.1.3 ACL创建顺序及其使用 3.1.4 ACL工作过程 3.1.1 ACL简介 访问控制列表（Access Control List，ACL），又称包过滤。 当数据包进入路由器某个端口时，路由器判断该数据包是否满足此端口的包过滤规则，若满足则允许其通过，否则将其丢弃。 在Cisco路由器中设置包过滤规则，即是配置ACL的过程。 3.1.2 ACL功能 限制网络流量，提高网络性能。 提供对通信流量的控制手段。 提供网络访问的基本安全手段。 3.1.3 ACL创建顺序及其使用 3.1.4 ACL工作过程 3.2 ACL的配置任务 3.2.1 配置ACL的基本步骤 3.2.2 分配ACL表号 3.2.3 通配符掩码 3.2.1 配置ACL的基本步骤 定义ACL； 隐含声明：Cisco路由器规定，每一个ACL的最后一行都是拒绝转发所有的数据包（隐式方式），在配置过程的最后要注明permit any，表示允许数据包转发。 将ACL配置到合适的端口。 3.2.2 分配ACL表号 标准ACL的标识号码范围：1~99 扩展ACL的标识号码范围：100~199 3.2.3 通配符掩码 any：所有地址 any 55 host：特定主机 例： host 9 9 3.3 标准访问控制列表 3.3.1 标准ACL工作原理 3.3.2 标准ACL配置 3.3.1 标准ACL工作原理 只对数据包中的源IP地址进行检查。 即标准ACL只包含源主机的IP地址。 3.3.2 标准ACL配置 实例：某单位欲禁止主机PC4访问子网， 以提高网络的安全性。 access-list access-list-number deny/permit source/any 功能：定义ACL。 参数1：access-list-number， ACL标识号码，十进制。可选范围为 1~99； 参数2：deny/permit，deny拒绝转发（丢弃），permit允许转发； 参数3：source/any ，数据包的源地址（主机地址或网络号）。 any表示所有地址。 ip access-group access-list-number in/out 功能：在端口配置模式下，将ACL应用到指定端口。 参数1：access-list-number，ACL标识号码； 参数2：in/out，in表示检查进入该端口的数据包，out表示检查送出 该端口的数据包。 show access-list [access-list-number] 功能：显示ACL。 参数：access-list-number，ACL标识号码。若缺省，则显示所有的ACL。 3.3.2 标准ACL配置 3.4 扩展访问控制列表 3.4.1 扩展ACL工作原理 3.4.2 扩展ACL配置 3.4.1 扩展ACL工作原理 过滤规则可以对协议、源主机的IP地址、目的主机的IP地址和端口号等内容进行检查。 3.4.2 扩展ACL配置 实例：PC1为文件服务器，欲禁止位于另一子网的客户机PC3对它的访问。 access-list access-list-number deny/permit protocol source/any destination/any [operator operand/protocol-keyword] 功能：定义扩展ACL。 参数1：access-list-number，ACL标识号码。可选范围为100~199； 参数2：deny /permit，如果匹配deny拒绝转发，permit允许转发； 参数3：protocol：协议类型，可是ip，icmp，tcp和udp等。 参数4：source/any ，数据包源地址（主机地址或网络号）。any表示所有地址。 参数5：destination/any ，数据包目的地址（主机地址或网络号）。any表示所有地址。 参数6：operator，操作符，可是lt，gt，eq和neq，分别表示小于、大于、等 于和不等于；