CCNA实习课件-第13章 ACL.pptVIP

? 1999, Cisco Systems, Inc. Cisco Systems 第十三章ACL（访问控制列表） Internet 访问控制列表是一系列的规则，用于对经过路由器的数据包进行过滤，决定是否转发或者阻止数据包； 限制网络流量，提高网络性能：路由器不需要处理的流量，ACL可以进行过滤； 为网络的访问提供基本的安全：ACL可以允许某个主机访问网络的某个部分，而阻止另一台主机访问网络的这个部分； 决定转发或阻止哪些类型的数据流：可以允许转发E-Mail流量，而阻止即时通讯流量； ACL的作用 ACL的基本应用 允许（permit）、拒绝（deny）数据包通过路由器端口 允许、拒绝虚拟会话的建立 虚拟会话 （如telnet） 端口上的数据传输 ACL的高级应用 路由表过滤 RoutingTable QueueList 优先级判断 按需拨号 基于数据包检测的特殊数据通讯应用 标准ACL 检查数据包的源地址 通常允许、拒绝的是完整的三层协议，如IP协议 Outbound E0 S0 Inbound Permit? Source ACL的类型-标准ACL 扩展ACL 检查数据包的源和目的 通常允许、拒绝的是某个特定的协议，如IP、OSPF、TCP等 E0 S0 Permit? Source and Destination ACL的类型-扩展ACL Inbound Outbound ACL配置指南 ACL的内容输入顺序决定了数据的控制顺序（从上往下执行） ACL匹配了任何一条语句，都不会往下执行了 具有严格限制条件的语句应放在ACL所有语句的最上面 在ACL的最后有一条隐含声明：deny any（拒绝所有），数据包与所有行都不匹配的话，最终会被丢弃；每一条正确的ACL都至少应该有一条允许语句 先创建ACL，然后应用到接口或者虚拟会话上，先定义后应用 ACL不能过滤由路由器自己产生的流量 标准ACL尽量靠目的地配置 扩展ACL尽量靠源配置 数据包从一个端口出去，先进行路由选择，后进行ACL匹配； 数据包从一个端口进来，先进行ACL的匹配，后进行路由选择； ACL执行顺序 ACL的配置中都会包含通配符掩码，比如 55中的55即为通配符掩码，IP地址和通配符掩码一起用来确定IP地址的范围，通配符掩码中0表示匹配，1表示不匹配，该实例中就相当于匹配了前24位，也就是说前24位必须匹配，后8位是什么无所谓，这样就相当于匹配了/24这个网络，也就是匹配这个网络中的254个IP地址。 通配符掩码 可以用any来代表 55这样的通配符掩码，表示任何、所有主机 可以用host来代表这样的通配符掩码，表示单一的主机，比如， 可以用host 代替 两个常用的特殊通配符掩码 配置标准的ACL access-list access-list-number {permit|deny} source [Wild card bits] [log] Router(config)# IP 标准访问列表编号范围：1-99和1300-1999 默认的通配符掩码： Log是可选选项 “no access-list access-list-number” 命令可以删除整个标准ACL，ACL中所有的语句都会被删除 在端口上应用ACL 指明是进方向还是出方向调用ACL “no ip access-group access-list-number in|out” 命令可以在端口上删除访问列表应用 Router(config-if)# ip access-group access-list-number { in | out } 在端口上应用ACL access-list 1 deny 55 access-list 1 permit any（允许其他流量）（access-list 1 deny any） interface ethernet 0 ip access-group 1 out 标准访问列表举例 3 E0 S0 E1 Non- Deny a specific subnet：/24 标准ACL实验 1.R1上建立两个环回口，R2上建立一个环回口，运行路由协议保证三层通信。 2.要求：让R1的lo0不能访问外部，lo1正常访问外部。 Router(config-if)# ip access-group access-list-number { in | out } 配置扩展的ACL 在端口上应用ACL Router(config)# 扩展ACL列表号的范围是：100-199和2000-2699 一般用eq来匹配上层应用 established表示匹配已建立的连接，用来做TCP的单向访问控制 acc