6-扩展ACL.pptx

扩展访问控制列表（Extended ACL） 一、ACL概述什么是ACL?ACL的本质就是一系列对数据包过滤的条件（规则）。例如： a./24内主机能访问/24b./24内主机不能访问/24/24/24/24二、ACL的分类访问列表类型编号范围1-99100-199Name (Cisco IOS 11.2 and later)标准ACL扩展ACL命名ACL标准ACL检查IP数据包源IP地址扩展ACL检查源IP地址，目的IP地址，源端口号和目的端口号等通常允许、拒绝的是某个特定的协议回顾 回顾 三、ACL的特点按照顺序进行匹配，从第一行开始，然后第二行，第三行等；按照顺序查询匹配，符合条件后就不再继续匹配后面的条目；每个ACL列表最后都隐含一条拒绝的语句，所以每个ACL至少包含一条 permit语句；ACL设计用于过滤通过Router的流量，但不会过滤Router自身产生的流量；除了命名ACL，不能在其他ACL删除表中的其中一条规则，否则将会删除整个ACL；每接口每方向只能分派一个ACLACL的应用有进（出）站访问列表 进站访问列表：数据包先经过ACL处理再转发 出站访问列表：数据包先被转发到出口再经过 ACL处理ACL中使用通配符，即使用反子网掩码出端口方向上的访问列表PacketChooseInterfaceS0InboundInterfacePacketsYOutbound InterfacesTestAccess ListStatementsRoutingTable Entry?E0PacketNAccessList?NYPermit?YNDiscard PacketNotify SenderPacket Discard BucketIf no access list statement matches then discard the packet 访问列表的测试：允许和拒绝MatchFirstTest?Packets to Interface(s)in the Access GroupYYNDenyPermitMatchNextTest(s)?YYDenyPermitDestinationNInterface(s)MatchLastTest?YYDenyPermitNImplicit DenyPacket Discard BucketIf no matchdeny allDeny四、扩展ACL的配置与应用Step1:Router(config)# access-list number { permit | deny } protocol source-ip source-wildcard [operator port] destination destination-wildcard [ operator port ] [ established ] [log]例：Router(config)# access-list 101 deny tcp 55 55 eq 80Step2:Router(config-if)# ip access-group access-list-number { in | out }例：Router(config)# int f0/0Router(config)# ip access-group 101 out在哪里放置访问控制列表S0E0BS0E0S1CS1AE0DE0To0E1注意:将扩展访问控制列表靠近源地址将标准访问控制列表靠近目的地址配置扩展访问控制列表Example 1Non-S03E0E1access-list 101 deny tcp 55 55 eq 21access-list 101 deny tcp 55 55 eq 20access-list 101 permit ip any any(implicit deny all)(access-list 101 deny ip 55 55)interface ethernet 0ip access-group 101 out拒绝从 到 的FTP数据配置扩展访问控制列表Example 2Non-S03E0E1access-list 101 deny tcp 55 any eq 23access-list 101 permit ip any any(implicit deny all)interface ethernet 0ip access-group 101 out拒绝从 来通过 E0端口出去的Telnet数据Router(config {std- | ext-}nacl)# { permit | deny } { ip access list test conditions }no { perm