第10章访问控制列表(免费阅读).pptVIP

第十章 访问控制列表 访问列表简介 标准IP访问控制列表 扩展IP访问控制列表 高级访问控制列表 查看访问控制列表的应用 为什么使用访问控制列表(ACL)? 访问列表的应用 什么是 ACL? ACL 是一种路由器配置脚本，它根据从数据包报头中发现的条件来控制路由器应该允许还是拒绝数据包通过. ACL 执行以下任务: 限制网络流量以提高网络性能. 提供流量控制。ACL 可以限制路由更新的传输. 提供基本的网络访问安全性。ACL 可以允许一台主机访问部分网络，同时阻止其它主机访问同一区域。 决定在路由器接口上转发或阻止哪些类型的流量。 控制客户端可以访问网络中的哪些区域。 屏蔽主机以允许或拒绝对网络服务的访问。ACL 可以允许或拒绝用户访问特定文件类型，例如 FTP 或 HTTP. 如何识别标准和扩展访问列表 访问列表配置指南 在路由器的全局配置模式下创建ACL。 指定一个访问列表的表号，1-99表示标准ACL；100-199表示扩展访问列表，不到必要的时候，不要使用扩展的列表号码. 每接口、每协议、每方向只能有一个访问列表。 在ACL中，你输入列表条目的顺序就是IOS测试的顺序。 记住：把最严格的条目写在最上面，并且注意好判断语句之间的逻辑顺序，防止出错。 ACL的最后一行语句默认是拒绝所有，此条目并不显示，所以要非常注意。你要根据实际情况，添加相应的允许(permit)语句。 在把ACL映射到接口之前先做好这个ACL，否则就全部拒绝。 ACL对穿越路由器和到达路由器的流量起作用，对来自路由器本身的流量不起作用。 ACLs的放置位置 使用标准访问列表对分组实施过滤 访问列表命令概述 标准IP访问列表的配置 标准IP访问列表范例1：允许一个源的通信流量通过 标准IP访问列表范例2：拒绝一个特定主机的通信流量 标准IP访问列表范例3:拒绝一个特定子网的通信流量 控制VTY（Telnet）访问 创建一个标准IP访问控制列表，只允许特定的主机能登录到远程路由器 使用access-class命令将此访问列表应用到VTY线路 例： Router(config)#access-list 50 permit Router(config)#line vty 0 4 Router(config-line)#access-class 50 in 使用扩展访问控制列表对分组实施过滤 扩展IP访问列表配置 扩展访问列表范例1：拒绝FTP通信流量通过ETHERNET0 使用Named(命名)IP访问列表 创建标准命名 ACLs 图中显示了创建标准命名 ACL 的步骤. Step 1.进入全局配置模式，使用 ip access-list 命令创建命名 ACL。ACL 名称是字母数字，必须唯一而且不能以数字开头. Step 2.在命名 ACL 配置模式下，使用 permit 或 deny 语句指定一个或多个条件，以确定数据包应该转发还是丢弃. Step 3. 使用 end 命令返回特权执行模式. 编辑命名 ACLs 从 Cisco IOS 软件第 12.3 版开始，命名 IP ACL 允许删除指定 ACL 中的具体条目. 可以使用序列号将语句插入命名 ACL 中的任何位置。 访问列表的配置原则 访问列表中表项的顺序是至关重要的. 推荐: 在PC中使用文本编辑器创建访问列表的表项, 然后剪切并粘贴到路由器的配置文件中. 访问列表是从上至下的顺序处理的，要牢记 要把最严谨的表项放在最前面，防止产生错误. 不能对列表中的条目重新排序和移除. 使用no access-list number移除整个访问列表. 例外: 命名访问列表可以移除单个表项条目，但无法重新排序. 对于任何表项条目都不匹配的，IOS默认为拒绝所有. 除非在访问列表的结束位置用明确的permit语句允许. 检查ACL的应用 检查ACL的表项条目 本章考试要点 标准与扩展IP访问列表号范围 理解术语”implicit deny（隐含拒绝）” 标准IP访问控制列表配置 扩展IP访问控制列表配置 验证访问控制列表的应用 1、show access-list：显示router 上配置了的所有的ACL 信息,但是不显示哪个接口应用了哪个ACL 的信息。 2、show access-list [number]：显示具体第几号ACL 信息，也不显示哪个接口应用了这个ACL。 3、show ip access-list：只显示IP 访问列表信息。 ACL是应用到路由器接口的指令列表，这些指令列表用来告诉路由器哪些数据报可以接收，哪些数据报需要拒绝。 至于数据报是接收还是拒绝，可以根据三层或四层信息来决定，这就涉及到后