项目五、访问控制列表说课.ppt

项目五、访问控制列表 教学目标：访问控制列表可以对数据包的地址或上层协议进行网络通信流量的控制，提供了基本的网络通信流量过滤的能力，能对网络的安全起到很好的保护作用。访问控制列表主要包含以下内容： （1）访问控制列表的作用； （2）访问控制列表的工作流程； （3）访问控制列表的分类； （4）访问控制列表的执行顺序； （5）定义访问控制列表应遵循的规范； （6）访问控制列表配置步骤； （7）标准访问控制列表及其配置； （8）扩展访问控制列表及其配置； （9）命名访问控制列表及其配置； （10）基于时间的访问控制列表机器配置。 任务9、IP标准访问列表 9.1 用户需求 你受聘于一家网络公司做网络工程师，恰好公司有一个客户提出网络建设，该客户要建自己的校园网，在校园网内有学校的财务处、教师办公室、学生机房和后勤企业财务科分属不同的4个网段。四个部门之间通过路由器进行信息传递，为了安全，学校领导要求对网络流量进行控制，实现后勤企业财务科的主机和财务处的主机互相访问，但是学生机房和教师办公室的主机不能访问财务处和后勤企业财务科的主机。 9.2 相关知识 作为网络工程师，需要了解本工作任务所涉及的以下几方面知识： 访问控制列表的概念； 访问控制列表的功能与工作原理； 配置标准访问控制列表； 查看和监控访问控制列表。 9.2.1访问控制列表概述 网络管理员经常面临必须设法拒绝那些不希望的访问连接，同时又要允许那些正常的访问连接的问题。 访问控制列表（Access control list，缩写ACL，以下简写）通过在路由器接口处控制路由数据包是被转发还是被阻塞来过滤网络通信流量。路由器根据ACL中指定的条件来检测通过路由器的每个数据包，从而决定是转发还是丢弃该数据包。 ACL的定义是基于所有协议的，如IP、IPX等，换言之，如果想控制某种协议的通信数据流，那么必须要对该接口处的这种协议定义单独的ACL。例如，路由器接口配置成3种协议，那么至少要定义3个访问控制列表（ACL）。如图9.1所示。IP ACL只过滤IP报文；同样，IPX ACL只过滤IPX报文。 1. 建立ACL的作用 建立ACL可以用来： （1）限制网络流量、提高网络性能。例如，ACL可以根据数据包的协议，指定这种类型的数据包具有更高的优先级，同等情况下可预先被路由器处理。 （2）提供对通信流量的控制手段。 （3）提供网络访问的基本安全手段。（4）在路由器接口处，决定哪种类型的通信流量被转发、哪种类型的通信流量被阻塞。 2. ACL的工作流程 在使用访问控制列表时，把预先定义好的访问控制列表放置在路由器的接口上，对接口上进方向或者出方向的数据包进行过滤。在路由器的串行接口、以太网接口等物理接口和虚拟终端接口（vty）等逻辑接口上都可以应用ACL。 在路由器接口上使用ACL有进和出两个方向。 被丢弃没有相应的路由，被丢弃数据包从F0/0接口被转发图 9.2 进方向上的ACL的工作流程 ACL的工作流程如图12.2和12.3所示。 从以上两个工作流程可以看出，如果在接口S0/0上使用进方向的ACL，可以在为数据包查询路由之前就将要过滤掉的数据包丢弃。而如果只在F0/0上放置出方向的ACL，被过滤掉的数据包经过了查询路由的操作，这样就浪费了时间，使路由器的包通过率比使用进方向的ACL低。 3. ACL的分类 根据所使用的判断条件不同，ACL基本上分为以下两大类： （1）标准ACL 标准ACL的语句所依据的判断条件是数据包的源IP地址，它只能过滤来自某个网络或主机的数据包，功能有限。 （2）扩展ACL 扩展ACL的语句所依据的判断条件是数据包的源IP地址、目的IP地址、协议及数据所要访问的端口。 4. ACL的处理过程 处理过程如图9.4所示，当一个数据包进入了一个入站接口时，路由器对它进行检查，看它是否是可路由的（或者是可桥接的）。如果遇到任何不可路由的情况，这个数据包就被丢失。要是数据包是可路由的，一个路由选择表的入口为它指出了一个目标网络，一定的路由选择计量标准或状态，以及要使用的具体接口。 然后路由器检查目标接口是否被编组在某一个访问控制列表中，如果没被编组，就把这个数据包直接送到目标接口输出。例如，如果它使用T0接口，而T0接口不在任何正在被使用的访问控制列表中，这个数据包就直接通过T0输出。 访问控制列表中的条件判断语句按照逻辑次序依次执行。如果数个数据包的报头跟某个条件判断语句相匹配，该数据包就忽略剩下的条件判断语句。要是符合判断条件，数据包要么被允许通过，要么被拒绝通过。 在图9.5中，一个数据包因为跟第一个条件判断相匹配就被拒绝了。事实上，该数据包被丢弃到比特垃圾桶中，同时也不会再跟访问控制列表中的其他条件判断进行比较。 5. 定义ACL时所应遵循