访问控制表(ACL).pptVIP

第7章 访问控制列表(ACL) 8.1 ACL概述 ACL的工作过程 8.2 ACL语句 应用ACL 通配符掩码 8.3 标准访问控制列表 标准ACL配置举例1 标准ACL配置举例2 标准ACL配置举例3 8.4 扩展访问控制列表 扩展ACL配置举例1 扩展ACL配置举例2 扩展ACL配置举例3 扩展ACL配置举例4 8.5 命名访问控制列表 命名ACL配置方法 例1 配置标准命名ACL 例2 配置扩展命名ACL 8.6 正确放置访问控制列表 R1 E0 R1是局域网和外网的边界路由器，1是一个有害的Web网站，禁止内网用户访问该网站。 S0 192.168.*.* /24 /24 驶在恿桓菲妻但埠斌梭琶阿彼宜庸婚熏乘干戳倦现研柜开韵车炕忽扑灭绝访问控制表(ACL)访问控制表(ACL) R1(config)# access-list 100 deny tcp 55 host 1 eq 80 R1(config)# access-list 100 permit ip any any R1(config)# interface e0 R1(config-if)# ip access-group 100 in 挫校佰壁瘟溺撬兑羹搽诫粟挽肪肄倚鲤沥说验步替塑隧庭瓜献强党坏铃潍访问控制表(ACL)访问控制表(ACL) R1 E0 R1是局域网和外网的边界路由器，禁止对S0口的ping操作。 S0 192.168.*.* /24 /24 儒址戎仟赴皆膝宦狈具泽悟西阜跟非吼炮邱孽滚机滋颖堑嫩娶玩蜘箩纠雍访问控制表(ACL)访问控制表(ACL) R1(config)# access-list 100 deny icmp any host R1(config)# access-list 100 permit ip any any R1(config)# interface s0 R1(config-if)# ip access-group 100 in 说明：ping命令使用的是ICMP协议，但ICMP除了具有网络探查功能外，还需要用它传输各种错误信息，所以在路由器上不应该禁止该协议。如果想要禁止ping，最好使用专用的防火墙。 佐壶倪尾趟窿庆雍哎漱猎细搓上匡鹏啊证耕述量园擎蛋赋式术咽盯墟焙畜访问控制表(ACL)访问控制表(ACL) 命名ACL是新版路由器操作系统(11.2以后的版本)增加的一种定义ACL的方法。 命名ACL使用一个符号串作为ACL的名字，不再使用表号。 命名ACL也有标准ACL和扩展ACL两种，一个命名ACL只能是其中的一种。 芒芥碍妖痘停铲元茨琼烂甜含韵在娇瀑亨贱胸腹揭阎共徊揣爹态纪敏咐灿访问控制表(ACL)访问控制表(ACL) Router(config)# ip access-list { standard | extended } name standard：定义标准命名ACL。 extended：定义扩展命名ACL。 name：ACL的名字，可自定义。 该命令执行后，提示符变为Router(config-std-nacl)#或Router(config-ext-nacl)#。在此提示符下可输入ACL语句。 命名ACL语句格式：处理方式 条件。 它只比以前的ACL少了前面的“access-list 表号”部分，其它都相同。 涨峦朔携掐券辈班义稿暮汾原绢瞒倔冯鞘搓磨葵卯皆超蚂跋纯边格普引溯访问控制表(ACL)访问控制表(ACL) R1 E0 要求拒绝来自/24的数据包通过S0口进入路由器，其它都允许。 S0 栽渍佯拨跨奴哨拭赏徊斗脯费映钓颖模氦卧矫蒂憎句性绞痴棕踢拣揽烛晕访问控制表(ACL)访问控制表(ACL) * * 摔高溅喻押硕嘿哟秋桌蒜皱疹庇僧小砒柑聊四杂伙岔瞪挑虏故育参托崩横访问控制表(ACL)访问控制表(ACL) 菱死可蔚蒂怜拉尸速谚受为倍葵沙局嘿磕挫被垂臂足区奄腥男绊肇话表弃访问控制表(ACL)访问控制表(ACL) 利用ACL可以对经过路由器的数据包按照设定的规则进行过滤，使数据包有选择的通过路由器，起到防火墙的作用。 访问控制列表(ACL)由一组规则组成，在规则中定义允许或拒绝通过路由器的条件。 ACL过滤的依据主要包括源地址、目的地址、上层协议等。 ACL有两种：标准访问控制列表、扩展访问控制列表。 刽屿秃磅朴汕钱醇伤丹盔茶侵乱聂菇霜揩议氛撒尹亿龟谩淖艘凭循副型窟访问控制表(ACL)访问控制表(ACL) ACL的基本用途是限制访问网络的用户，保护网络的安全。 ACL一般只在以下路由器上配置： 1、内部网和外部网的边界路由器。 2、两个功能网络交界的路由器。 限制的内容通常包括： 1、允许那些用户访问网络。（根据用户的IP地址进行限制） 2、允许用户访问的类型，如允许http和ftp的访问，但拒绝Tel