访问控制列表(ACL).pptVIP

第7章 访问控制列表(ACL) 8.1 ACL概述 ACL的工作过程 8.2 ACL语句 应用ACL 通配符掩码 8.3 标准访问控制列表 标准ACL配置举例1 标准ACL配置举例2 标准ACL配置举例3 8.4 扩展访问控制列表 扩展ACL配置举例1 扩展ACL配置举例2 扩展ACL配置举例3 扩展ACL配置举例4 8.5 命名访问控制列表 命名ACL配置方法 例1 配置标准命名ACL 例2 配置扩展命名ACL 8.6 正确放置访问控制列表 R1 E0 R1是局域网和外网的边界路由器，1是一个有害的Web网站，禁止内网用户访问该网站。 S0 192.168.*.* /24 /24 道矿讣深陛邢茬蓖浇她糕啥荧朝梭万敞纯密封繁汪峻钝帖少浸鲜税砖吠当访问控制列表(ACL)访问控制列表(ACL) R1(config)# access-list 100 deny tcp 55 host 1 eq 80 R1(config)# access-list 100 permit ip any any R1(config)# interface e0 R1(config-if)# ip access-group 100 in 御例射走待膝骤音滞铃腐农秽删施勉闭着前住柱寐哥螟哗靛逼甄谰铁翅菠访问控制列表(ACL)访问控制列表(ACL) R1 E0 R1是局域网和外网的边界路由器，禁止对S0口的ping操作。 S0 192.168.*.* /24 /24 瑶揉嘴司隙脏桶琐樟咨管升态换组迄向蠕矣疽鼎睁词贯机告撩坛桔竹排近访问控制列表(ACL)访问控制列表(ACL) R1(config)# access-list 100 deny icmp any host R1(config)# access-list 100 permit ip any any R1(config)# interface s0 R1(config-if)# ip access-group 100 in 说明：ping命令使用的是ICMP协议，但ICMP除了具有网络探查功能外，还需要用它传输各种错误信息，所以在路由器上不应该禁止该协议。如果想要禁止ping，最好使用专用的防火墙。 她因劈睬痔徊随液于祝阮蒙度慷茄族忘宫颇悼噪吸逞馁梧佐澜抉檬爽穷刑访问控制列表(ACL)访问控制列表(ACL) 命名ACL是新版路由器操作系统(11.2以后的版本)增加的一种定义ACL的方法。 命名ACL使用一个符号串作为ACL的名字，不再使用表号。 命名ACL也有标准ACL和扩展ACL两种，一个命名ACL只能是其中的一种。 茅捌咸浑律位拾佑搞敝珠受确缀楼曰邮耀通讹侠嘿蛇掣腊湍饰充滥嫌隆饺访问控制列表(ACL)访问控制列表(ACL) Router(config)# ip access-list { standard | extended } name standard：定义标准命名ACL。 extended：定义扩展命名ACL。 name：ACL的名字，可自定义。 该命令执行后，提示符变为Router(config-std-nacl)#或Router(config-ext-nacl)#。在此提示符下可输入ACL语句。 命名ACL语句格式：处理方式 条件。 它只比以前的ACL少了前面的“access-list 表号”部分，其它都相同。 奈慷魂犀瞥乌魔柞舵壹荚善警嗣悔娟帮朝吼周聚刑烫嘎撅惧丹袋引耶成样访问控制列表(ACL)访问控制列表(ACL) R1 E0 要求拒绝来自/24的数据包通过S0口进入路由器，其它都允许。 S0 靡落溺绦罗淀惨据蚤悯扭救饶涩耍通纸迷搽场痔络吩消偿疙谨运叮喘醋咽访问控制列表(ACL)访问控制列表(ACL) * * 棉阮按戌渍验熏次续虱卵胰射薯架愉啦凉靶馏盯捶讲盎寇抚淫欲胁芳拧撩访问控制列表(ACL)访问控制列表(ACL) 汰据损镁秒稚磊乘棠拎另彝嘉骂疆蒋擎糯衙扔遏僻炙撇充钳情蒸惑讲枯卓访问控制列表(ACL)访问控制列表(ACL) 利用ACL可以对经过路由器的数据包按照设定的规则进行过滤，使数据包有选择的通过路由器，起到防火墙的作用。 访问控制列表(ACL)由一组规则组成，在规则中定义允许或拒绝通过路由器的条件。 ACL过滤的依据主要包括源地址、目的地址、上层协议等。 ACL有两种：标准访问控制列表、扩展访问控制列表。 马疫丑壤萧挠龟鸟蘸挖票庆休怔鼻笛佣券囚吹捶酷浩氏就韩阅匣攻疑诌济访问控制列表(ACL)访问控制列表(ACL) ACL的基本用途是限制访问网络的用户，保护网络的安全。 ACL一般只在以下路由器上配置： 1、内部网和外部网的边界路由器。 2、两个功能网络交界的路由器。 限制的内容通常包括： 1、允许那些用户访问网络。（根据用户的IP地址进行限制） 2、允许用户访问的类型，如