网络互联及应用第6章访问控制列表范例.ppt

扩展访问控制列表的配置命令 配置Extended ACL的方法如下： 在全局模式下建立Extended ACL： Router(config)# access-list access-list-number {permit | deny} protocol source source –wildcard [operator port] destination destination- wildcard [operator port] [established] [log] 其中access-list-number是指Extended ACL的列表号，范围为100-199，1300~1999，2000~2699； source source-wildcard表示源IP地址和源地址的IP地址的通配符掩码； destination destination-wildcard 表示目的IP地址和目的IP地址的通配符掩码； [operator port]表示端口号； “[ ]”中的是可选项。established可选项比较特殊，在访问控制列表语句中键入该可选项，可以在拒绝数据包通过的方向上，让已经建立起会话连接的TCP数据流通过（如TCP的ACK确认包），从而达到单向访问的目的。在防火墙上经常使用带有established可选项的Extended ACL语句，以达到在防止外部攻击的同时企业内部的用户可以正常地与Internet连接的目的。 从该命令可以看出，Extended ACL比Standard ACL具有更强的灵活性。 * 网络互联及应用 * 在接口模式上应用Extended ACL的命令如下： Router(config-line)#access-class access-list-number {in | out} 其中{in | out}是在路由器接口上应用Extended ACL的方向，默认是out（出方向）。 其实在接口上应用访问控制列表的命令格式，Extended ACL和Standard ACL是一样的，只不过所使用的列表号不同而已。 * 网络互联及应用 * 扩展访问控制列表的配置实训 步骤1：建立各路由器的动态路由（略，请参考Standard ACL中的配置） 步骤2：在生活区路由器Living_Router上创建Extended ACL，禁止学生宿舍的主机PC4访问汽车培训部的主机PC1，而其它主机之间则能正常通信。 Living_Router (config-router)# exit Living _Router (config) # access-list 199 deny ip host host Living _Router (config) # access-list 199 permit any any Living _Router (config) # interface fastethernet 0/0 Living _Router (config-if) # ip access-group 199 in * 网络互联及应用 * 步骤3：在主机PC1、PC2、PC3和PC4上分别设置IP地址和配置网关（略，请参考Standard ACL中的配置） 步骤4：测试，此时学生宿舍的主机PC4不能与汽车培训部的主机PC1之间进行通信，但能与汽车培训部的主机PC2之间正常通信，请与Standard ACL的结果相比较。 * 网络互联及应用 * 访问控制列表 * 网络互联及应用 * 本章小结 本章主要描述了访问控制列表的作用、原理、应用和分类等基础知识，讲解了应用访问控制列表的注意事项，简要介绍了标准访问控制列表和扩展访问控制列表的工作过程，重点讲解了标准访问控制列表和扩展访问控制列表的配置命令，并结合三方培训学校校园网的实例对标准访问控制列表和扩展访问控制列表的配置给出了详细的操作步骤，为同学们正确掌握在网络上应用控制列表来过滤IP数据包，控制数据流量奠定了基础。 * 网络互联及应用 * 访问控制列表 * 网络互联及应用 * 练习与实训 1.访问控制列表的作用有哪些？ 2.画图并简述访问控制列表的工作原理。 3.在网络上应用访问控制列表时应注意哪些事项？ 4.试比较标准访问控制列表和扩展访问控制列表的异同点。 5.请分别计算出网段 及子网 40的通配符掩码。 6.请分别写出标准访问控制列表和扩展访问控制列表的详细配置命令格式并阐述有关参数的含义。 7.在三方培训学校校园网中使用标准访问控制列表和扩展访问控制列表时，不同类型的访问列表放置在路由器接口上的位置不同，请分析其中的原因。 * 网络互联及应用 * 网络互联及应用 网络互联及应用 网络互联及应用 网络互联及应用 网络