计算机组网工程与实训-项目-任务.pptVIP

访问控制列表 （ACL）的配置 主要内容 使用标准访问控制列表和扩展访问控制列表控制网络流量的方法 标准访问控制列表和扩展访问控制列表以及在路由接口应用ACL的实例。 访问控制列表访问控制列表概述 一、概念 访问控制列表简称 ACL( Access Control Lists），它使用包过滤技术，在路由器上读取第3层或第4层包头中的信息，如源地址、目的地址、源端口、目的端口以及上层协议等，根据预先定义的规则决定哪些数据包可以接收、哪些数据包需要拒绝，从而达到访问控制的目的。配置路由器的访问控制列表是网络管理员一件经常性的工作。 网络中使用ACL 访问控制列表概述 ACL的工作原理 一、工作原理 当一个数据包进入路由器的某一个接口时，路由器首先检查该数据包是否可路由或可桥接。然后路由器检查是否在入站接口上应用了ACL。如果有ACL，就将该数据包与ACL中的条件语句相比较。如果数据包被允许通过，就继续检查路由器选择表条目以决定转发到的目的接口。ACL不过滤由路由器本身发出的数据包，只过滤经过路由器的数据包。下一步，路由器检查目的接口是否应用了ACL。如果没有应用，数据包就被直接送到目的接口输出。 ACL匹配性检查 配置标准访问控制列表 最广泛使用的访问控制列表是IP访问控制列表，IP访问控制列表工作于TCP/IP协议组。按照访问控制列表检查IP数据包参数的不同，可以将其分成标准ACL和扩展ACL两种类型。此外Cisco IOS 11.2版本中还引入了IP命名ACL类型。从本节开始分别介绍各种ACL的配置方法。 标准ACL的工作过程 配置标准ACL 一、在路由器上RTB上配置如下： RTB(config)# access-list 1 permit host 0 RTB(config)# access-list 1 deny 55 RTB(config)# access-list 1 permit any　　 RTB(config)# interface s0/0 RTB(config-if)# ip access-group 1 in 二、呼入Telnet会话管理 三、在通配符掩码中有两种比较特殊，分别是any和host。any可以表示任何IP地址，例如： Router( config ) # access-list 10 permit 55 等同于： Router ( config ) # access-list 10 permit any host表示一台主机，例如： Router ( config ) # access-list 10 permit 172. 16. 30.22 等同于： Router ( config ) # access-list 10 permit host 172. 16. 30.22 另外，可以通过在access-list命令前加no的形式，来删除一个已经建立的标准ACL，使用语法格式如下： Router ( config ) # no access-list access-list-number 例如： Router ( config ) # no access-list 10 配置扩展访问控制列表 扩展ACL的工作过程 配置扩展ACL Router(config)# access-list access-list-number {deny | permit} protocol source [source-wildcard destination destination-wildcard] [operator operand] [established] Router(config)# no access-list access-list-number 如图8-4所示，某企业销售部、市场部的网络和财务部的网络通过路由器RTA和RTB相连，整个网络配置RIPv2路由协议，保证网络正常通信。要求在RTB上配置标准ACL，允许销售部的主机PC1访问路由器RTB，但拒绝销售部的其他主机访问RTB，允许销售部、市场部网络上所有其他流量访问RTB。 标准访问控制列表在路由接口应用 ACL的实例 1、配置标准ACL 在路由器上RTB上配置如下： RTB(config)# access-list 1 permit host 0 RTB(config)# access-list 1 deny 55 RTB(config)# access-l