配置访问控制列表.pptVIP

第6讲 配置访问控制列表 ;概 述; 6.1 ACL概述 1. 为什么要使用ACL 随着网络的增长，要求对IP流量进行管理 通过在路由器中设置包过滤来管理IP流量; 6.1 ACL概述 2. 什么是ACL ACL是一个授权和拒绝条件的序列表 基于协议 不能过滤本地路由器的流量; 6.1 ACL概述 3. ACL的用途 用于各个LAN间的接口，过滤LAN流量 用于VTY，过滤Telnet 用于Dial-on-demand (DDR) 优先级(priority)和队列管理; 6.1 ACL概述 4. ACL的分类 入栈ACL：在网络入口处对数据包进行检查，如果被deny, 则不需要路由,如果包被permits然后进行路由 ; 6.1 ACL概述 4. ACL的分类 出栈ACL：进入路由器的包被路由后进入outbound接口, 然后进行Outbound访问列表匹配; 6.1 ACL概述 5. ACL的逻辑测试过程; 6.1 ACL概述 5. ACL的逻辑测试过程 如果数据包与ACL中某条语句匹配，则列表中其它语句会被忽略 如果数据包与某个命令不??配，则继续检查ACL下一个命令语句 如果到达ACL的最后一条命令仍不匹配，数据包会被丢弃 ; 6.1 ACL概述 5. ACL的逻辑测试过程 使用ACL要小心，至少ACL中要有一条允许语句 ACL命令的放置顺序是很重要的 当检测到某个命令条件满足的时候，就不会再检测后面的指令条件 应该先创建ACL，再将其绑定到入口或者是出口 ACL只能过滤通过路由器的数据流量，不能过滤路由器本身产生的数据流量 ; 6.1 ACL概述 6. ACL举例 要求只允许主机和网络的数据包通过 第一条命令： 条件：IP地址，操作：允许。 第二条命令： 条件：网络地址，操作：允许。 ; 6.2 ACL的分类 1. ACL的分类 标准ACL(standard): （1）检查数据包的源地址 扩展ACL(extended): （1）检查数据包的源地址、目的地址、特定的协议、端口号码以及其它参数 （2）使用更灵活; 6.2 ACL的分类 2. 标准ACL; 6.2 ACL的分类 2. 标准ACL举例; 6.2 ACL的分类 3. 扩展ACL; 6.2 ACL的分类 3. 扩展ACL举例; 6.3 ACL的配置 1. 配置ACL要点 访问列表要指明过滤什么协议; 按顺序匹配访问列表; 一般限制性的访问列表应该放在前面; 在访问列表的最后隐性定义了deny any—所以每个访问列表应该至少包含一条permit声明,否则将过滤掉所有包; 先创建访问列表, 后使用; 访问列表过滤通过路由器的流量, 但不会应用于源自路由的流量; 6.3 ACL的配置 2. ACL的编号 ; 6.3 ACL的配置 3. 配置ACL的步骤 （1）创建ACL access-list access-list-number { permit | deny } { test conditions ; 6.3 ACL的配置 3. 配置ACL的步骤 （2）将ACL绑定到接口 { protocol } access-group access-list-number {in | out} ; 6.4 翻转掩码 1. 翻转掩码的作用 使用IP地址与翻转掩码地址对来定义测试条件 简化测试过程，避免额外的输入; 6.4 翻转掩码 2. 翻转掩码的格式 与子网掩码类似，翻转掩码是由0、1二进制组成的32位数字，分成4段 ; 6.4 翻转掩码 3. 翻转换码的配置规则 1意味着忽略 0意味着检查; 6.4 翻转掩码 4. 翻转掩码练习 检查某个地址是不是，地址对是多少？ 检查某个地址是不是来自网络，地址对是多少？ 检查某个地址是不是，地址对是多少？ 忽略所有的地址，地址对是多少？; 6.4 翻转掩码 5. Any和host Host 9 ＝host 9; 6.4 翻转掩码 5. Any和host Any 55 ＝any; 6.4 翻转掩码 6. 复杂一点的例子; 6.4 翻转掩码 6. 练习 检查某个地址是不是在/24-/24范围内，地址对是多少？ 检查某个地址是不是在/16-/16，地址对是多少？ 检查某个地址是不是在/24-/24，地址对是多少？; 6.5 标准ACL的创建 1. 创建标准ACL access-list access-list-number {perm