访问控制列表(ACL)的.pptVIP

第7章 访问控制列表(ACL);8.1 ACL概述;ACL的基本用途是限制访问网络的用户，保护网络的安全。 ACL一般只在以下路由器上配置： 1、内部网和外部网的边界路由器。 2、两个功能网络交界的路由器。 限制的内容通常包括： 1、允许那些用户访问网络。（根据用户的IP地址进行限制） 2、允许用户访问的类型，如允许http和ftp的访问，但拒绝Telnet的访问。（根据用户使用的上层协议进行限制）;ACL的工作过程;8.2 ACL语句;处理方式：取值有permit（允许）和deny（拒绝）两种。当数据包与该语句的条件相匹配时，用给定的处理方式进行处理。 条件：每条ACL语句只能定义一个条件。;应用ACL;例： Router(config)# interface e0 Router(config-if)# ip access-group 1 out 表示在e0口上使用表号为1的ACL对出站数据包进行过滤。;通配符掩码;any条件： 当条件为所有地址时，如果使用通配符掩码应写为： 55 这时可以用“any”表示这个条件。 如： Router(config)# access-list 1 permit 55 Router(config)# access-list 1 permit any 上面两个语句是等价的。;host关键字： 当条件为单一IP地址时，如果使用通配符掩码应写为： IP地址 这时可以用“host”关键字定义这个条件。 如： Router(config)# access-list 1 permit Router(config)# access-list 1 permit host 上面两个语句是等价的。;8.3 标准访问控制列表;标准ACL配置举例1;R1(config)# access-list 1 permit 55 R1(config)# access-list 1 permit 55 R1(config)# access-list 1 permit 55 R1(config)# interface e0 R1(config-if)# ip access-group 1 out;说明： 1、在每个ACL中都隐含着一个语句： access-list list-num deny any 它位于ACL的最后，表示拒绝所有。所以任何一个与前面各语句都不匹配的数据包都会被拒绝。 2、在ip access-group语句中，用in或out表示入站时匹配或出站时匹配，如果没有指定这个值，默认为out。 3、在每个接口、每个方向上只能应用一个ACL。 4、一个ACL可以应用到多个接口上。;R1;标准ACL配置举例2;R1(config)# access-list 1 deny 55 R1(config)# access-list 1 permit any R1(config)# interface e0 R1(config-if)# ip access-group 1 out;标准ACL配置举例3;R1(config)# access-list 1 deny host R1(config)# access-list 1 deny host R1(config)# access-list 1 permit 55 R1(config)# interface e0 R1(config-if)# ip access-group 1 out;说明： 定义ACL时，每条语句都按输入的次序加入到ACL的末尾，如果想要更改某条语句，或者更改语句的顺序，只能先删除整个ACL，再重新输入。 比如删除表号为1的ACL： Router(config)# no access-list 1 在实际应用中，我们往往把路由器的配置文件导出到TFTP服务器中，用文本编辑工具修改ACL，然后再把配置文件装回到路由器中。;8.4 扩展访问控制列表;扩展ACL的语句： access-list 表号 处理方式 条件 表号：取值100~199。 处理方式：permit（允许）或deny（拒绝）。 条件：协议 源地址 目的地址 [运算符 端口号] [established] 协议：用于匹配数据包使用的网络层或传输层协议，如IP、TCP、UDP、ICMP等。 源地址、目的地址：使用“地址 通配符掩码”的形式，也可以使用any、host关键字。 运算符 端口号：用于匹配TCP、UDP数据包中的端口号。;运算符包括lt(小于)、gt(大于)、eq(等于)、neq(不等于)。 端口号用于对应一种应用，如21—FTP、23—Telnet、25—SMTP、53—DNS、80—HTTP等。 “运算符 端口号”可匹配数据包的用途。如：“eq 80”可匹配那些访问