第二章访问控制列表ACL资料.ppt

一个ACL是一组判断语句的集合，它对下列数据报进行控制： 1、入站接口的数据包 2、通过路由器进行中继的数据包 3、从出站接口跳出路由器的数据包(而路由器本身发出的分组是不起作用的) 利用ACL 来过滤，必须把ACL 应用到需要过滤的那个路由器的接口上，否则ACL 是不会起到过滤作用的。而且你还要定义过滤的方向，比如是是想过滤从Internet 到你企业网的数据包呢？还是想过滤从企业网传出到Internet 的数据包呢? 方向分为下面2 种： 1、Inbound（入站） ACL：先处理,再路由 2、Outbound（出站）ACL：先路由,再处理 访问列表(access lists)的主要作用是过滤你不想要的数据包，设置ACL 的一些规则如下： 1、按顺序的比较：先比较第一行，如果不匹配，再比较第二行，依次类推直到最后一行。 2、从第一行起，直到找到一个符合条件的行；符合以后，其余的行就不再继续比较下去。 3、默认在每个ACL 中的最后一行为隐含的拒绝(deny)；如果之前没找到一条许可(permit)语句，意味着包将被丢弃。所以每个ACL 必须至少要有一行permit 语句，除非你想要所有数据包丢弃。 通配符掩码是一个32位比特位的数字字符串，它被用点号分成4个8位组，每个8位组包含8个比特位。 不同于IP子网掩码；通配符掩码中，0表示”相应的地址位必须被测试“；掩码位上的1表示”相应的地址位可以被忽略，不用检查”。 因此，通配符掩码看起来就像一个颠倒过来的IP子网掩码（例如，0.0.255.255和255.255.0.0)。 通配符掩码跟IP地址是成对出现的。在通配符掩码的地址位使用1或0来表示如何处理相应的IP地址位。 假设组织机构拥有一个C类网络198.78.46.0，若不使用子网，则当允许网络中的每一个工作站通过时，使用子网屏蔽码255.255.255.O。在这种情况下，1表示一个 匹配，而0表示一个不关心的条件。因为Cisco通配符屏蔽码与子网屏蔽码是相反的，所以匹配源网络地址198.78.46.0中的所有报文的通配符屏蔽码为:0.0.0.255。 当网络管理员想要与整个IP主机地址的所有位相匹配时，IOS允许：在ACL的通配符掩码中使用缩写词。 例如： Access-list 1 permit 172.30.16.29 0.0.0.0 可以用host该为： Access-list 1 permit host 172.30.16.29 当网络管理员想允许访问任何目的地址时,可以使用下列访问列表形式: Access-list 1 permit 0.0.0.0 255.255.255.255 可以用 any改写为: Access-list 1 permit any ACL的功能非常强大，不仅可以在接口上应用从而实现数据流的过滤，而且可以跟路由选择协议相结合从而进行路由信息传递的过滤。 比如，有一台路由器A和一台路由器B通过serial0相连,运行RIP路由选择协议；你只想让172.30.16.0/24 to 172.30.31.0/24的路由信息通过, 而不允许其他子网路由信息被通告出去,可以使用下列命令: Router ripdistribute-list 10 out serial0 ! Access-list 10 permit 172.30.16.0 0.0.15.255 ! End 使用访问控制列表(ACL)管理IP流量 模块 6 目标 本模块完成后,你能: 对于一个给定的路由器,你能使用IOS命令配置标准访问列表和扩展访问列表,并能熟练的应用NAT/PAT(网络地址转换/端口地址转换)来访问外部网络. 使用show命令显示访问控制列表的内容;并通过观察记数器的数值来确定访问列表条目是否生效,从而明白你是否做的正确 ? 2002, Cisco Systems, Inc. All rights reserved. * Access Lists(访问列表) 和它们的应用 目标 完成本章后,你能: 解释访问列表的目的并知晓他们常用的应用. 描述CISCO IOS软件系统是如何在接口的”in”或”out”方向上处理标准和扩展访问列表的. 当网络快速增长时,ACL能够更好地为企业控制流量的入出. 为穿越路由器或交换机的流量实施过滤. 为什么使用访问控制列表(ACL)? 应用到路由器接口上控制数据流的通过: Permit(允许)或deny(拒绝)分组穿越路由器. 允许或拒绝到路由器的vty(虚拟终端)访问. 如果没有访问控制列表,所有的数据流都能穿越路由器的接口随意访问. 访问列表（ACL）的应用 依照企业策略对各种不同类型的分组在不同情况下实行专门的控制。 访问