防空列表-02_附件.ppt

第20章 访问控制列表（ACL） 主要内容 一、ACL的基本原理 二、ACL的应用 一、ACL的基本原理 1、什么是ACL 2、ACL是如何工作的 3、创建ACL 4、通配符掩码的作用 5、验证ACL 1、什么是ACL ACL是应用在路由器端口上的一个列表，用于告诉路由器允许或禁止哪些流量通过。 ACL是一个连续的允许和拒绝语句的集合，关系到地址和上层协议。 ACL是应用在路由器接口的指令列表，这些指令告诉路由器哪些分组需要拒绝，哪些分组可以接收。拒绝和接收基于一定的条件。 任何经过应用了ACL的接口的流量都要接受ACL中条件的检测。 ACL适用于所有的路由协议。 路由器基于ACL中指定的条件来决定转发还是丢弃分组。 ACL不能对本路由器产生的数据包进行控制 。 2、ACL是如何工作的 ACL的匹配性检查 ACL语句能够实现： 1、筛选出某些主机，允许或者拒绝它们访问你的网络的某一部分； 2、允许或拒绝用户访问某种类型的应用，例如FTP或HTTP等。 3、创建ACL 第一步：在全局配置模式下创建ACL 标准ACL（ACL号码在1—99之间） 扩展ACL （ACL号码在100—199之间） 第二步：把ACL应用到某一个接口（出站接口或者入站接口） 4、通配符掩码的作用 通配符掩码是一个32比特的数字字符串，用点号分成4个8位组，每个8位组包含8个比特。 在通配符掩码位中，0表示检查相应的位，1表示忽略相应的位。 通配符掩码跟IP地址是成对出现的。在通配符掩码的地址位使用1或0表明如何处理相应的IP地址位。 ACl通配符掩码跟IP子网掩码的工作原理不同。 通配符掩码位的匹配 通配符any 加入在ACL中允许访问任何目的地址时，使用通配符掩码表示为： 55 简便地，可以使用通配符any替代，例如： access-list 1 permit 55 access-list 1 permit any 通配符host 在ACL中想要与整个IP主机地址的所有位相匹配时，使用通配符掩码表示为： 简便地，可以使用通配符host替代，例如： access-list 1 permit access-list 1 permit host 5、验证ACL 使用如下命令验证： show ip interface 查看端口是否应用了acl show access-lists 查看路由器的所有acl show running-config 查看所有的运行配置信息，包括acl的配置。 二、ACL的应用 1、ACL表号 2、标准ACL 3、扩展ACL 4、命名ACL 5、ACL的放置 6、防火墙 7、用ACL限制telnet访问 1、ACL表号 Cisco 的IOS为不同的协议分配了ACL表号，见下表： 2、标准ACL 标准ACL检查可以被路由的IP分组的源地址并且把它与ACL中的条件判断语句相比较。如果匹配，则执行允许（permit）或拒绝（deny）的操作。 标准ACL可以基于网络、子网或主机IP地址允许或拒绝整个协议组（如IP）。 标准ACL在全局配置模式下使用命令access-list来定义，并分配1-99之间的一个数字编号。 标准ACL举例 定义ACL： access-list 1 deny access-list 1 permit 55 access-list 1 deny 55 access-list 1 permit . 55 应用到接口： ip access-group 1 in ip access-group 1 out 路由器配置命令 access-list 1 permit host 3??? 设置ACL，容许3的数据包通过。 access-list 1 deny any??? 设置ACL，阻止其他一切IP地址进行通讯传输。 int e 1??? 进入E1端口。 ip access-group 1 in??? 将ACL 1宣告。 经过设置后E1端口就只容许来自3这个IP地址的数据包传输出去了。来自其他IP地址的数据包都无法通过E1传输。 另外在路由器连接网络不多的情况下也可以在E0端口使用ip access-group 1 out命令来宣告，宣告结果和上面最后两句命令效果一样。 3、扩展ACL 扩展ACL提供更大的灵活性和控制范围，它既可以检查分组的源地址和目的地址，也可以检查协议类型和TCP或UDP的端口号。 标准ACL只能允许或者拒绝整个协议集，但扩展ACL可以允许或拒绝协议集中的某些协议，例如允许http而拒绝ftp。 扩展ACL编号使用100-199。 access-list 101 deny tcp any host