思科之acl访问控制协议课件.ppt

访问控制列表（ACL）;主要内容;一、ACL的基本原理;1、什么是ACL;ACL是一个连续的允许和拒绝语句的集合，关系到地址和上层协议。 ACL是应用在路由器接口的指令列表，这些指令告诉路由器哪些分组需要拒绝，哪些分组可以接收。拒绝和接收基于一定的条件。 任何经过应用了ACL的接口的流量都要接受ACL中条件的检测。 ACL适用于所有的路由协议。 路由器基于ACL中指定的条件来决定转发还是丢弃分组。 ACL不能对本路由器产生的数据包进行控制 。;2、ACL是如何工作的;ACL的匹配性检查;ACL语句能够实现：;3、创建ACL;;4、通配符掩码的作用;通配符掩码位的匹配;通配符any;通配符host;5、验证ACL;二、ACL的应用;1、ACL表号;2、标准ACL;;标准ACL举例;我们采用如图所示的网络结构。路由器连接了二个网段，分别为/24,/24。在/24网段中有一台服务器提供WWW服务，IP地址为3。 配置任务：禁止/24网段中除3这台计算机访问/24的计算机。3可以正常访问/24。 ;路由器配置命令 access-list 1 permit host 3??? 设置ACL，容许3的数据包通过。 access-list 1 deny any??? 设置ACL，阻止其他一切IP地址进行通讯传输。 int e 1??? 进入E1端口。 ip access-group 1 in??? 将ACL 1宣告。 经过设置后E1端口就只容许来自3这个IP地址的数据包传输出去了。来自其他IP地址的数据包都无法通过E1传输。 另外在路由器连接网络不多的情况下也可以在E0端口使用ip access-group 1 out命令来宣告，宣告结果和上面最后两句命令效果一样。 ;3、扩展ACL;;;扩展ACL举例; access-list 101 permit tcp any 3 eq www?? ? 设置ACL101，容许源地址为任意IP，目的地址为3主机的80端口即WWW服务。由于CISCO默认添加DENY ANY的命令，所以ACL只写此一句即可。 int e?1??? 进入E1端口 ? ip access-group 101 out???? 将ACL101宣告出去 设置完毕后的计算机就无法访问的计算机了，就算是服务器3开启了FTP服务也无法访问，惟独可以访问的就是3的WWW服务了。而的计算机访问的计算机没有任何问题。 ;扩展ACL有一个最大的好处就是可以保护服务器，例如很多服务器为了更好的提供服务都是暴露在公网上的，这时为了保证服务正常提供所有端口都对外界开放，很容易招来黑客和病毒的攻击，通过扩展ACL可以将除了服务端口以外的其他端口都封锁掉，降低了被攻击的机率。如本例就是仅仅将80端口对外界开放。 不过它存在一个缺点，那就是在没有硬件ACL加速的情况下，扩展ACL会消耗大量的路由器CPU资源。所以当使用中低档路由器时应尽量减少扩展ACL的条目数，将其简化为标准ACL或将多条扩展ACL合一是最有效的方法。 ;4、命名ACL;;;什么时候使用基于名称的访问控制列表？;5、ACL的放置;1;如果网管员使用标准ACL来进行网络流量限制，因为标准ACL只能检查源IP地址，所以实际执行情况为： 凡是检查到源IP地址和网络1匹配的数据包将会被丢掉，即网络1到网络2、网络3和网络4的访问都将被禁止。 由此可见，这个ACL控制方法不能达到网管员的目的。同理，将ACL放在RouterB和RouterC上也存在同样的问题。只有将ACL放在连接目标网络的RouterD上，网络才能准确实现网管员的目标。 由此可以得出一个结论: 标准ACL要尽量靠近目的端。 ;网管员如果使用扩展ACL来进行上述控制，则完全可以把ACL放在RouterA上，因为扩展ACL能控制源地址（网络1），也能控制目的地址（网络2），这样从网络1到网络2访问的数据包在RouterA上就被丢弃，不会传到RouterB、RouterC和RouterD上，从而减少不必要的网络流量。 因此，我们可以得出另一个结论：扩展ACL要尽量靠近源端。 ;6、用ACL限制telnet访问