网络互联和路由器技术09.ppt

第9章 访问控制列表的配置;第9章　访问控制列表的配置 ;第9章 访问控制列表的配置 ;9.1 访问控制列表;9.1.1 ACL概述;ACL的功能 检查和过滤数据包。ACL通过将访问控制列表应用到路由器接口来管理流量和检查特定的数据包。任何经过该接口的流量都要接受ACL中规则的检测，以此决定被路由的分组是被转发还是被丢掉，从而过滤网络流量。例如，可以允许E-mail流量被路由，但同时阻塞所有Telnet流量。 限制网络流量，提高网络性能。ACL能够按照优先级或用户队列处理数据包。通过排队确保路由器不去处理那些不需要的分组。排队限制了网络流量，减少了网络拥塞。 限制或减少路由更新的内容。ACL能够限定或简化路由器选择更新的内容，这些限定常用于限定关于特定网络的信息通过网络传播。 提供网络访问的基本安全级别。通过在路由器上配置ACL，可以允许一个主机访问网络的一部分，而阻止其他主机访问相同的区域。;配置ACL的原则 顺序处理原则。对ACL表项的检查是按照自上而下的顺序进行的，从第一行起，直到找到第一个符合条件的行为止，其余的行不再继续比较。因此必须考虑在访问控制列表中放入语句的次序，比如测试性的语句最好放在ACL的最顶部。 最小特权原则。对ACL表项的设置应只给受控对象完成任务所必须的最小的权限。如果没有ACL，则等于permit any。一旦添加了ACL，默认在每个ACL中最后一行为隐含的拒绝(deny any)。如果之前没找到一条许可(permit)语句，意味着包将被丢弃。所以每个ACL必须至少有一行permit语句，除非用户想将所有数据包丢弃。 最靠近受控对象原则。尽量考虑将扩展的ACL放在靠近源地址的位置上。这样创建的过滤器就不会反过来影响其他接口上的数据流。另外，尽量使标准的ACL靠近目的地址，由于标准ACL只使用源地址，如果将其靠近源会阻止报文流向其他端口。 ;9.1.2 ACL的工作原理;9.2 配置标准访问控制列表;9.2.1 标准ACL的工作过程;9.2.2 配置标准ACL;表9.1 标准ACL参数及描述 ;关于通配符掩码的使用说明;标准ACL配置示例一;配置步骤如下：;标准ACL配置示例二;配置方法如下：;9.3 配置扩展的ACL;9.3.1 扩展ACL的工作过程;9.3.2 配置扩展ACL;表9.2 扩展ACL参数及描述 ;表9.3 一些保留的TCP/UDP端口号 ;扩展ACL配置示例;配置方法如下：;9.4 命名的访问控制列表;配置命名访问控制列表 步骤一： Router(config)# ip access-list {extended | standard} name 步骤二： Router(config-{std-|ext-}nacl)# permit {source [source-wildcard] | any} 或 Router(config-{std-|ext-}nacl)#　deny {source [source-wildcard] | any} ;命名ACL配置示例;1.配置标准命名ACL;2.配置扩展命名ACL;　利用命名ACL删除指定的语句示例;本章小结;本章习题;本章习题;本章实训;本章实训;本章实训