第19章 路由器访问控制列表配置实训2.doc

第19章 路由器访问控制列表配置实训 一、教学导航 知识目标 访问控制列表定义及其命令格式。 技能目标 掌握访问控制列表的配置。 态度目标 吸引学生对本门课程感兴趣； 主动参与教师组织的教学活动； 愿意与别人交流有关实训问题。 单元重点 访问控制列表的配置。 单元难点 访问控制列表的配置。 教学方法 教、学、做合一 课时建议 8学时 项目与任务 任务一： 网络的建立和配置； 任务二： 标准访问控制列表的配置； 任务三： 扩展访问控制列表的配置。 操作流程 布置工作任务 明确工作要领，强调注意事项 小组讨论实施方案、分工 任务实施 总结、评价 关键技术 访问控制列表的配置 二、教学内容 访问控制列表（ACL： Access Control List) 是路由器接口的一种特殊的指令列表，用来控制端口进出的数据包。 确切地说，ACL是一种根据协议、地址、端口号、连接状态以及其他参数对数据流进行过滤的方法，是应用在网络边缘设备网络接口上的一组有序的规则集合。 ACL适用于所有的被路由协议，例如IP、IPX、AppleTalk等等。如果路由器接口配置成为同时支持三种协议（IP、AppleTalk、IPX）的情况，那么用户必须定义三种ACL来分别控制这三种协议的数据封包。 访问控制列表（ACL） 　ACL的作用 ACL对网络的安全和性能都起重要作用，ACL是网络管理员实现网络安全访问配置的基本手段。 ACL通常定义在网络的边缘设备上，应用在网络边缘设备的网络接口上。通过预定义一组规则对通过网络接口的数据包进行过滤。 网络安全方面：通过对数据包的过滤，可以将特定的信息隔离在网络外部，保护内部网络中设备和数据的安全，同时又可以不影响正常的网络服务。ACL可以在路由器端口处决定哪种类型的通信流量被转发或被阻塞。 ACL还可以实现访问限制，可以达到限制网络流量、提高网络性能的作用，又可以加强局域网内部对外部网络访问的管理。例如，用户可以被允许使用E-mail与外部网络通信，同时可以拒绝用户使用IE浏览外部网络。ACL还可以根据数据包的协议指定数据包的优先级，优化网络性能。 　ACL的工作原理 我们已经知道ACL是应用在网络边缘设备网络端口上的一组有序的规则集合。每条规则都是以“IF条件 THEN动作”结构。 一个端口执行哪条规则，是按照列表中的条件语句的顺序来判断的。如果一个数据包的报头跟表中某个条件判断语句相匹配，那么立即执行该规则的动作，后面的规则就将被忽略。 只有当数据包与第一个条件判断语句不匹配时，它才被交给ACL中的下一个条件判断语句进行比较；如果匹配（假设为允许发送），数据都会立即发送到目的接口；如果所有的ACL判断语句都检查完毕，仍没有找到匹配的条件语句，则该数据包将被丢弃。 在路由器中，如果使用ACL的表号进行配置，则列表不能插入或删除行。如果列表要插入或删除一行，必须先去掉所有ACL，然后重新配置。当ACL中条数很多时，这种改变非常烦琐。 　ACL的分类 图 1 ACL的分类 标准访问控制列表：只根据数据包中源地址的匹配对数据包进行过滤。 扩展访问控制列表：根据对数据包中的协议、源地址、目的地址、端口号的匹配对数据包进行过滤。 动态访问控制列表：在传统访问控制列表的基础上加入动态表项，使对数据包过滤的规则能够动态产生，更具安全性。 基于时间的访问控制列表：在传统访问控制列表的基础上增加了对时间判断，可实现按时间段对数据包进行过滤。 自反的访问控制列表：在传统访问控制列表的基础上增加了根据连接状态对数据包进行过滤。 命名的访问控制列表：在传统访问控制列表的基础上增加了用名称代替列表号，便于记忆，同时扩展了条目数量。 在访问控制列表中，标准访问控制列表最简单，在实际应用中在满足具体应用需求的情况下，尽可能用简单的访问控制列表来实现功能。 由于所有的访问控制列表都建立在传统访问控制列表基础上的，因此本章主要实训标准访问控制列表和扩展访问控制列表。 ACL的配置的命令格式 ACL的配置分为两个步骤： 创建ACL 在全局配置模式下，使用下列命令创建ACL： Router (config)# access-list access-list-number {permit | deny } {test-conditions} 其中： access-list-number为ACL的表号，人们使用较频繁的表号是标准的IP ACL（1—99）和扩展的IP ACL（100－199）； {permit | deny }表示动作，permit表示如果条件匹配成功，允许该数据包通过该网络接口，deny则表示如果条件匹配成功，丢弃该数据包。 test-conditions表示匹配条件，各种访问控制列表的匹配条件