16第十六课：访问控制列表 思科认证网络助理工程师CCNA培训PPT资料.pptVIP

* 使用访问控制列表实现IP信息管理 访问控制列表的定义 二. 访问控制列表的工作过程 三. 访问控制列表的配置方法 四. 访问控制列表的应用实例 一 、访问控制列表的定义 1. 访问控制列表是一些规则的有序集合，应用在网络设备的端口上，用来控制 预先规定的流量是否可以在这些端口进出。 2. 简单实例图 S0 E0 WWW TELNET FTP DNS WINS FTP DNS √ √ 访问控制列表的类型 标准访问控制列表 标准访问控制列表检查可被路由的流量的源地址,根据源网络地址决定是否拒绝 还是允许流量的通过. 2. 扩展访问控制列表 扩展访问控制列表检查可被路由的流量的源地址,目标地址,协议号,端口号,然后 决定该流量是否可以通过. 访问控制列表的作用方向 入站访问列表 在入站的流量被路由之前, 先经过入站访问控制列表的过滤控制. 如果被拒绝, 该流量被丢弃,就不用进行路由查找.如果被允许, 就要进行路由查找工作. 出站访问列表 进入的流量先在路由器中进行路由查找, 确定出口.然后,该出口是否配置出站 访问控制列表,如果没有,直接路由出去 .如果有,由访问控制列表决定是否通过. 二、访问控制列表的工作过程 进入的流量 是否匹配第一条规则? 是否匹配第N条规则? 是否匹配最后一条规则? 否 否 是 是 是 否 缺省拒绝 丢弃!!!!! 通过!!!!! 注: CISCO路由器访问控制 列表缺省最后一句话是 拒绝ANY. 三、访问控制列表的配置方法 1. 访问控制列表的类型. 800-899 900-999 Name IPX 标准的 扩展的 名字的 1-99 100-199 Name IP 标准的 扩展的 名字的 号码范围/标志 访问控制列表类型 三、访问控制列表的配置方法 访问控制列表的配置准则 ● 访问控制列表号码范围标明哪个协议被过滤和应用哪种访问控制列表类型 ● 每个接口下只能有一个一种协议的访问控制列表.如: IP IPX ● 访问控制列表都是自上而下进行处理,后加入的条件最后处理. ● 访问控制列表最后缺省是拒绝ANY, 所以至少要有一句允许语句. ● 先创建访问控制列表,再应用到端口上. ● 使用编号访问控制列表,不能有选择地增加或者删除语句行.但使用命名IP访问 控制列表时可以. 三、访问控制列表的配置方法 3. 基本访问控制列表的配置方法 ● 语法格式 Access-list [list number 1-99] [permit| deny] [source address] [wildcard mask] ● 举例: Access-list 10 permit 55 Access-list 10 permit Access-list 10 permit host Access-list 10 deny host Access-list 10 permit any 三、访问控制列表的配置方法 3. 扩展访问控制列表的配置方法 ● 语法格式 Access-list [list number 101-199] [permit| deny] [protocol| proto key word] [source address] [wildcard mask][source port] [destination address] [wildcard mask] [destination port] [established] ● 举例: Access-list 101 permit ip 55 host Access-list 101 deny tcp host host eq 80 Access-list 101 deny icmp host 30.1. 1.1 55 Access-list 101 permit ip any any ● 控制操作符的意义 Eq 等于 LT 小于 GT 大于 Neq 不等于 三、访问控制列表的配置方法 4. 命名访问控制列表 ● 网络管理员可以命名访问控制列表中自由增加删除访问语句 ● 经常被应用在路由过滤表中. ● 具体配置 ip access-list