集团企业网组建项目(八)——访问控制列表.pptVIP

构建中小企业网络 集团企业网组建项目(八)——访问控制列表 目录 工作任务布置 ACL概述 ACL工作原理 ACL分类 ACL配置 任务实施(一) 拓扑结构 背景描述 假设你是某公司的网络管理员,公司要求对网络进行严格控制,不允许员工上班时间上外网,并且考虑财务部安全性,不允许其他网段访问财务部主机. ACL概述 ACL（Access Control List，访问控制列表）是用来实现数据包识别功能的 ACL可以应用于诸多方面 包过滤防火墙功能 NAT（Network Address Translation，网络地址转换） QoS（Quality of Service，服务质量）的数据分类 路由策略和过滤 按需拨号 基于ACL的包过滤技术 对进出的数据包逐个过滤，丢弃或允许通过 ACL应用于接口上，每个接口的出入双向分别过滤 仅当数据包经过一个接口时，才能被此接口的此方向的ACL过滤 入站包过滤工作流程 出站包过滤工作流程 IP ACL的基本准则 一切未被允许的就是禁止的 定义访问控制列表规则时，最终的缺省规则是拒绝所有数据包通过 按规则链来进行匹配 使用源地址、目的地址、源端口、目的端口、协议、时间段进行匹配 规则匹配原则 从头到尾，至顶向下的匹配方式 匹配成功马上停止 立刻使用该规则的“允许/拒绝……” 反掩码（通配符） 通配符掩码 通配符掩码和IP地址结合使用以描述一个地址范围 通配符掩码和子网掩码相似，但含义不同 0表示对应位须比较 1表示对应位不比较 通配符掩码的应用示例 访问列表分类 标准访问列表(1-99) 根据数据包源IP地址进行规则定义 扩展访问列表(100-199) 根据数据包中源IP、目的IP、源端口、目的端口、协议进行规则定义 标准ACL 基本访问控制列表只根据报文的源IP地址信息制定规则 扩展ACL 高级访问控制列表根据报文的源IP地址、目的IP地址、IP承载的协议类型、协议特性等三、四层信息制定规则 IP标准访问列表的配置 1.定义标准ACL 编号的标准访问列表Router(config)#access-list 1-99 {permit|deny} 源地址 [反掩码] 命名的标准访问列表 switch(config)# ip access-list standard name switch(config-std-nacl)#{permit|deny} 源地址 [反掩码] 2.应用ACL到接口 Router(config-if)#ip access-group 1-99 { in | out } 缺省是out 备注: “no access-list access-list-number” 命令删除访问列表 “no ip access-group access-list-number” 命令在端口上删除访问列表 标准访问列表配置实例(二) 需求： 你是某校园网管，领导要你对网络的数据流量进行控制,要求校长可以访问财务的主机，但教师机不可以访问。 配置： ip access-list standard abc permit host deny 55 IP扩展访问列表的配置 1.定义扩展的ACL 编号的扩展ACL Router(config)#access-list 100-199 { permit /deny } 协议 源地址 反掩码 [源端口] 目的地址 反掩码 [ 目的端口 ] 命名的扩展ACL ip access-list extended {name} { permit /deny } 协议 源地址 反掩码[源端口] 目的地址 反掩码 [ 目的端口 ] 2.应用ACL到接口 Router(config-if)#ip access-group 100-199 { in | out } IP扩展访问列表配置实例(一) 如何创建一条扩展ACL 该ACL有一条ACE，用于允许指定网络（192.168.x..x）的所有主机以HTTP访问服务器，但拒绝其它所有主机使用网络 Router (config)# access-list 103 permit tcp 55 host eq www Router # show access-lists 103 IP扩展访问列表配置实例(二) 访问列表的验证 显示全部的访问列表 Router#show access-lists 显示指定的访问列表 Router#show access-lists 1-199 显示接口的访问列表应用 Router#show ip interface 接口名称 接口编号 IP访问列表配置注意事项 1、一个端口在一个方向上只能应用一组ACL 2、锐捷全系列交换机可针对物理