网络配置第7章.pptVIP

访问控制列表(ACL) 理解ACL的基本原理 学会配置号码式访问列表 学会配置命名的访问列表 使用ACL控制VTY(Telnet)访问 1 什么是ACL 访问控制列表(Access List,ACL)是应用到路由器接口的指令列表，这些指令列表用来告诉路由器哪些数据包可以接收，哪些数据包需要拒绝。至于数据包是被接收还是被拒绝，可以由类似于源地址，目的地址和端口号等的特定指示条件来决定。 设置ACL的一些规则 按顺序比较，先比较第1行，再比较第2行，直到最后一行。 从第一行起，直到找到1个符合条件的行。符合以后，其余的行不再继续比较下去 。 默认在每个ACL中最后一行为隐含的拒绝(deny)。如果之前没找到1条许可语句，意味着包将被丢弃。所以每个ACL必须至少要有1行permit语句，除非用户想把所有的数据包丢弃。 两种主要的访问列表： 标准访问列表(Standard Access List) 扩展访问列表(Extended Access List) 用户定义的过滤方面有两种： Inbound ACL:先处理，再路由 Outbound ACL：先路由，再处理 设置ACL的要点： 每个接口、每个方向、每种协议，只能设置1个ACL。 组织好用户的ACL顺序，比如测试性最好的放在ACL的最顶部 不可能从ACL中除去1行，除去1行意味着将除去整个ACL，命名访问列表例外 默认ACL结尾语句是deny any，所以要记住的是在ACL里至少要有1条permit语句 记得创建了ACL后要把它应用在需要过滤的接口上 ACL是用于过滤经过router的数据包，它并不会过滤router本身所产生的数据包 尽可能地把IP标准ACL放置在离目标地址近的地方，尽可能把IP扩展ACL放置在离源地址近的地方。 2 号码式ACL 号码式ACL分为标准访问列表和扩展访问列表两种，二者的区别主要是前者是基于源地址的数据包过滤，而后者是基于目标地址，源地址和网络协议及端口的数据包过滤。 标准号码式ACL 标准号码式ACL格式 Router(config)#access-list access-list-number {deny|permit} source[source-wildcard][log] 标准ACL例 （1）access-list 1 deny host 9 （2）access-list 2 deny host 9 access-list 2 permit any （3）access-list 3 permit host 9 （4）access-list 4 deny 9 55 access-list 4 permit any 扩展号码式ACL 扩展号码式ACL格式 Router(config)#access-list access-list-number {deny|permit} protocol source-wildcard destination destination-wildcard [operator operand][established] 3 命名式ACL 标准命名式ACL格式 Router(config-std-nacl)#permit {source[source-wildcard]|any} 扩展命名式ACL格式 Router(config-ext-nacl)#permit {source[source-wildcard]|any} 4 配置ACL的基本步骤 ACL的配置步骤基本上可分为两步； 在全局配置模式下使用命令Access List定义ACL，每使用一条这样的命令都将为一个访问控制表定义一个表项，也就是一条判断处理规则，或称为条件判断语句。 在接口配置模式下使用access-group命令把ACL应用到某一接口 * * （限制所有主机） （只限制IP地址为 9 的主机） （ 除9 的主机都deny） （限制 网络） Eg:Router(config)#access-list 101 deny tcp 55 55 eq ftp 参数 参数说明 access-list-number 访问控制列表表号,使用范围100---199 permit | deny 允许或者拒绝后面指定的特定地址通信流量 protocol 指定协议类型,如IP,TCP,UDP,ICMP等 source destination 标识源地址和目的地址 source-mask destination-mask 反向掩码,与源地址和目的地址相对应 operator operand lt,gt,eq,neg(小于，大