第9章 ACL列表及其实现07.ppt

ACL列表及其实现 提纲 访问控制列表的工作原理 访问控制列表的分类和语法格式 实现访问控制 访问控制列表的工作原理 允许 访问控制列表的工作原理 拒绝 访问控制列表流程 标准访问列表 交换机访问控制列表实现 扩展访问列表 扩展访问列表查询匹配过程 实现访问控制 标准IP访问表 list number permit/deny source address host/any wildcard Log 命名的如何做？ 课堂实验 网络设备中标准访问控制列表的用法 PC1与PC1连接在交换机不同vlan的端口中，在交换机中创建对应的vlan接口和IP地址，在PC中配置默认网关使可互通。 在交换机中配置列表但不添加任何列表项。 将这个列表应用在PC1所连接的端口中，在In和out时分别测试PC1与PC2的连通性，结果如何，怎样解释？ 向列表中添加允许PC1访问PC2的语句，再测试，结果如何，怎样解释？ 问题和练习 在PC1连接的端口处连接一台交换机，再接一台设备和PC1设置相同的网段地址和默认网关，怎样配置不允许PC1访问PC2而这个网段的其他设备都可以访问？ 以上的列表如果放在PC2连接的网段接口是否可以？应该怎样做？尝试实现。 除本实验定义的列表之外，还有没有其他列表定义方法可以实现上述目标。 扩展访问列表 list number protocol 源端口号和目的端口号 选项 其他关键字 课堂实验 路由器中单向访问控制 在PC1与PC2可互通的前提下，在交换机中定义一个访问控制列表，内容是不允许PC1到PC2的ICMP echo报文通过，其他所有报文都可以通过，将它应用到PC1端交换机逻辑端口的入方向，可以实现怎样的单向访问控制？ 思考与练习 上述列表还可以放在哪个端口的什么方向上实现相同的目标？ 删除原来的列表，在交换机中再定义一个扩展访问控制列表，内容是不允许PC1到PC2的ICMP echo-reply报文通过，其他所有报文都可以通过，将它应用到PC1端交换机端口的入方向，可以实现怎样的单向访问控制？ 这个列表还可以放在哪个端口的什么方向上实现相同的目标？ 还可以怎样定义列表和应用列表实现上面的两种单向访问控制？ 本章小结 标准访问控制列表 扩展访问控制列表 单向访问控制的实施思路如何？ 交换机逻辑端口的ACL实现 单击此处编辑母版标题样式 * Vlan 10 Vlan 20 允许 VLAN10 网段通过 不允许VLAN20 网段 通过 标准列表1 引用列表1，在数据进入设备时检查 1、数据包从VLAN10端口进入等待转发 2、比较数据的源IP地址是否落在列表中 Vlan10网段 。。。 3、根据匹配项对应的动作处理数据 Vlan 10 Vlan 20 允许 VLAN10 网段通过 不允许VLAN20 网段 通过 标准列表1 引用列表1，在数据进入设备时检查 1、数据包从VLAN20端口进入等待转发 2、比较数据的源IP地址是否落在列表中 3、根据匹配项对应的动作处理数据 Vlan20网段 。。。 路由表中 有路由？ 选择出接口 访问 列表？ 查询访问 列表条目 允许？ Y Y Y N N N 帧头 IP头 TCP头 数据 依序察看数据包 源地址与标准列表 项是否匹配 Y N 允许？ 拒绝？ 下一个 到最后一条仍无匹配项则按默认动作执行 地址3 允许 地址1 允许地址2 允许地址3 允许地址4 不允许地址5 不允许地址6 不允许地址7 默认拒绝所有 地址7 地址8 internet v10 v20 v30 v10 v40 v50 V10: 1.1.1.0 V20: 2.2.2.0 V30: 3.3.3.0 V40: 4.4.4.0 V50: 5.5.5.0 6 1 2 3 4 5 帧头 IP头 TCP/UDP头 数据 依序察看数据包 源和目的地址 以及协议号、源和目的 端口与扩展 列表项是否匹配 Y N 允许？ 拒绝？ 下一个 到最后一条仍无匹配项则按默认动作执行 地址3 允许地址1到所有目的的访问 允许地址2到所有目的的访问 允许地址3—地址7的tcp80访问 不允许地址3—所有目的的访问 允许地址4到所有目的地的访问 不允许地址5所有目的地的访问 不允许地址6所有目的地的访问 不允许地址7—地址n的80访问 允许地址7—所有目的地的访问 默认拒绝所有 地址7 地址8 地址7 地址3 地址7 TCP80 TCP23 地址n TCP80 。。。 。。。 PC1 PC2 PC1 PC2