交换机路由器的配置与管理第七章-精品·公开课件.ppt

第7章 访问列表 访问列表概述 访问列表由一系列语句组成，这些语句主要包括匹配条件和采取的动作（允许或禁止）两个部分 访问列表应用在路由器的接口上，通过匹配数据包信息与访问列表参数来决定允许还是拒绝数据包通过某个接口。 数据包是通过还是拒绝，主要通过数据包中的源地址、目的地址、源端口、目的端口、协议等信息来决定。 访问列表的功能 控制网络流量，提高网络性能 控制用户网络行为 控制网络病毒的传播 访问列表类型 访问列表可分为标准IP访问列表和扩展IP访问列表。 标准访问列表：其只检查数据包的源地址，从而允许或拒绝基于网络、子网或主机的IP地址的所有通信流量通过路由器的出口。 扩展IP访问列表：它不仅检查数据包的源地址，还要检查数据包的目的地址、特定协议类型、源端口号、目的端口号等 ACL的相关特性 每一个接口可以在进入（inbound）和离开（outbound）两个方向上分别应用一个ACL，且每个方向上只能应用一个ACL。 ACL语句包括两个动作：拒绝（deny）和允许(permit) 数据包进入路由器时，进入方向（In方向）的ACL起作用。 数据包离开路由器时，出方向（Out方向）的ACL起作用 每个ACL列表结尾有一个隐含的“拒绝的所有数据包(deny any)”的语句 ACL转发的过程 IP地址与通配符掩码的作用规 32位的IP地址与32位的通配符掩码逐位进行比较，通配符掩码为0的位要求IP地址的对应位必须匹配，通配符掩码为1的位所对应的IP地址位不必匹配 例： IP地址为 ，通配符掩码为55对应的二进制为： 1010100000000000 0000000011111111 检查的地址范围为：～55 通配符掩码示例 通配符掩码掩码的两种特殊形式 host表示一台主机，是通配符掩码的简写形式 0 等价于host 0 any表示所有主机，是通配符掩码掩码55的简写形式 0 55等价于any 访问列表配置步骤 第一步是配置访问列表语句 第二步是把配置好的访问列表应用到某个端口上 标准IP访问列表的配置命令 配置标准访问列表 access-list access-list-number deny|permit source-address source-wildcard [log] access-list-number：只能是1～99之间的一个数字 deny|permit：deny表示匹配的数据包将被过滤掉；permit表示允许匹配的数据包通过 source-address：表示单台或一个网段内的主机的IP地址 source-wildcard：通配符掩码 Log：访问列表日志，如果该关键字用于访问列表中，则对匹配访问列表中条件的报文作日志 标准IP访问列表的配置命令续 应用访问列表到接口 ip access-group access-list-number in|out In：检查进入路由器的报文 Out：检查离开路由器的报文 显示所有协议的访问列表配置细节 show access-list [access-list-number] 显示IP访问列表 show ip access-list [access-list-number] 标准IP访问列表的配置举例 主机不能访问主机，但可访问其他主机，对其他主机间的访问不做任何限制 标准IP访问列表的配置举例配置 router# configure terminal router(config)# access-list 1 deny host router(config)# access-list 1 permit any router(config)# interface Ethernet 1 router(config)# ip access-group 1 out 扩展IP访问列表的配置命令 配置扩展访问列表 access-list access-list-number permit|deny protocol source-address source-wildcard source-port destinaiton address destination-wildcard destination-port log options access-list-numberL：编号范围为100～199。 Permit：通过；deny：禁止通过 Protocol：需要被过滤的协议的类型，如IP、TCP、UDP、ICMP、EIGRP,GRE等。 source-address ：源IP地址 source-wildcard：