ACL溪水配置步骤.pptVIP

网络互联技术 计算机网络技术专业 2014.4 第七章 访问控制列表 A、安全控制：允许一些符合匹配准则的数据包通过路由器，而拒绝其他的数据包，从而为网络提供安全访问的功能 B、流量过虑：可以拒绝一些不必要的数据包通过网络，以提高带宽的利用变幻无常 C、流量标识：许多在路由器上的网络应用都要依靠ACL才能完成任务，所以大多都要用到ACL的标识 实用组网技术 * * 教学目标： 1、ACL的概念 2、ACL的工作原理 3、ACL的配置 4、ACL的应用举例 职业技能教学点： 1、掌握ACL的标准配置格式 2、掌握ACL的扩展配置格式 3、能根据要求创建合理的ACL 一、ACL的作用 二、ACL的工作原理 1、路由器对数据包的处理情况 A、当收到数据包时，首先检查是否有进站访问控制列表与接口相关联，如果没有正常进入，有则执行(允许或拒 B、路由器对通过ACL的数据包执行路由选择，路由表中没有目标地址则丢包，有则转发 C、数据包到达路由器的出口时，路由器检查是否有出站ACL与此接口相关联，没有直接把数据包转发，有则执行ACL 2、ACL的执行顺序 ACL对每个数据包都是按照自上而下的顺序进行匹配。如果第一个匹配则执行ACL，否则继续检测列表中的下一条语句 3、隐式拒绝一切和显示允许一切 A、当一个数据包对所有语句都一匹配时，路由器自动丢包(路由器在每人ACL后都自动加了拒绝一切的语句，即自动加入了deny any语句) B、可以在ACL后面加permit any语句来显示允许一切数据包通过 二、ACL的工作原理 二、ACL的工作原理 4、TCP/IP访问控制列表 A、TCP/IP访问控制列表对数据包的第三层和第四层信息进行检测 B、利用给定的一个网段进行比较 例子： 例：只允许通过，则表示成permit 或者用host来取代检查所有的位。(permit host ) 例：只允许通过，则表示成permit 55 例：不允许通过，则表示成deny 55 三、TCP/IP访问控制列表的配置 1、IP访问控制列表可以分为以下两大类： A、标准IPACL：只对数据包的源IP地址进行检查(号码范围为1-99) B、扩展IPACL：对数据包的源和目标IP地址、源和目标端口号等进行检查，因此可以对FTP、TELNET、SNMP等协议进行控制(号码范围为100-199) 2、标准IPACL配置： 格式： access-list access-list-number {deny|permit}source-address[source-wildcard] access-list-number:ACL的号码(1-99) {deny|permit}：拒绝或允许 source-address：数据包的源地址，可以是某个网络、某个子网、某个主机 [source-wildcard]：数据包的源地址的通配符掩码(55等) 三、TCP/IP访问控制列表的配置 3、扩展IPACL配置： 格式： access-list access-list-number {deny|permit}protocol source-address source-wildcard [operator port] destination-address destination-wildcard [operator port][established][log] access-list-number：ACL号码，扩展IP的编号为100-199 protocol:数据包所采用的协议，它可以是IP、TCP、UDP、IGMP等 operator：指定逻辑操作：eq(等于)neq(不等于)gt(大于)lt(小于)range(范围) port：指明被匹配的应用层端口，telnet为23、FTP为20和21 destination-address：源地址 三、TCP/IP访问控制列表的配置 4、命名IP访问控制列表： 用一个字符串来代替ACL的列表号，优点是便于管理，在IOS 11.2以上版本才支持 格式：ip access-list{standard|extended}name 例：ip access-list standard systemlist 5、调用IP访问控制列表 在路由器接口上调用列表时，还需要注意是进站还是出站 格式：ip access-group access-list-number{in/out} 还有一种调用是用来控制路由器虚拟终端的会话： 格式：access-class access-list-number{in/out} 四、ACL应用 Rt_A Rt_B F0/1 S0/0(Dec) S0/1 F0/0 Web server