第9章 接入控制列表ACL.ppt

ACL（访问控制列表） ACL基础 网络管理员可以拒绝不希望的访问连接流量，同时也可以允许正常的访问 ACL（access control lists）是应用在路由器接口听指令列表，这些指令告诉路由器哪些分组可以接收以及哪些分组需要拒绝。它实际上是一个连续的允许和拒绝语句的集合 ACL基础 ACL可通过ACL列表号来识别，特定的ACL语句具有相同的编号，并且是相同的ACL的一部分 ACL在网络中可实现的多样功能，一般包括： 内部过滤分组 保护内部网络受到来自Internet的非法入侵 限制对虚拟终端端口的访问 ACL适用于所有的路由协议，如IP、IPX等 ACL通过在路由器接口处控制被路由的分组是被　转发还是被阻塞来过滤网络流量 路由器基于ACL中指定的条件来决定转发还是丢弃分组，其条件可以是源地址，目的地址等 建立ACL的原因 限制网络流量，提高网络性能 提供流量控制 提供网络访问的基本安全级别 在路由器接口决定哪种流量被转发或被阻塞 ACL语句的顺序 创建一个ACL时其顺序是至关重要的 当流量进入或流出应用了ACL的路由器接口时，会将分组同ACL中定义的规则相比较 当比较分组时，一次一句按顺序比较，直到与某一条语句匹配，一旦与某一条语句匹配，就执行匹配的语句行中所指定的动作，不再检查其分条件语句 一旦一个ACL被创建后，新的语句行都会被加到ACL的最后，无法删除列表中的单独一行，只能删除整个ACL列表 对路由器的每个接口的每个方向，针对每个协议只能应用一个ACL列表 ACL如何工作 ACL是一组允许或拒绝的语句，它定义了分组的下列行为： 进入入站路由器接口 通过路由器转发 流出出站路由器接口 见FLASH ACL如何工作 当分组进入到路由器的某个接口时，路由器首先检查该分组是否可路由或可桥接 然后检查在入站接口上是否应用了ACL 如有，将分组与列表中的条件语句相比较，如果分组被允许通过，则继续检查路由表以决定转了到的目的接口（ACL不过滤由路由器本身发出的分组，只过滤别的来源的分组） 路由器检查目的接口是否应用了ACL，如果没有应用，分组被直接送到目的接口 ACL的创建 ACL要在全局配置模式中创建 router(config)# access-list access-list-number { permit | deny } { test-conditions } 将ACL应用到路由器的某个接口上: router(config-if)# {protocol} access-group access-list-number { in | out } ACL示例 router(config)#access-list 1 permit 55 router(config-if)#ip access-group 1 out 删除ACL 从接口中将ACL应用删除掉 router(config-if)# no {protocol} access-group access-list-number { in | out } 将ACL语句删除掉 router(config)# no access-list access-list-number { permit | deny } { test-conditions } ACL列表号 通配符掩码（WILDCARD） 与IP地址成对出现，用来决定IP地址中哪些位需要检查哪些位不需要检查 是32比特的数字字符串，用点分十进制表示 比特值为0表示相应IP地址位需要检查 比特值为1表示相应IP地址位不需要检查 wildcard mask bits 举例 For example:检查IP网络 /24 wildcard mask bits Continue For example:check for IP subnets /21 wildcard mask bits Continue For example:check for IP subnets to 通配符“any” 如允许任何地址的主机访问 router(config)# access-list 1 permit 55 可以用缩写字any，如下所示： router(config)# access-list 1 permit any 通配符“host” 想要与整个IP地址匹配时，即条件针对一个主机 router(config)#access-list 1 permit 9 也可以写成: router(config)# access-list 1 permit host 9 或者写成： router(config)# access-list 1 permit 9 验证ACL Show ip interface