ACL教程模版课件.pptVIP

第7章　访问控制列表ACL ACL概述 ACL的工作过程 ACL分类 ACL配置 翻转掩码 标准ACL的配置 扩展ACL的配置 命名（Named）ACL的配置 使用ACL控制虚拟终端（VTY）的访问 本章要求 1、了解ACL的概念、用途、工作过程和分类 2、掌握翻转掩码的概念 3、理解和掌握标准ACL、扩展ACL、命名ACL的配置过程 4、理解和掌握使用ACL控制虚拟终端访问的配置过程 ACL概述 访问控制列表（Access Control List，ACL） 应用在路由器接口的指令列表 指定哪些数据报可以接收、哪一些需要拒绝 ACL用途 （1）限制网络流量、提高网络性能； （2）提供对通信流量的控制手段； （3）提供网络访问的基本安全手段； （4）在路由器（交换机）接口处，决定哪种类型的通信流量被转发、哪种被阻塞。 ACL的工作过程 ACL的操作过程 入站访问控制操作过程 出站访问控制操作过程 ACL的逻辑测试过程 入站访问控制操作过程 相对网络接口来说，从网络上流入该接口的数据包，为入站数据流。 对入站数据流的过滤控制称为入站访问控制。 如果一个入站数据包被访问控制列表禁止（deny），那么该数据包被直接丢弃（discard）。 只有那些被ACL允许（permit）的入站数据包才进行路由查找与转发处理。 入站访问控制节省了那些不必要的路由查找转发的开销。 出站访问控制操作过程 从网络接口流出的网络数据包，称为出站数据流。 出站访问控制是对出站数据流的过滤控制。 那些被允许的入站数据流需要进行路由转发处理。 在转发之前，交由出站访问控制进行过滤控制操作。 出站访问控制操作过程（续） 出站访问控制操作过程（续） 出站访问控制操作过程（续） ACL的逻辑测试过程 ACL的逻辑测试过程 ACL的逻辑测试过程 ACL的逻辑测试过程 ACL分类 标准ACL 扩展ACL ACL配置 翻转掩码 host关键字 any关键字 通配符掩码和IP子网的对应 标准ACL的配置 标准ACL的配置 标准ACL例1 标准ACL例1 标准ACL例2 标准ACL例2 标准ACL例2 标准ACL例2 标准ACL例2 扩展ACL的配置 扩展ACL的配置 扩展ACL例1 扩展ACL例1 扩展ACL例1 扩展ACL例2 扩展ACL例2 扩展ACL例2 命名（Named）ACL的配置 命名（Named）ACL的配置 命名（Named）ACL的配置 设置ACL的位置 查看特定接口启用的ACL配置 查看ACL测试语句 使用ACL控制VTY的访问 5个虚拟终端接口（vty0到vty4） 对访问路由器vty的地址进行控制 对路由器发起的向外vty访问进行控制 如何控制VTY访问 虚拟终端Line配置命令 VTY访问控制示例 访问列表配置指南(再记一次) 访问列表的编号指明了使用何种协议的访问列表 每个端口、每个方向、每条协议只能对应于一条访问列表 访问列表的内容决定了数据的控制顺序 具有严格限制条件的语句应放在访问列表所有语句的最上面 在访问列表的最后有一条隐含声明：deny any－每一条正确的访问列表都至少应该有一条允许语句 先创建访问列表，然后应用到端口上 访问列表不能过滤由路由器自己产生的数据 访问列表配置准则 访问列表中限制语句的位置是至关重要的 将限制条件严格的语句放在访问列表的最上面 使用 no access-list number 命令删除完整的访问列表 隐含声明 deny all 在设置的访问列表中要有一句 permit any Slide 1 of 2 Purpose: This slide gives the specific command syntax for TCP/IP standard access list configuration. The access-list command creates an entry in a standard access list. Emphasize: The access-list field descriptions: list—identifies the list to which the entry belongs; a number from 1 to 99. address—source IP address. wildcard-mask—identifies which bits in the address field are matched. It has a 1 in positions indicating “dont care” b