第26讲实验12-标准访问控制列表（- A- C- L）课件.pptVIP

* 。。 第26讲实验12 标准访问控制列表(ACL) 主讲：史宝会 一、实验目的 1.?????? 理解网络访问控制列表的作用 2.?????? 掌握标准访问控制列表的工作原则 3.?????? 掌握标准访问控制列表的配置方法 4. 掌握将标准访问控制列表绑定到路由器端口的方法 二、网络拓朴 PC1 PC3 串口中 RA RC RB S1 S0 S0 S0 E0/0 E0/0 PC2 PC4 三、实验内容 1．根据实验拓朴图连接网络环境 2．使用RIP协议达到全网连通 3．使用标准访问列表，限制网络通信，具体要求如下： RC的E0端口只允许来自于网络192.16810.0的数据报被转发，其余的将被阻止。 RC的S0端口不允许来自于特定地址PC4的数据流，其它的数据流将被转发。 RA的S0端口不允许来自于特定网络的数据，而转发其它的数据 RB的S0端口不允许来自于特定网络的数据，而转发其它的数据 实验注意事项 配置标准访问列表之前保证配置RIP协议过到全网连通 通过串口线连接的路由器端口（S口）使用HDLC封装协议 注意配置串口线的DCE端口的时钟速率 注意每一条标准访问列表中最少有一条permit语句 访问列表定义之后一定要绑定到路由器的某个端口上 实验报告要求 1．画出实验网络环境拓朴。 2．写出实验过程所有路由器的配置内容。 3．分析实验过程中配置网络设备的命令，并写出现的问题的解决的方案 教学目标 Access Control List 访问列表（ACL）的作用 访问列表的分类 标准访问列表的应用及配置 扩展访问列表的应用及配置 应用ACL控制和管理通信流量 访问列表的概念 访问列表的定义 是一系列运用网络地址或者上层协议上的允许或拒绝指令的集合 这些指令将运用到网络地址或者上层协议上 这些指令告诉路由器接受哪些数据报而拒绝哪些数据报。 ACL使得用户能够管理数据流，检测特定的数据报。 接受或者拒绝根据一定的规则进行，如源地址，目标地址，端口号等。 路由器将根据ACL中指定的条件，对经过路由器端口的数据报进行检查。 ACL可以基于所有的Routed Protocols，如IP，IPX，对经过路由器的数据报进行过滤。 访问列表应用图例 访问控制列表的作用 ACL具有灵活的基本数据流过滤能力和特定的控制能力。 访问列表可以控制非法的网络访问，允许正常的网络访问 路由器提供了基本的数据流过滤能力 如使用访问控制列表（ACL），可以有条件地阻止Internet数据流。 在路由器接口处，决定哪种类型的通信流量被转发、哪种类型的通信流量被阻塞 ACL需求 限制网络数据流，增加网络性能。 列队管理 ?根据不同的协议，ACL可以指定路由器优先处理哪些数据报 ?路由器可以不处理不需要的数据报 ?队列管理限制了网络数据流，减少了网络拥塞 提供数据流控制。 ACL可以限定或者减少路由更新的内容。 为网络访问提供基本的安全层。 ACL可以允许某个主机访问网络的某一部分，而阻止另一台主机访问网络的这个部分。 决定转发或者阻止哪些类型的数据流。 可以允许路由e_mail数据流，而阻止telnet数据流 ACL定义的原则 ACL在路由器的端口过滤网络数据流，决定是否转发或者阻止数据报。 ACL应该根据路由器的端口所允许的每个协议来制定。如果需要控制流经某个端口的所有数据流，就需要为该端口允许的每一个协议分别创建ACL。 例如，如果端口配置成允许IP,Appletalk和IPX协议的数据流，那么就需要创建至少三个ACL。 ACL可以用作控制和过滤流经路由器端口的数据报的工具。 ACL指令的配置原则 ACL中的指令以按顺序执行的 先满足条件则之后的指令不执行 配置ACL指令时，要先配置最严格的条件、之后较松的条件 对于某些协议，可以创建多个ACL： 一个用于过滤进入端口的数据流inbound， 一个用于过滤流出端口的数据流outbound ACL指令 一个ACL就是一组指令，规定数据报如何： 进入路由器的某个端口 在路由器内的转送 离开路由器的某个端口 ACL允许控制哪些客户端可以访问的网络。在ACL中的条件可以是： 筛选某些主机允许或者禁止访问的部分网络 允许或者禁止用户访问某一类协议，如FTP，HTTP等。 ACL的工作流程 无论是否使用ACL，开始的通信过程是相同的。 当一个数据报进入一个端口，路由器检查这个数据报是否可路由。 如果是可以路由的，路由器检查这个端口是否有ACL控制进入数据报。 如果有，根据ACL中的条件指令，检查这个数据报。 如果数据报是被允许的，就查询路由表，决定数据报的目标端口。 路由器检查目标端口是否存在ACL控制流出的数据报 不存在，这个数据报就直接发送到目标端口。 如果存在，就再根据ACL进行