第七节新：访问列表安全性.pptVIP

第七章：理解访问列表安全性 1、访问控制列表：是由一系列的匹配语句和相应的动作组成。当一个访问列表有多条语句时，第一条匹配的语句决定对匹配的包采取什么动作 判断过程总结如下： A：访问列表的第一个语句与包中各值相比较 B：如果匹配就做相关的动作（允许/拒绝） C：如果在第二步中没有匹配的，那将访问列表中的下一语气，并重复执行A/B D：如果整个访问列表都不匹配，将执行拒绝动作 注：每一个访问列表的结尾有一个隐含的“deny all”。所以如果没有匹配项，那将被丢弃 访问控制列表分为：标准的与扩展的 A标准的：是基于源地址的控制 B扩展的：是基源IP与目标IP、源mac与标mac、源端口及目标端口/协议 访问控制列表中放置的三个原则 靠近包的来源处 先将匹配的包放在列表的前端 保证要实现功能 3、标准IP访问列表配置 Access-list access-list-number {deny|permit|}source[source-wildcard] [log]:标准编号的的访问列表的全局命令 Ip access-group {number|name [in|out]}:启用访问列表的接口子命令 Access-class number |name [in|out] Show ip interface [type number] Show access-list [number|name] 注：标准IP访问列表的编号是1到99 案例分析（标准） 要求过滤标准（如图1）： Grigory可以使用Nova以太网上的主机 在Gorno上的其它所有的主机（除Grigory外）不能使用Nova以太网的主机 所有其它的通信是允许的 Access-list 43 permit host Access-list 43 deny 55 Access-list 43 Permit any any Interface s0 Ip access-group 43 in Interface s1 Ip access-group 43 in (请同学思考用以上方式是否会出问题）：如果有的话，有没有解决办法） Acces-list 143 permit ip host 55 Access-list 143 deny ip 55 55 Acces-list 143 permit ip any any 3、扩展IP访问列表配置 Access-list access-list-number [dynamic dynamic-name ]{deny|permit} protocol source[source-wildcard] destination desination-wildcard:扩展编号的的访问列表的全局命令 Ip access-group {number|name [in|out]}:启用访问列表的接口子命令 Access-class number |name [in|out] Show ip interface [type number] Show access-list [number|name] 注：扩展IP访问列表的编号是100到199 4、命名IP访问列表 编号IP访问列表和命名IP访问列表的主要区别： A：名字能直接反映出访问列表完成的功能 B：命名访问列表突破99个标准和100个扩展列表的限制，能定义更多的访问列表 C：命名IP访问列表允许删除个别语句，而编号的列表只能删除整个列表， D：在同一个路由器是，IP命名是唯一的 例如：ip access-list extended abc 案例分析2：如图2 在barmaul以太网上的主机不能和Gorno以太网中的主机通信 Grigory和Melissa 不能和Nova以太网上的主机通信 在Nova以太网和Gorno之间的其它的以太网的主机可以通信 所有其它的主机可以通信 （请同学写出控制过程） NAT实例分析 interface FastEthernet0/0　　ip address 78 52　　no ip directed-broadcast　　ip nat outside　　duplex auto　　speed auto　　!　　interface FastEthernet0/1　　ip address 54 　　no ip directed-broadcast　　ip nat inside　　duplex auto　　speed auto　　!　　ip nat pool xxx 78 78 netmask 52　　ip nat inside source list 1 pool bbb ove