第8周5、6接入网、网络设备互联、无线局域网电子教案.docVIP

第 16周第 1-2 课时 2011年 12月 日 PAGE PAGE 1 网络工程系内部教学档案 2009年上半年 课题名称：扩展访问控制列表 课的类型：新课 教学目标：理解扩展访问控制列表的作用；掌握扩展访问控制列表配置 教学重点：掌握扩展的访问控制列表配置 教学难点：无 课时安排：2课时 教学方法：案例教学 教学过程： 一、访问列表概述 访问列表是由一系列语句组成的列表，这些语句主要包括匹配条件和采取的动作（允许或禁止）两个内容;访问列表应用在路由器的接口上，通过匹配数据包信息与访问表参数来决定允许数据包通过还是拒绝数据包通过某个接口;数据包是通过还是拒绝，主要通过数据包中的源地址、目的地址、源端口、目的端口、协议等信息来决定;访问控制列表可以限制网络流量，提高网络性能，控制网络通信流量等，同时ACL也是网络访问控制的基本安全手段。 二、IP访问列表 标准IP 访问列表：其只检查数据包的源地址，从而允许或拒绝基于网络、子网或主机的IP 地址的所有通信流量通过路由器的出口。 扩展IP访问列表：它不仅检查数据包的源地址，还要检查数据包的目的地址、特定协议类型、源端口号、目的端口号等 命名的IP访问列表 所谓命名的IP访问控制列表是以列表名代替列表编号来定义IP访问控制列表，同样包括标准和扩展两种列表，定义过滤的语句与编号方式中相似。 命名IP访问列表通过一个名称而不是一个编号来引用的。 命名的访问列表可用于标准的和扩展的访问表中。 名称的使用是区分大小写的，并且必须以字母开头。在名称的中间可以包含任何字母数字混合使用的字符，也可以在其中包含[，]、{，}、_、-、+、/、\、.、、$、#、@、!以及?等特殊字符 名称的最大长度为1 0 0个字符 编号IP访问列表和命名IP访问列表的区别 名字能更直观地反映出访问列表完成的功能 命名访问列表突破了99个标准访问列表和100个扩展访问列表的数目限制，能够定义更多的访问列表。 命名IP访问列表允许删除个别语句，而编号访问列表只能删除整个访问列表 单个路由器上命名访问列表的名称在所有协议和类型的命名访问列表中必须是唯一的，而不同路由器上的命名访问列表名称可以相同。 三、ACL转发的过程 四、访问列表配置步骤 第一步是配置访问列表语句 第二步是把配置好的访问列表应用到某个端口上 访问列表注意事项 注意访问列表中语句的次序，尽量把作用范围小的语句放在前面。 新的表项只能被添加到访问表的末尾，这意味着不可能改变已有访问表的功能。如果必须要改变，只有先删除已存在的访问列表，然后创建一个新访问列表、然后将新访问列表用到相应的接口上。 标准的IP访问列表只匹配源地址，一般都使用扩展的IP访问列表以达到精确的要求。 标准的访问列表尽量靠近目的，由于标准访问表只使用源地址，因此将其靠近源会阻止报文流向其他端口。扩展的访问列表尽量靠近过滤源的位置上，以免访问列表影响其他接口上的数据流。 在应用访问列表时，要特别注意过滤的方向 五、扩展IP访问列表的配置命令 1、配置扩展访问列表 （config）#access-list access-list-number permit|deny protocol source-address source-wildcard source-port destinaiton address destination-wildcard destination-port log options access-list-number：编号范围为100～199。 Permit：通过；deny：禁止通过 Protocol：需要被过滤的协议的类型，如IP、TCP、UDP、ICMP、EIGRP等。 source-address ：源IP地址 source-wildcard：源通配符掩码 source-port：可以是单一的某个端口，也可以是一个端口范围 destination-address：目的IP地址 destination-wildcard：目的地址通配符掩码 destination-port：目的端口号，指定方法与源端口号的指定方法相同 2、应用访问列表到接口 ip access-group access-list-number in|out In：通过接口进入路由器的报文 Out：通过接口离开路由器的报文 3、显示所有协议的访问列表配置细节 show access-lists [access-list-number] 4、扩展IP访问列表配置举例 要求允许LAN3的所有主机能登录Internet，但只能浏览WWW、FTP