创建高级交换型互联网第9章 ACL列表及其实现.ppt

单击此处编辑母版标题样式 * 本胶片解释访问控制列表的特性，要点在于： 1、列表是在设备中定义在接口中实施的，如同纱窗的制作和在窗户上的安装一样，是两个具体的过程和步骤。 2、访问列表是一个参照物，就好比纱窗定义了一个可进入物体的大小一样，访问列表则定义了一个可允许通过的数据特征，任何进入设备的数据都要与这个列表进行对照，只有相同的数据包可以按照特定操作执行，而不匹配时则执行默认的操作。 在交换机中从逻辑接口进入的数据察看接口的列表设置是否与数据包对应字段匹配，匹配就按照动作执行，否则按照默认动作执行。 * 简单介绍即可。解释本两张胶片使用的是最简单的标准访问列表说明。 * 注意要点： 1、只察看数据封包的IP头字段与列表字段比较。 2、顺序察看意味着一旦找到匹配即停止查找，转而执行。 3、最后一项默认动作为拒绝所有。 * 本胶片环境简单介绍：在三层交换机中创建5个vlan，并配置trunk端口和vlan接口，配置逻辑IP地址如上所示。6的意思是这个端口承担与internet连接的任务，当数据发送出去时要经过这个端口，而对于标准访问控制列表来讲一般需要将列表放置在距离受控源地址较远的位置，在本实例中最好是放置在6接口中比较妥当。 * 与上一张对比主要差别在于它不只察看数据封包的IP头字段还察看传输层信息与列表字段比较，因此扩展访问列表的定义也是相对复杂的。 * 本实验30分钟。 * 本实验40分钟。 * 这里要采用课堂讨论的方式进行。 * 提纲 访问控制列表的工作原理 访问控制列表的分类和语法格式 实现访问控制 访问控制列表的工作原理 允许 Vlan 10 Vlan 20 允许 VLAN10 网段通过 不允许VLAN20 网段 通过 标准列表1 引用列表1，在数据进入设备时检查 1、数据包从VLAN10端口进入等待转发 2、比较数据的源IP地址是否落在列表中 Vlan10网段 。。。 3、根据匹配项对应的动作处理数据 访问控制列表的工作原理 拒绝 Vlan 10 Vlan 20 允许 VLAN10 网段通过 不允许VLAN20 网段 通过 标准列表1 引用列表1，在数据进入设备时检查 1、数据包从VLAN20端口进入等待转发 2、比较数据的源IP地址是否落在列表中 3、根据匹配项对应的动作处理数据 Vlan20网段 。。。 访问控制列表流程 路由表中 有路由？ 选择出接口 访问 列表？ 查询访问 列表条目 允许？ Y Y Y N N N 标准访问列表 帧头 IP头 TCP头 数据 依序察看数据包 源地址与标准列表 项是否匹配 Y N 允许？ 拒绝？ 下一个 到最后一条仍无匹配项则按默认动作执行 地址3 允许 地址1 允许地址2 允许地址3 允许地址4 不允许地址5 不允许地址6 不允许地址7 默认拒绝所有 地址7 地址8 交换机访问控制列表实现 internet v10 v20 v30 v10 v40 v50 V10: 1.1.1.0 V20: 2.2.2.0 V30: 3.3.3.0 V40: 4.4.4.0 V50: 5.5.5.0 6 1 2 3 4 5 扩展访问列表 帧头 IP头 TCP/UDP头 数据 依序察看数据包 源和目的地址 以及协议号、源和目的 端口与扩展 列表项是否匹配 Y N 允许？ 拒绝？ 下一个 到最后一条仍无匹配项则按默认动作执行 扩展访问列表查询匹配过程 地址3 允许地址1到所有目的的访问 允许地址2到所有目的的访问 允许地址3—地址7的tcp80访问 不允许地址3—所有目的的访问 允许地址4到所有目的地的访问 不允许地址5所有目的地的访问 不允许地址6所有目的地的访问 不允许地址7—地址n的80访问 允许地址7—所有目的地的访问 默认拒绝所有 地址7 地址8 地址7 地址3 地址7 TCP80 TCP23 地址n TCP80 。。。 。。。 实现访问控制 标准IP访问表 list number permit/deny source address host/any wildcard Log 命名的如何做？ 课堂实验 网络设备中标准访问控制列表的用法 PC1与PC1连接在交换机不同vlan的端口中，在交换机中创建对应的vlan接口和IP地址，在PC中配置默认网关使可互通。 在交换机中配置列表但不添加任何列表项。 将这个列表应用在PC1所连接的端口中，在In和out时分别测试PC1与PC2的连通性，结果如何，怎样解释？ 向列表中添加允许PC1访问PC2的语句，再测试，结果如何，怎样解释？ PC1 PC2 问题和练习 在PC1连接的端口处连接一台交换机，再接一台设备和PC1设置相同的网段地址和默认网关，怎样配置不允许PC1访问PC2而这个网段的其他设备都可