实用网络技术第四章.ppt

访问控制列表ACL 访问控制列表的概念 访问控制列表（Access Control List，ACL） 是路由器和交换机接口的指令列表，用来控制端口进出的数据包。 访问控制列表的作用 ACL可以限制网络流量、提高网络性能。例如，ACL可以根据数据包的协议，指定数据包的优先级。 ACL提供对通信流量的控制手段。例如，ACL可以限定或简化路由更新信息的长度，从而限制通过路由器某一网段的通信流量。 ACL是提供网络安全访问的基本手段。ACL允许主机A访问人力资源网络，而拒绝主机B访问。 ACL可以在路由器端口处决定哪种类型的通信流量被转发或被阻塞。例如，用户可以允许E-mail通信流量被路由，拒绝所有的Telnet通信流量。  ACL的执行过程 访问控制列表中的规则: 允许 拒绝 一个端口执行哪条ACL，这需要按照列表中的条件语句执行顺序来判断。如果一个数据包的报头跟表中某个条件判断语句相匹配，那么后面的语句就将被忽略，不再进行检查。 数据包只有在跟第一个判断条件不匹配时，它才被交给ACL中的下一个条件判断语句进行比较。如果匹配（假设为允许发送），则不管是第一条还是最后一条语句，数据都会立即发送到目的接口。如果所有的ACL判断语句都检测完毕，仍没有匹配的语句出口，则该数据包将视为被拒绝而被丢弃。这里要注意，ACL不能对本路由器产生的数据包进行控制。 ACL分类 标准访问控制列表 扩展访问控制列表 标准访问控制列表的配置 准备工作 构建网络,配置各计算机的IP地址及默认网关; R1 Router(config)#int f0/0 Router(config-if)#ip add 10.0.0.1 255.255.255.0 Router(config-if)#no sh Router(config)#int s0/2/0 Router(config-if)#ip add 12.0.0.1 255.255.255.0 Router(config-if)#no sh R2 Router(config)#int s0/2/0 Router(config-if)#clock rate 64000 Router(config-if)#ip add 12.0.0.2 255.255.255.0 Router(config-if)#no sh Router(config)#ip route 10.0.0.0 255.255.255.0 s0/2/0 标准访问控制列表的配置 访问控制列表的定义 Router(config)#access-list 1 deny 10.0.0.11 0.0.0.0 Router(config)#access-list 1 deny 10.0.0.12 0.0.0.0 Router(config)#access-list 1 permit 10.0.0.131 0.0.0.0 Router(config)#access-list 1 permit 10.0.0.132 0.0.0.0 访问控制列表的使用 Router(config)#int S0/2/0 Router(config-if)#ip access-group 1 out 验证实验 PC1:Ping 12.0.0.2 (不通) PC2:Ping 12.0.0.2 (不通) PC3:Ping 12.0.0.2 (通) PC4:Ping 12.0.0.2 (通) 改进 访问控制列表的定义 Router(config)#access-list 1 deny 10.0.0.0 0.0.0.127 Router(config)#access-list 1 permit 10.0.0.128 0.0.0.127 Router(config)#int S0/2/0 Router(config-if)#ip access-group 1 out 说明: 对于访问控制列表中末声明的IP,采取默认策略(deny any),即不转发数据.如果希望末声明的IP可以访问外网,则可在访问控制列表末加入这样一条语句: Router(config)#access-list 1 permit any 访问控制列表的执行顺序是由下到下依次执行. 扩展访问控制列表 标准的访问控制列表的局限性 标准ACL只能定义哪些主机能访问外网,哪些主机不能访问外网. 扩展的访问控制列表的作用 除了能够定义哪些主机能访问外网,哪些主机不能访问外网外,还能够定义哪些主机能够访问哪些网页,不能访问哪些网页;哪些主机能够访问哪能些主机的哪些端口,不能访问哪些端口. 扩展访问控制列表的配置 准备工作 构建网络,配置各计算机的IP地址及默认网关;