35路由器部署acl限制网络访问范围.pptVIP

项 目 刘道刚 主 编 11 部署 ACL 限制网络访问范围 目录 CONTENTS 11.1 用户需求 11.2 知识梳理 11.3 方案设计 11.4 项目实施 11.1 用户需求 3 某学校网络拓扑图如图 11-1 所 示，计算机 PC1 位于办公网络， 计算机 PC2 位于食堂网络，计算 机 PC3 位于学生网络。怎样实现 学生网络中的计算机无法访问办 公网络？ 目录 CONTENTS 11.1 用户需求 11.2 知识梳理 11.3 方案设计 11.4 项目实施 11.2.1 ACL 的概念 5 ACL （ Access Control List ，访问控制列表）是一种路由器配置脚本，它根据从 报头中发现的条件来控制路由器允许还是拒绝报文通过，在控制进出网络的流量方 面非常有用。 11.2.1 ACL 的概念 流量过滤 流量分类 6 允许或拒绝对特定网络服务的访问 11.2.3 ACL 的工作原理 7 入站 ACL 的工作原理 出站 ACL 的工作原理 11.2.4 ACL 的类型 8 标准 ACL 根据源 IP 地址过滤数据包。数据包中包含 的目的地址和端口号无关紧要。 扩展 ACL 根据多种属性（如协议类型、源 IP 地址、 目的 IP 地址、源 TCP 或 UDP 端口号及目的 TCP 或 UDP 端口号）过滤数据包，并可依据协议类型信 息进行更为精确的控制。 11.2.5 通配符掩码 9 通配符掩码是 32 位二进制数字。通配符掩码使用二进制 1 和 0 过滤单个 IP 地址或 一组 IP 地址，用于确定应该为地址匹配多少位 IP 源或目的地址，通配符掩码位 0 表示 精确匹配地址中对应位的值；通配符掩码位 1 表示忽略地址中对应位的值。 11.2.6 通配符掩码关键字 10 11.2.7 ACL 创建原则 要控制接口上的流量，必须为接口上启用的每种协议定 义相应的 ACL 。 一个 ACL 只能控制接口上一个方向的流量，要同时控制 入站流量和出站流量，必须两个方向分别定义 ACL 。 一个 ACL 只能控制一个接口上的流量。 11 11.2.8 标准 ACL 的放置位置 12 ACL 的放置位置决定了是否能有效减少不必要的流量，在适当的位置放置 ACL ， 可以过滤掉不必要的流量，使网络更加高效。因为标准 ACL 不会指定目的地址，所以 其放置位置应该尽可能靠近目的地。 11.2.9 配置命令 13 Router(config)#access-list access-list-number {deny|permit|remark}source [source-wildcard ] [log] Router(config)#ip access-list standard name Router(config-std-nacl)#{deny|permit|remark} source [source-wildcard ][log] Router(config)#interface type number Router (config-if)# ip access-group {access-list-number |name} {in|out} 11.2.9 配置命令 14 Router#show access-lists Router#show ip interface Router#clear access-list counters [access-list-number|name] 11.2.10 ACL 的编辑 15 使用文本编辑器 使用序号 目录 CONTENTS 11.1 用户需求 11.2 知识梳理 11.3 方案设计 11.4 项目实施 11.3 方案设计 17 在如图 11-1 所示的网络拓扑图中，要实现学生 网络中的计算机无法访问办公网络，可以采用标 准 ACL 拒绝来自学生网络中的数据。标准 ACL 依 据数据包的源地址进行控制，配置 ACL 语句时源 地址要用学生网络的网络地址和通配符掩码。标 准 ACL 的放置位置需要尽量靠近目的地，所以， ACL 要在路由器 R1 上创建，在路由器 R1 的 f0/0 接 口上应用。 目录 CONTENTS 11.1 用户需求 11.2 知识梳理 11.3 方案设计 11.4 项目实施 11.4.1 标准编号 ACL 的配置 19 步骤 1 ： 在路由器 R1 的全局配置模式下输入以下代码，配置 RIPv2 。 R1(config)#router rip R1(config-router)#version 2 R1(config-router)#network 192.168.0.0 R1(confi