第12讲控制路由和路径选择续.pptx

1 School of Computer and Information Engineering 第十二讲 控制路由更新和路径选择（续） 邵雪梅 计算机与信息工程学院 2 School of Computer and Information Engineering 教学内容 复习回顾控制路由更新的方法及应用 访问控制列表 标准访问控制列表 扩展访问控制列表 配置举例 3 School of Computer and Information Engineering 应用背景 学生宿舍周日至周四晚断网。。。。。 分析： 在某段时间内过滤数据流量 基于整个IP地址的数据 能否基于某个具体的应用？ 4 School of Computer and Information Engineering What are ACLs? 访问控制列表是一系列允许或拒绝数据的指令的集合。 A说，请路由器Lab_a帮助我限制数据：1.阻止来自B、E的数据 2.允许来自C、D的数据 请每个源数据包接受检查： 1.来自B、E的数据丢弃 2.来自C、D的数据允许 Lab_A接口检查 5 School of Computer and Information Engineering 访问控制列表ACL作用、分类 ACL具有灵活的数据流过滤和控制能力。例如，网络管理者可能允许用户访问Internet，而不允许外部的用户登录到局域网中。 ACL可以应用在路由器的接口上，也可以运行在路由协议上，更可以运行在Telnet线路上。 分类：一般用号码区别访问列表类型。 6 School of Computer and Information Engineering ACL的分类 标准访问列表：只使用数据包的源地址作为测试条件。所有决定是基于源IP地址的。这意味着标准的访问列表基本上允许或拒绝整个协议组。 扩展访问列表：可以测试IP包的第3层和第4层报头中的字段。包括源IP地址、目的IP地址、网络层报头中的协议字段（如，TCP、UDP、ICMP等）以及位于传输层报头中的端口号。扩展访问列表具有在控制流量时做更细粒度决定的能力。 命名访问列表，从技术上来说实际上只有两种，命名的访问列表可以是标准的或扩展的访问列表，并不是一种真正的新类型列表。 7 School of Computer and Information Engineering 标准列表——基于源地址 A说，请路由器Lab_a帮助我限制数据：1.阻止来自B、E的数据 2.允许来自C、D的数据 请每个源数据包接受检查： 1.来自B、E的数据丢弃 2.来自C、D的数据允许 Lab_A接口检查 8 School of Computer and Information Engineering 扩展列表——基于源地址、目的地址、协议、端口 A说，请路由器Lab_a帮助我限制数据： 1.阻止来自B、E的FTP数据，但允许来自B、E的HTTP数据 2.允许来自C、D的FTP数据，阻止来自C、D的Telnet数据 Lab_A接口检查 扩展访问列表具有在控制流量时做更细粒度决定的能力。 9 School of Computer and Information Engineering ACL的方向——Inbound or Outbound Inbound 进入路由器接口的方向 Outbound 出路由器的出口方向 输入型访问列表：当访问列表被用于检测从接口输入的包时，包在进入路由器之前要经过访问列表的处理。路由器不能路由任何被拒绝的包，因为在路由之前这些包就会被丢弃掉。 输出型访问列表：当访问列表用于检测从接口输出的包时，数据包已经应首先被路由到该输出接口，然后在进入该接口的输出队列之前经过访问列表的处理。即在被发送出去之前被处理。 10 School of Computer and Information Engineering ACL的运行过程 从第一行开始，按顺序比较访问列表的每一行，例如，从第一行开始，然后转到第二行、第三行等等。 比较访问列表的各行直到比较到匹配的一行，一旦数据包与访问列表的某一行匹配，遵照规定行事，不再进行后续比较。 在每个访问列表的最后是一行隐含“deny any”（拒绝所有）语句，意味着如果数据包与访问列表中的所有行都不匹配，将被丢弃。 11 School of Computer and Information Engineering ACL的配置规则 先创建访问列表，然后将列表应用到一个接口。任何应用到一个接口的访问列表如果不是现成的访问列表，那么此列表不会过滤流量。 除非在访问列表未尾有permit any (允许所有)，