cisoco-网院练习课件_ccnars2chp9acl.pdfVIP

路由交换基础 第9 章：目标 第9 章 9.1 IP ACL 工作原理 9.2 标准 IPv4 ACL 9.3 扩展IPv4 ACLS 9.4 上下文单元：使用ACL 调试 9.5 ACL 故障排除 9.6 上下文单元：IPv6 ACL 9.7 总结 ACL 的用途 ACL 是什么？ ACL 定义了一组规则，用于对进入入站接口的数据包、通过路由器中继的数 据包，以及从路由器出站接口输出的数据包施加额外的控制。 ACL 对路由器 自身产生的数据包不起作用。 ACL 的用途 TCP 会话 ACL 的用途 数据 滤 ▪ 数据 滤有时也称为静态数据 滤，通过分析传入 和传出的数据包并根据给定的条件传递或丢弃数据包， 从而控制网络 ，例如源 IP 地址、目的IP 地址和数 据包内传输的协议。 ▪ 当路由器根据过滤规则转发或 数据包时，它便充当 了一种数据 滤器。 ▪ ACL 是一系列permit 或deny 语句组成的顺序列表，称 为 控制条目(ACE)。 ACL 的用途 数据 滤（续） ACL 的用途 ACL 工作原理 ACL 的最后一条语句都是隐式 语句。每个ACL 的末 尾都会自动 隐含的deny 语句，尽管实际上ACL 中并 不显示该语句。隐含的deny 语句会 所有流量， 由于 具有隐式deny 语句，一条permit 语句也没有的ACL 会 所有流量。 标准与扩展IPv4 ACL Cisco IPv4 ACL 类型 标准ACL 扩展ACL 标准与扩展IPv4 ACL 给ACL 并命名 ACL 的通配符掩码 介绍ACL 通配符掩码 ACL 的通配符掩码 通配符掩码示例：主机/子网 ACL 的通配符掩码 通配符掩码示例：匹配范围 ACL 的通配符掩码 计算通配符掩码 计算通配符掩码颇具 性。一个简便方法是从 55 减去子网掩码。 ACL 的通配符掩码 通配符掩码关键字 ACL 的通配符掩码 示例通配符掩码关键字 ACL 的创建原则 创建ACL 的一般原则 3P 原则 ▪ 每种协议一个ACL - 要控制接口上的流量，必须为接口 上启用的每种协议定义相应的ACL 。 ▪ 每个方向一个ACL - 一个ACL 只能控制接口上一个方向 的流量。要控制入站流量和出站流量，必须分别定义两 个ACL 。 ▪ 每个接口一个ACL - 一个ACL 只能控制一个接口（例如 GigabitEthernet 0/0）上的流量。 ACL 的创建原则 ACL 最佳实践 ACL 的放置原则 放置ACL 的地点 每个ACL 都应该放置在最能发挥作用的位置。基 本的规则是： ▪ 扩展ACL ：使扩展ACL 的位置尽可能靠近要过 滤的流量源。 ▪ 标准ACL ：因为标准ACL 不指定目的地址，所 以其位置应该尽可能靠近目的地。 放置ACL 的位置不同，因此，所使用的ACL 类 型也可能取决于：网络管理员的控制范围、所涉 及网络的带宽以及配置的简易程度。 ACL 的放置原则 标准ACL 放置 ACL 的放置原则 扩展ACL 放置 配置标准IPv4 ACL 输入条件语句 配置标准IPv4 ACL 配置标准ACL 示例ACL ▪ access-list 2 deny host 0 ▪ access-list 2 permit 55 ▪ access-list 2 deny 55 ▪ access-list 2 permit 55 配置标准IPv4 ACL 配置标准ACL （续） 标准ACL 命令的完整语法如下： Router(config)# access-list access-list-number deny permit remark source