《路由交换技术》课件 项目12 部署ACL限制网络流量.pptx

《路由交换技术与实践》

工业和信息化“十三五”高职高专人才培养规划教材

项目12

部署ACL限制网络流量

人民邮电出版社

知识梳理

用户需求

方案设计

项目实施

拓展训练

一、用户需求

网络拓扑图如图所示，怎样实现/24网络中的设备无法telnet路由器R2？

二、知识梳理

扩展访问控制列表

扩展访问控制列表（扩展ACL）根据多种属性过滤IP数据包，过滤控制范围更广，可以更加精确地控制流量，可以提升安全性。

扩展ACL可以根据数据包源地址、目的地址、协议类型、源及目的TCP和UDP端口号对数据进行访问控制。

扩展ACL的编号在100到199以及2000到2699之间。

二、知识梳理

端口号

端口号是TCP和UDP中标识应用程序的唯一报头字段的标识符。

公认端口

公认端口（端口号：0到1023）用于特定的服务器应用程序。

已注册端口

已注册端口（端口号：1024到49151）将分配给用户进程或应用程序。

动态或私有端口

动态或私有端口（端口号：49152到65535）也称为临时端口，动态端口往往在开始连接时被动态分配给客户端应用程序。

二、知识梳理

端口号

公认端口

TCP/UDP端口

端口号

服务和应用程序

TCP端口

21

FTP

TCP端口

23

telnet

TCP端口

25

SMTP

TCP端口

80

HTTP

TCP端口

143

IMAP

TCP端口

194

Internet中继聊天（RIC）

TCP端口

443

HTTPs

UDP端口

69

TFTP

UDP端口

520

RIP

TCP/UDP端口

53

DNS

TCP/UDP端口

161

SNMP

TCP/UDP端口

531

AOLInstant

Messenger，IRC

二、知识梳理

扩展ACL的放置位置

扩展ACL应尽可能靠近控制流量的源，这样才能在不需要的流量流经网络之前将其过滤掉。

基于时间的ACL

基于时间的ACL允许根据时间执行访问控制。要使用基于时间的ACL，需要创建一时间范围，指定一周和一天内的时段；可以为时间范围命名，然后对相应功能应用此范围。时间限制会应用到该功能本身。

二、知识梳理

配置命令

配置扩展编号ACL

Router(config)#access-listaccess-list-number{deny|permit|remark}protocolsource[source-wildcard][operatoroperand][portport-numberorname]destination[destination-wildcard][operatoroperand][portport-numberorname][established]

access-list-number：ACL的编号,使用100至199或2000至2699之间的数字标识扩展ACL。

deny：匹配条件时拒绝访问。

permit：匹配条件时允许访问。

remark：在IPACL中添加备注，增强列表的可读性。

protocol：协议的名称或编号，常见的关键字包括icmp、ip、tcp或udp。若要匹配所有internet协议，须使用ip关键字。

source：发送数据包（数据包的源）的网络地址或主机地址。

source-wildcard：可选参数，对应源应用的通配符掩码。

destination：数据包发往的目的网络地址或主机地址。

destination-wildcard：对应目的地应用的通配符掩码。

operator：可选参数，对比源或目的端口，可用的操作符包括lt（小于）、gt（大于）、eq（等于）、neq（不等于）和range（范围）。

port：可选参数，TCP或UDP端口的十进制编号或名称。

established：可选参数，仅用于TCP，指示已建立的连接。

二、知识梳理

配置命令

配置扩展命名ACL

Router(config)#ipaccess-listextendedname

Router(config-std-nacl)#{deny|permit|remark}protocolsource[source-w