TCPIP路由交换技术（第二版）课件 项目9.1 了解访问控制列表的应用规则.pptx

项目9利用访问控制列表管理网络的数据流授课教师：肖杨吉林交通职业技术学院

学习目标了解ACL的概念及其作用掌握ACL分类、特点和应用要求学会标准ACL和扩展ACL的配置

思维导图

了解访问控制列表的应用规则01掌握ACL的配置02利用ACL管理网络的数据流03CONTENTS目录

学习任务9.1了解访问控制列表的应用规则

9.1.1访问控制列表（ACL）概述

ACL的定义172.16.0.0172.17.0.0InternetACL（访问控制列表）定义：当网络流量不断增长的时候，对数据流进行管理和限制的方法作为通用判别标准应用到不同场合

ACL的使用场合哪些场合需要使用ACL？允许或禁止对路由器或来自路由器的telnet访问QOS与队列技术策略路由数据速率限制路由策略端口流镜像NAT……

ACL的分类（1）数据包出接口数据包入接口ACL处理过程允许?源地址、目的地址协议标准ACL仅以源IP地址作为过滤标准只能粗略的限制某一大类协议扩展ACL以源IP地址、目的IP地址、TCP/UDP源端口号、TCP/UDP目的端口号、ICMP类型、ICMPCode、DSCP（DiffServCodePoint）、ToS、Precedence作为过滤标准，可以精确的限制到某一种具体的协议

ACL的分类（2）数据包出接口数据包入接口ACL处理过程允许?源地址、目的地址协议二层ACL源MAC地址、目的MAC地址、源VLANID、二层以太网协议类型、802.1p优先级值进行匹配。混合ACL对源MAC地址、目的MAC地址、源VLANID、源IP地址、目的IP地址、TCP源端口号、TCP目的端口号、UDP源端口号、UDP目的端口号进行匹配。

标准ACL和扩展ACL的对比标准ACL扩展ACL基于源地址过滤基于源、目的地址过滤允许/拒绝整个TCP/IP协议族指定特定的IP协议和协议号范围从1到99范围从100到199

9.1.2ACL规则

ACL的工作流程ACL应用在出接口

ACL的工作流程ACL应用在入接口

ACL内部匹配规则

ACL的判别标准

9.1.3ACL的应用

ACL的应用对于标准ACL，由于它只能过滤源IP，为了不影响源主机的通信，一般我们将标准ACL放在离目的端比较近的地方；扩展ACL可以精确的定位某一类的数据流，为了不让无用的流量占据网络带宽，一般我们将扩展ACL放在离源端比较近的地方。

ACL配置规则1.ACL语句执行顺序2.隐含的拒绝所有的条目3.ACL可应用于IP接口或某种服务4.ACL配置顺序5.ACL的应用6.ACL的方向

反掩码（通配符的作用）0代表对应位必须与前面的地址相应位一致1代表对应位可以是任意值donotcheckaddress

(ignorebitsinoctet)=0011111112864321684210000111111111111ignorelast6addressbitscheckalladdressbits(matchall)ignorelast4addressbitschecklast2addressbitsExamples

匹配特定主机地址172.30.16.29

0.0.0.0(匹配所有32位)Wildcardmask:匹配条件:匹配所有32位地址----主机地址

匹配任意地址0.0.0.0255.255.255.255意为接受所有地址可简写为any0.0.0.0 255.255.255.255(忽略所有位的比较)AnyIPaddress通配符:匹配条件:匹配任意地址（任意地址都被认为符合条件）

匹配特定子网指定特定地址范围172.30.16.0/24到172.30.31.0/24172.30.16.0

配符: 00001111 |-------匹配-------|-----忽略-----| 00010000 = 16 00010001 = 17 0001001