交换机与路由器的配置管理 课件 第9章访问控制技术.pptx

访问控制技术——第9章访问控制技术

第九章概述9.1访问控制列表简介访问控制技术

第九章概述(续)9.2配置号码式访问控制列表限制计算机访问访问控制技术

第九章概述(续)9.3配置命名式访问控制列表限制计算机访问访问控制技术

第九章概述(续)9.4访问控制列表实训9.4.1标准访问控制列表实训9.4.2基于VTY的访问控制实训9.4.3扩展访问控制列表实训访问控制技术

9.1访问控制列表简介访问控制技术访问控制技术

9.1访问控制列表简介访问控制列表是CiscoIOS所提供的一种访问控制技术，主要应用在路由器和三层交换机上，在其他厂商的路由器或多层交换机上也提供类似的技术，不过名称和配置方式都可能有细微的差别。ACL是应用到路由器接口的一组指令列表，路由器根据这些指令列表来决定是接收数据包还是拒绝数据包。ACL使用包过滤技术，在路由器上读取第三层及第四层包头中的信息，如源地址、目的地址、源端口、目的端口等，根据预先定义好的规则对数据包进行过滤，从而达到访问控制的目的。看一个简单的ACL配置：如右图所示：访问控制技术

9.1访问控制列表简介这几条命令定义了一个访问控制列表（列表号为1）并且把这个列表所定义的规则应用于vlan1接口出去的方向。这几条命令中的相应关键字的意义如下：（1）access-list：配置ACL的关键字，所有的ACL均使用这个命令进行配置。（2）access-list后面的1：ACL表号，ACL号相同的所有ACL形成一个列表。（3）permit/deny：操作。permit是允许数据包通过；deny是拒绝数据包通过。（4）host/any：匹配条件。host等同于，意思是只匹配地址为的数据包。是通配符掩码，某位的通配符掩码为0表示IP地址的对应位必须精确匹配；为1表示IP地址的对应位不管是什么都行。any表示匹配所有地址。（5）interfacevlan1和ipaccess-group1out：这两句将access-list1应用到vlan1接口的out方向。ipaccess-group1out中的1是ACL表号，和相应的ACL进行关联。out是对路由器该接口上出口方向的数据包进行过滤，可以有in和out两种选择。ACL是使用包过滤技术来实现的，过滤的依据仅仅只是第三层和第四层包头中的部分信息，这种技术具有一些固有的局限性，如无法识别到具体的人，无法识别到应用内部的权限级别等。因此，要达到endtoend的权限控制目的，还需要和系统级以及应用级的访问权限控制结合使用。访问控制技术

9.1访问控制列表简介1.访问控制列表的分类访问控制列表主要使用的有两类：号码式访问控制列表和命名式访问控制列表。两者都有标准访问控制列表和扩展访问控制列表之分，见表9-1。标准访问控制列表利用源IP地址来做过滤，配置简单，但应用场合有限，不能够进行复杂条件的过滤。而扩展访问控制列表则可以利用多个条件来做过滤，包括源IP地址、目标IP地址、网络层的协议字段和传输层的端口号。标准号码式访问控制列表的表号范围为1~99，而扩展号码式访问控制列表的表号范围为100~199。访问控制技术

9.1访问控制列表简介2.访问控制列表设置规则设置访问控制列表，一方面是保护资源节点，阻止非法用户对资源节点的访问；另一方面是为了限制特定用户的访问权限。访问控制列表的设置规则如下：（1）每个接口、每个方向、每种协议只能设置一个ACL。（2）组织好ACL顺序，测试性最好放在ACL的最顶部。（3）在ACL里至少要有一条permit语句，除非要拒绝所有的数据包。（4）要把所创建的ACL应用到需要过滤的接口上。（5）尽可能把标准ACL放置在离目标地址近的接口上，而把扩展ACL放置在离源地址近的接口上。（6）号码式ACL一旦建立好，就不能去除列表中的某一条。去除一条就意味着去除了整个控制列表。（7）ACL按顺序比较，先比较第一条，再比较第二条，直到最后一条。（8）从第一条开始比较，直到找到符合条件的那条，符合以后就不再继续比较。（9）每个列表的最后隐含了一条拒绝（deny）语句，如果在列表中没有找到一条允许（permit）语句，数据包将被拒绝。访问控制技术

9.1访问控制列表简介3.访问控制列表中的协议扩展访问控制列表涉及协议和端口，那么TCP/IP协议栈中有哪些协议？它们之间的关系是怎样的？在TCP/IP参考模型中，计算机网络被分为四层，每层都有自己的一些协议，而每层的协议又形成一种从上至