思科之acl访问控制协议.pptVIP

访问控制列表

（ACL）主要内容一、ACL的基本原理二、ACL的应用一、ACL的基本原理什么是ACLACL是如何工作的验证ACL创建ACL通配符掩码的作用ACL是应用在路由器端口上的一个列表，用于告诉路由器允许或禁止哪些流量通过。1ACL是一个连续的允许和拒绝语句的集合，关系到地址和上层协议。2ACL是应用在路由器接口的指令列表，这些指令告诉路由器哪些分组需要拒绝，哪些分组可以接收。拒绝和接收基于一定的条件。3任何经过应用了ACL的接口的流量都要接受ACL中条件的检测。4ACL适用于所有的路由协议。5路由器基于ACL中指定的条件来决定转发还是丢弃分组。6ACL不能对本路由器产生的数据包进行控制。ACL是一组语句，定义了分组的下列行为：进入入站路由器接口通过路由器转发流出出站路由器接口ACL语句按照逻辑次序顺序执行。如果与某个条件语句相匹配，则不再检查剩下的语句；如果都不匹配，则强加一条拒绝全部流量的暗含语句。（缺省情况下拒绝所有的流量）ACL语句能够实现：筛选出某些主机，允许或者拒绝它们访问你的网络的某一部分；0102允许或拒绝用户访问某种类型的应用，例如FTP或HTTP等。3、创建ACL01在全局配置模式下创建ACL02标准ACL（ACL号码在1—99之间）03扩展ACL（ACL号码在100—199之间）04把ACL应用到某一个接口（出站接口或者入站接口）4、通配符掩码的作用通配符掩码是一个32比特的数字字符串，用点号分成4个8位组，每个8位组包含8个比特。在通配符掩码位中，0表示检查相应的位，1表示忽略相应的位。通配符掩码跟IP地址是成对出现的。在通配符掩码的地址位使用1或0表明如何处理相应的IP地址位。ACl通配符掩码跟IP子网掩码的工作原理不同。通配符any加入在ACL中允许访问任何目的地址时，使用通配符掩码表示为：简便地，可以使用通配符any替代，例如：access-list1permitany通配符hostA在ACL中想要与整个IP主机地址的所有位相匹配时，使用通配符掩码表示为：B简便地，可以使用通配符host替代，例如：5、验证ACLshowipinterface查看端口是否应用了acl01showaccess-lists查看路由器的所有acl02showrunning-config查看所有的运行配置信息，包括acl的配置。03使用如下命令验证：二、ACL的应用ACL表号标准ACL扩展ACL命名ACLACL的放置防火墙用ACL限制telnet访问Cisco的IOS为不同的协议分配了ACL表号，见下表：2、标准ACL标准ACL检查可以被路由的IP分组的源地址并且把它与ACL中的条件判断语句相比较。如果匹配，则执行允许（permit）或拒绝（deny）的操作。标准ACL可以基于网络、子网或主机IP地址允许或拒绝整个协议组（如IP）。标准ACL在全局配置模式下使用命令access-list来定义，并分配1-99之间的一个数字编号。将定义好的ACL应用到接口定义ACLin和out参数可以控制接口中不同方向的数据包，如果不配置该参数，缺省为out。标准ACL举例定义ACL：01应用到接口：02ipaccess-group1in03ipaccess-group1out04我们采用如图所示的网络结构。路由器连接了二个网段，分别为。在网段中有一台服务器提供WWW服务，IP地址为。配置任务：禁止网段中除这台计算机访问的计算机。可以正常访问。路由器配置命令access-list1permithost3???设置ACL，容许的数据包通过。access-list1denyany???设置ACL，阻止其他一切IP地址进行通讯传输。inte1???进入E1端口。ipaccess-group1in???将ACL1宣告。经过设置后E1端口就只容许来自这个IP地址的数据包传输出去了。来自其他IP地址的数据包都无法通过E1传输。另外在路由器连接网络不多的情况下也可以在E0端口使用ipaccess-group1out命令来宣告，宣告结果和上面最后两句命令效果一样。3、扩展ACL扩展ACL提供更大的灵活性和控制范围，它既可以检查分组的源地址和目的地址，也可以检查协议类型和TCP或UDP的端口号。标准ACL只能允许或者拒绝整个协议集，但扩展ACL可以允许或拒绝协议集中的某些协议，例如允许http而拒绝ftp。扩展ACL编号使用100-199。ac