电子教案访问控制列表的配置.pptVIP

电子教案访问控制列表的配置第1页，共36页，星期日，2025年，2月5日第9章访问控制列表的配置

学习目的与要求：互联网的开放性决定了网络上的数据可以任意流动，但有时候需要对数据进行控制。通过设置访问控制列表来控制和过滤通过路由器的信息流是的一种方法。本章主要讲述使用标准访问控制列表和扩展访问控制列表控制网络流量的方法，同时提供了标准访问控制列表和扩展访问控制列表以及在路由接口应用ACL的例子。完成本章的学习，你将能够：描述访问控制列表的分类及其工作过程会根据应用需求配置各种访问控制列表第2页，共36页，星期日，2025年，2月5日第9章访问控制列表的配置9.1访问控制列表9.2配置标准访问控制列表9.3配置扩展访问控制列表9.4命名的访问列表本章小结本章习题本章实训第3页，共36页，星期日，2025年，2月5日9.1访问控制列表访问控制列表简称ACL(AccessControlLists)，配置路由器的访问控制列表是网络管理员一件经常性的工作。本节介绍ACL的概念、功能及其工作原理。第4页，共36页，星期日，2025年，2月5日9.1.1ACL概述访问控制列表(ACL)使用包过滤技术，在路由器上读取第3层或第4层包头中的信息，如源地址、目的地址、源端口、目的端口以及上层协议等，根据预先定义的规则决定哪些数据包可以接收、哪些数据包需要拒绝，从而达到访问控制的目的。第5页，共36页，星期日，2025年，2月5日ACL的功能检查和过滤数据包。ACL通过将访问控制列表应用到路由器接口来管理流量和检查特定的数据包。任何经过该接口的流量都要接受ACL中规则的检测，以此决定被路由的分组是被转发还是被丢掉，从而过滤网络流量。例如，可以允许E-mail流量被路由，但同时阻塞所有Telnet流量。限制网络流量，提高网络性能。ACL能够按照优先级或用户队列处理数据包。通过排队确保路由器不去处理那些不需要的分组。排队限制了网络流量，减少了网络拥塞。限制或减少路由更新的内容。ACL能够限定或简化路由器选择更新的内容，这些限定常用于限定关于特定网络的信息通过网络传播。提供网络访问的基本安全级别。通过在路由器上配置ACL，可以允许一个主机访问网络的一部分，而阻止其他主机访问相同的区域。第6页，共36页，星期日，2025年，2月5日配置ACL的原则顺序处理原则。对ACL表项的检查是按照自上而下的顺序进行的，从第一行起，直到找到第一个符合条件的行为止，其余的行不再继续比较。因此必须考虑在访问控制列表中放入语句的次序，比如测试性的语句最好放在ACL的最顶部。最小特权原则。对ACL表项的设置应只给受控对象完成任务所必须的最小的权限。如果没有ACL，则等于permitany。一旦添加了ACL，默认在每个ACL中最后一行为隐含的拒绝(denyany)。如果之前没找到一条许可(permit)语句，意味着包将被丢弃。所以每个ACL必须至少有一行permit语句，除非用户想将所有数据包丢弃。最靠近受控对象原则。尽量考虑将扩展的ACL放在靠近源地址的位置上。这样创建的过滤器就不会反过来影响其他接口上的数据流。另外，尽量使标准的ACL靠近目的地址，由于标准ACL只使用源地址，如果将其靠近源会阻止报文流向其他端口。第7页，共36页，星期日，2025年，2月5日9.1.2ACL的工作原理图9-2ACL匹配性检查第8页，共36页，星期日，2025年，2月5日9.2配置标准访问控制列表最广泛使用的访问控制列表是IP访问控制列表，IP访问控制列表工作于TCP/IP协议组。按照访问控制列表检查IP数据包参数的不同，可以将其分成标准ACL和扩展ACL两种类型。此外CiscoIOS11.2版本中还引入了IP命名ACL类型。从本节开始分别介绍各种ACL的配置方法。第9页，共36页，星期日，2025年，2月5日9.2.1标准ACL的工作过程图9-3标准ACL的工作过程第10页，共36页，星期日，2025年，2月5日9.2.2配置标准ACL1.定义标准ACLRouter(config)#access-listaccess-list-number{deny|permit}source[source-wildcard][log]其中的参数见表9.12．将标准ACL应用到某一接口上Router(config-if)#