项目三任务六 配置IP标准访问列表控制网络流量.pptxVIP

任务描述公司的经理部、财务部门和销售部门分属不同的三个网段，三部门之间用路由器进行信息传递，为了安全起见，公司领导要求销售部门不能对财务部门进行访问，但经理部可以对财务部门进行访问，请你给予支持。知识链接1．访问列表概述访问控制列表（AccessControlLists，ACL）是应用在路由器、三层交换机接口上的指令列表。这些指令列表告诉路由器、三层交换机哪些数据包可以接收、哪能数据包需要拒绝。安全控制。允许一些符合匹配规则的数据包通过访问的同时而拒绝另一部分不符合匹配规则的数据包。任务六配置IP标准访问列表控制网络流量00000服务器

流量控制。任务六配置IP标准访问列表控制网络流量WWWEmailBTWWWEmail数据流量标识。000Internet线路VPN线路

2．ACL工作原理及规则ACL语句有两个组件：一是条件，一是操作。条件用于匹配数据包的内容，当为条件找到匹配时，则会采取一个操作，允许或拒绝。任务六配置IP标准访问列表控制网络流量入站ACL流程图

任务六配置IP标准访问列表控制网络流量出站ACL流程图

任务六配置IP标准访问列表控制网络流量ACL建立原则：ACL语句按名称或编号分组；每条ACL语句都只有一个组条件和操作，如果需要多个条件或多个操作，则必须定义多个ACL语句；如果一条语句的条件中没有找到匹配，则去匹配列表中的下一条语句；如果在ACL组的一条语句中找到匹配，则不再匹配后面的语句；如果处理了列表中的所有语句而没有匹配到任何语句，将根据不可见到的隐式拒绝语句拒绝该数据包；由于在ACL语句组的最后隐式拒绝，所以至少要有一个允许操作，否则所有语句都会被拒绝；语句的顺序很重要，约束性最强的语句应该放在列表的顶部，约束性最弱的语句应该放在列表的底部；只能在每个端口、每个协议、每个方向上应用一个ACL，即三”P”原则；在数据包被路由到其他端口之前，处理入站ACL；在数据包被路由到其他端口之后，在数据包离开出站端口之前，处理出站ACL；当ACL应用到一个端口时，可以控制通过端口的数据流，但ACL不会过滤路由器本身产生的流量。

任务六配置IP标准访问列表控制网络流量3．访问列表种类ACL分成两种基本类型：标准ACL和扩展ACL。标准IPACL只能过滤IP数据包头中的源IP地址，而扩展IPACL可以过滤源IP地址、目的IP地址、协议、协议信息（端口号、标志代码）等。4．配置IP标准ACL的方法1）配置编号的标准ACL命令功能说明Router(config)#access-listlistnumber{permit|deny}address[wildcard-mask]Listnumber：是规则序号，标准ACL取值为1-99或1300-1999。Permit和deny：表示匹配条件的报文是通过还是阻止。address：数据包的源IP地址，也可以配合通配符屏蔽码（wildcard）表示一组源IP地址。Wildcard：通配符屏蔽码，与子网掩码相反，所以也称反掩码。Router(config-if)#ipaccess-groupid{in|out}id：ACL的编号in：数据从路由器端口进入out：数据经路由器端口出去Router(config)#linetypelineRouter(config-if)#access-classid{in|out}限制到路由器的telnet或SSH链接

任务六配置IP标准访问列表控制网络流量2）配置命名的标准ACL命令功能说明Router(config)#ipaccess-liststandardnamename：自定义的ACL名称。Router(config-std-nacl)#{permit|deny}address[wildcard-mask]Permit和deny：表示匹配条件的报文是通过还是阻止。address：数据包的源IP地址，也可以配合通配符屏蔽码（wildcard）表示一组源IP地址。Wildcard：通配符屏蔽码，与子网掩码相反，所以也称反掩码。Router(config-if)#ipaccess-groupname{in|out}id：ACL的名称in：数据从路由器端口进入out：数据经路由器端口出去

任务实施1．任务拓扑图及要求说明此任务拓扑如图所示，在图中PC1、PC2、PC3使用网线分别连接到路由器的F0/0、F1/0、F0/0口，路由器之间用串口线相连，然后使用windows下“超级终端”程序登录路由器，