Cisco课件第6课

《Cisco课件第6课》由会员分享，可在线阅读，更多相关《Cisco课件第6课（25页珍藏版）》请在装配图网上搜索。

1、,*,,,,,,,,,,单击此处编辑母版标题样式,,单击此处编辑母版文本样式,,第二级,,第三级,,第四级,,第五级,,*,第6课 访问控制列表,1,教学目标,,Access Control List,,访问列表（ACL）的作用,,访问列表的分类,,标准访问列表的应用及配置,,扩展访问列表的应用及配置,,应用ACL控制和管理通信流量,,2,,1.1访问列表的概念,1.访问列表的定义,,是一系列运用网络地址或者上层协议上的允许或拒绝指令的集合,,这些指令将运用到网络地址或者上层协议上,,这些指令告诉路由器接受哪些数据报而拒绝哪些数据报。,,ACL使得用户能够管理数据流，检测特定的数据报。,,接

2、受或者拒绝根据一定的规则进行，如源地址，目标地址，端口号等。,,路由器将根据ACL中指定的条件，对经过路由器端口的数据报进行检查。,,ACL可以基于所有的Routed Protocols，如IP，IPX，对经过路由器的数据报进行过滤。,3,,访问列表应用图例,4,,1.2访问控制列表的作用,ACL具有灵活的基本数据流过滤能力和特定的控制能力。,,访问列表可以控制非法的网络访问，允许正常的网络访问,,路由器提供了基本的数据流过滤能力,,如使用访问控制列表（ACL），可以有条件地阻止Internet数据流。,,在路由器接口处，决定哪种类型的通信流量被转发、哪种类型的通信流量被阻塞,,5,,ACL需

3、求,限制网络数据流，增加网络性能。,,列队管理,,,根据不同的协议，ACL可以指定路由器优先处理哪些数据报,,,路由器可以不处理不需要的数据报,,,队列管理限制了网络数据流，减少了网络拥塞,,提供数据流控制。,,ACL可以限定或者减少路由更新的内容。,,为网络访问提供基本的安全层。,,ACL可以允许某个主机访问网络的某一部分，而阻止另一台主机访问网络的这个部分。,,决定转发或者阻止哪些类型的数据流。,,可以允许路由e_mail数据流，而阻止telnet数据流,6,,1.3 ACL定义的原则,ACL在路由器的端口过滤网络数据流，决定是否转发或者阻止数据报。,,ACL应该根据路由器的端口所允

4、许的每个协议来制定。如果需要控制流经某个端口的所有数据流，就需要为该端口允许的每一个协议分别创建ACL。,,例如，如果端口配置成允许IP,Appletalk和IPX协议的数据流，那么就需要创建至少三个ACL。,,ACL可以用作控制和过滤流经路由器端口的数据报的工具,7,,1.4 ACL指令的配置原则,ACL中的指令以按顺序执行的,,先满足条件则之后的指令不执行,,配置ACL指令时，要先配置最严格的条件、之后较松的条件,,对于某些协议，可以创建多个ACL：,,一个用于过滤进入端口的数据流inbound，,,一个用于过滤流出端口的数据流outbound,8,,2.1ACL指令,一个ACL就是一组指

5、令，规定数据报如何：,,进入路由器的某个端口,,在路由器内的转送,,离开路由器的某个端口,,ACL允许控制哪些客户端可以访问的网络。在ACL中的条件可以是：,,筛选某些主机允许或者禁止访问的部分网络,,允许或者禁止用户访问某一类协议，如等。,,9,,2.2ACL的工作流程,无论是否使用ACL，开始的通信过程是相同的。,,当一个数据报进入一个端口，路由器检查这个数据报是否可路由。,,如果是可以路由的，路由器检查这个端口是否有ACL控制进入数据报。,,如果有，根据ACL中的条件指令，检查这个数据报。,,如果数据报是被允许的，就查询路由表，决定数据报的目标端口。,,路由器检查目标端口是否存在ACL控

6、制流出的数据报,,不存在，这个数据报就直接发送到目标端口。,,如果存在，就再根据ACL进行取舍。,,10,,ACL的工作流程,11,,ACL条件顺序,Cisco IOS按照各描述语句在ACL中的顺序，根据各描述语句的判断条件，对数据包进行检查。一旦找到了某一匹配条件，就结束比较过程，不再检查以后的其他条件判断语句。,12,,ACL分类,标准ACL,,检查源地址,,允许或拒绝整个协议族,,标准,ACL,（数字,1,到,99,），可以提供数据流过滤控制。它是基于源地址和通配掩码。标准,ACL,可以允许或禁止整套,IP,协议。,,Outgoing,,Packet,fa0/0,S0/0,Incomin

7、g,,Packet,Access List Processes,Permit?,Source,,13,,3.1 ACL分类,扩展ACL,,检查源和目的地址,,通常允许或拒绝特定的协议,,为了更加精确的数据流过滤，需要扩展,ACL,。扩展,ACL,检查源地址和目标地址，以及,TCP,或,UDP,端口号。还可以指定扩展,ACL,针对特定的协议的进行操作。,,扩展,ACL,使用的数字范围是：,100-199,。,,Outgoing,,Packet,Fa0/0,s0/0,Incoming,,Packet,Access List Processes,Permit?,Source,,and Destin

8、ation,Protocol,14,,用扩展ACL检查数据包,15,,常见端口号,16,,ACL表号,协议（,Protocol,）,ACL表号的取值范围（,ACL Range,）,IP（Internet协议）,1-99,Extended IP(扩展Internet协议),100-199,AppleTalk,600-699,IPX（互联网数据包交换）,800-899,Extended IPX(扩展互联网数据包交换),900-999,IPX service Advertising Protocol(IPX服务通告协议),1000-1099,17,,通配符掩码,1.是一个32比特位的数字字符串,,2

9、.0表示“检查相应的位”,1表示“不检查（忽略）相应的位”,,18,,特殊的通配符掩码,1. Any,,0.0.0.0 255.255.255.255,,,2. Host 172.30.16.29 0.0.0.0,,Host 172.30.16.29,,19,,ACL的配置,创建一个ACL访问控制,,Router(,config,)# access-list access_list_number {permit|deny} {test_conditions},,将访问控制绑定到接口上,,Router(,config-if,)# {protocol} access-group access_l

10、ist_number {in|out},,关闭访问控制列表,,Router(,config,)# no access-list access_list_number,20,,创建标准ACL,Router(config)# access-list,access-list-number,{deny | permit},source,[source-wildcard ] [log],,例如：access-list 1 permit 172.16.0.0 0.0.255.255,,删除访问列表,,Router(config)# no access-list access-list-number,,例

11、如：no access-list 1,,21,,实例分析,实例1：E0和E1端口只允许来自于网络172.16.0.0的数据报被转发，其余的将被阻止。,,实例2：E0端口不允许来自于特定地址172.16.4.13的数据流，其它的数据流将被转发。,,实例3：E0端口不允许来自于特定子网172.16.4.0的数据，而转发其它的数据。,,172.16.3.0,172.16.4.0,172.16.4.13,E0,S0,E1,Non-,,172.16.0.0,22,,实例1的禁止一个协议簇,第一个ACL命令用“permit”允许来自于此指定网络的数据流，通配掩码0.0.255.255表明要检查匹配IP地址

12、中的网络位（前16位）。,,最后将ACL关联到端口E0和E1。,,,access-list 1 permit 172.16.0.0 0.0.255.255,,(implicit deny all - not visible in the list),,(access-list 1 deny 0.0.0.0 255.255.255.255),,interface ethernet 0,,ip access-group 1 out,,interface ethernet 1,,ip access-group 1 out,23,,实例2：禁止来自特定地址的数据,第一个ACL命令用“deny”禁

13、止来自于此指定主机的数据流，通配掩码0.0.0.0表明要检查匹配地址中的所有的位。,,第二个ACL命令中，“0.0.0.0 255.255.255.255”IP地址和通配掩码组合，表示允许来自于任何源的数据流。这个组合，也可以用关键字“any”替代。,,最后将ACL关联到端口E0。,,access-list 1 deny 172.16.4.13 0.0.0.0,,access-list 1 permit 0.0.0.0 255.255.255.255,,(implicit deny all),,(access-list 1 deny 0.0.0.0 255.255.255.255),,,interface ethernet 0,,ip access-group 1 out,,24,,小结,访问控制列表的作用,,访问控制列表的定义,,访问列表的分类,,访问列表的工作流程,,标准访问列表的定义访法,,25,,