Cisco课件第6课.ppt

第6课 访问控制列表 教学目标 Access Control List 访问列表（ACL）的作用 访问列表的分类 标准访问列表的应用及配置 扩展访问列表的应用及配置 应用ACL控制和管理通信流量 1.1访问列表的概念 1.访问列表的定义 是一系列运用网络地址或者上层协议上的允许或拒绝指令的集合 这些指令将运用到网络地址或者上层协议上 这些指令告诉路由器接受哪些数据报而拒绝哪些数据报。 ACL使得用户能够管理数据流，检测特定的数据报。 接受或者拒绝根据一定的规则进行，如源地址，目标地址，端口号等。 路由器将根据ACL中指定的条件，对经过路由器端口的数据报进行检查。 ACL可以基于所有的Routed Protocols，如IP，IPX，对经过路由器的数据报进行过滤。 访问列表应用图例 1.2访问控制列表的作用 ACL具有灵活的基本数据流过滤能力和特定的控制能力。 访问列表可以控制非法的网络访问，允许正常的网络访问 路由器提供了基本的数据流过滤能力 如使用访问控制列表（ACL），可以有条件地阻止Internet数据流。 在路由器接口处，决定哪种类型的通信流量被转发、哪种类型的通信流量被阻塞 ACL需求 限制网络数据流，增加网络性能。 列队管理 ?根据不同的协议，ACL可以指定路由器优先处理哪些数据报 ?路由器可以不处理不需要的数据报 ?队列管理限制了网络数据流，减少了网络拥塞 提供数据流控制。 ACL可以限定或者减少路由更新的内容。 为网络访问提供基本的安全层。 ACL可以允许某个主机访问网络的某一部分，而阻止另一台主机访问网络的这个部分。 决定转发或者阻止哪些类型的数据流。 可以允许路由e_mail数据流，而阻止telnet数据流 1.3 ACL定义的原则 ACL在路由器的端口过滤网络数据流，决定是否转发或者阻止数据报。 ACL应该根据路由器的端口所允许的每个协议来制定。如果需要控制流经某个端口的所有数据流，就需要为该端口允许的每一个协议分别创建ACL。 例如，如果端口配置成允许IP,Appletalk和IPX协议的数据流，那么就需要创建至少三个ACL。 ACL可以用作控制和过滤流经路由器端口的数据报的工具 1.4 ACL指令的配置原则 ACL中的指令以按顺序执行的 先满足条件则之后的指令不执行 配置ACL指令时，要先配置最严格的条件、之后较松的条件 对于某些协议，可以创建多个ACL： 一个用于过滤进入端口的数据流inbound， 一个用于过滤流出端口的数据流outbound 2.1ACL指令 一个ACL就是一组指令，规定数据报如何： 进入路由器的某个端口 在路由器内的转送 离开路由器的某个端口 ACL允许控制哪些客户端可以访问的网络。在ACL中的条件可以是： 筛选某些主机允许或者禁止访问的部分网络 允许或者禁止用户访问某一类协议，如FTP，HTTP等。 2.2ACL的工作流程 无论是否使用ACL，开始的通信过程是相同的。 当一个数据报进入一个端口，路由器检查这个数据报是否可路由。 如果是可以路由的，路由器检查这个端口是否有ACL控制进入数据报。 如果有，根据ACL中的条件指令，检查这个数据报。 如果数据报是被允许的，就查询路由表，决定数据报的目标端口。 路由器检查目标端口是否存在ACL控制流出的数据报 不存在，这个数据报就直接发送到目标端口。 如果存在，就再根据ACL进行取舍。 ACL的工作流程 ACL条件顺序 ACL分类 标准ACL 检查源地址 允许或拒绝整个协议族 标准ACL（数字1到99），可以提供数据流过滤控制。它是基于源地址和通配掩码。标准ACL可以允许或禁止整套IP协议。 3.1 ACL分类 扩展ACL 检查源和目的地址 通常允许或拒绝特定的协议 为了更加精确的数据流过滤，需要扩展ACL。扩展ACL检查源地址和目标地址，以及TCP或UDP端口号。还可以指定扩展ACL针对特定的协议的进行操作。 扩展ACL使用的数字范围是：100-199。 用扩展ACL检查数据包 常见端口号 ACL表号 通配符掩码 1.是一个32比特位的数字字符串 2.0表示“检查相应的位”,1表示“不检查（忽略）相应的位” 特殊的通配符掩码 1. Any 55 2. Host 9 Host 9 ACL的配置 创建一个ACL访问控制 Router(config)# access-list access_list_number {permit|deny} {test_conditions} 将访问控制绑定到接口上 Router(config-if)# {protocol} access-group access_list_number {in|out} 关闭访问控制列表 Router(config)# no access-li