访问控制列表acl题库.ppt

ACL访问控制列表 Access Control List 课程内容 ACL定义 ACL分类 ACL应用 What are ACLs? 访问控制列表是一系列允许或拒绝数据的指令的集合。 访问控制列表ACL作用、分类 ACL具有灵活的数据流过滤和控制能力。例如，网络管理者可能允许用户访问Internet，而不允许外部的用户登录到局域网中。 ACL可以应用在路由器的接口上，也可以运行在路由协议上，更可以运行在Telnet线路上。 分类：一般用号码区别访问列表类型。 标准访问列表：只使用数据包的源地址作为测试条件。所有决定是基于源IP地址的。这意味着标准的访问列表基本上允许或拒绝整个协议组。 扩展访问列表：可以测试IP包的第3层和第4层报头中的字段。包括源IP地址、目的IP地址、网络层报头中的协议字段（如，TCP、UDP、ICMP等）以及位于传输层报头中的端口号。扩展访问列表具有在控制流量时做更细粒度决定的能力。 命名访问列表，从技术上来说实际上只有两种，命名的访问列表可以是标准的或扩展的访问列表，并不是一种真正的新类型列表。 标准列表——基于源地址 扩展列表——基于源地址、目的地址、协议、端口 ACL的方向——Inbound or Outbound Inbound 进入路由器接口的方向 Outbound 出路由器的出口方向 输入型访问列表：当访问列表被用于检测从接口输入的包时，包在进入路由器之前要经过访问列表的处理。路由器不能路由任何被拒绝的包，因为在路由之前这些包就会被丢弃掉。 输出型访问列表：当访问列表用于检测从接口输出的包时，数据包已经应首先被路由到该输出接口，然后在进入该接口的输出队列之前经过访问列表的处理。即在被发送出去之前被处理。 ACL的工作流程 当一个数据报进入一个端口，路由器检查这个数据报是否可路由。 如果是可以路由的，路由器检查这个端口是否有ACL控制进入数据报。 如果有，根据ACL中的条件指令，检查这个数据报。 如果数据报是被允许的，就查询路由表，决定数据报的目标端口。 路由器检查目标端口是否存在ACL控制流出的数据报 不存在，这个数据报就直接发送到目标端口。 如果存在，就再根据ACL进行取舍。然后在转发到目的端口。 ACL的运行过程 1.从第一行开始，按顺序比较访问列表的每一行，例如，从第一行开始，然后转到第二行、第三行等等。 2.比较访问列表的各行直到比较到匹配的一行，一旦数据包与访问列表的某一行匹配，遵照规定行事，不再进行后续比较。 3.在每个访问列表的最后是一行隐含“deny any”（拒绝所有）语句，意味着如果数据包与访问列表中的所有行都不匹配，将被丢弃。 ACL的配置指南——一般规则 先创建访问列表，然后将列表应用到一个接口。任何应用到一个接口的访问列表如果不是现成的访问列表，那么此列表不会过滤流量。 除非在访问列表未尾有permit any (允许所有)，否则所有和列表的测试条件都不符合的数据包将被丢弃。因为每个访问列表的最后是一行隐含“deny any”（拒绝所有）语句每个列表应当至少有一个允许语句，否则将会拒绝所有流量。 每个接口、每个协议或每个方向只可以分派一个访问列表。这意味着如果创建了IP 访问列表，每个接口只能有一个输入型访问列表和一个输出型访问列表。 不能从访问列表中删除一行。如果试着这样做，将删除整个列表。可以从命名访问列表中删除单独的一行。 访问列表设计为过滤通过路由器的流量，但不过滤路内器产生的流量，如路由器间交换路由信息等。 ACL可以指定到一个或者多个端口。 ACL的配置指南——放置位置 标准访问列表尽可能放置在靠近目的地址的位置。不能将标准的访问列表放置在靠近源主机或源网络的位置，因为这样会过虑基于源地址的流量而造成不能转发任何数据。 扩展访问列表尽可能放置在靠近源地址的位置。既然扩展的访问列表可以过滤每个特定的地址和协议，那么你不希望你的流量穿过整个网络后再被拒绝。通过将这样的列表放置在尽量靠近源地址的位置．可以在它使用宝贵的带宽之前过滤掉此流量。 标准列表——靠近目的地址 扩展列表——靠近源地址 标准的ACL 标准访问列表，通过使用数据包的源IP地址过滤流量。一般用号码区别访问列表类型。可以使用访问列表号1～99或1300～1999创建标准的访问列表。 标准访问列表的创建根据 “动作”＋“源地址”，即允许谁，拒绝谁的方法来创建。 1.Lab_A(config)#access-list 10 deny host 拒绝主机 2. Lab_A(config)#access-list 10 permit 55 允许网络～255 标准列表——靠近目的地址 ACL的配置 P509 创建一个ACL访问控制 Router(config)# acces