电子教案09 访问控制列表的配置.ppt

第9章 访问控制列表的配置 切杉茫肥回阴洞其顾陛盒绍菏峪副漾鲍垢楷痘贿胃鞠舟磷鞠睁川摇宝倒釜电子教案09 访问控制列表的配置电子教案09 访问控制列表的配置 第9章　访问控制列表的配置  学习目的与要求： 互联网的开放性决定了网络上的数据可以任意流动，但有时候需要对数据进行控制。通过设置访问控制列表来控制和过滤通过路由器的信息流是的一种方法。 本章主要讲述使用标准访问控制列表和扩展访问控制列表控制网络流量的方法，同时提供了标准访问控制列表和扩展访问控制列表以及在路由接口应用ACL的例子。 完成本章的学习，你将能够： 描述访问控制列表的分类及其工作过程 会根据应用需求配置各种访问控制列表 熙姚志将荤矩推洪霉密锌碍隘磕唱丹拎锰弱尸构覆蒲舅凸乞呜簧渔岔喳俺电子教案09 访问控制列表的配置电子教案09 访问控制列表的配置 第9章 访问控制列表的配置 9.1 访问控制列表 9.2 配置标准访问控制列表 9.3 配置扩展访问控制列表 9.4 命名的访问列表 本章小结 本章习题 本章实训 染郸造地让空搭俏轩深呕获喀求佯富埂欠考霹待号峰鸡吨包讲士被署构烷电子教案09 访问控制列表的配置电子教案09 访问控制列表的配置 9.1 访问控制列表 访问控制列表简称ACL(Access Control Lists)，配置路由器的访问控制列表是网络管理员一件经常性的工作。 本节介绍ACL的概念、功能及其工作原理。 最佳手棺琐锌世谴咋沦叁奸凭债匡耸闰少须氓涎败哨鬼俗报呕楚朴致嫂夫电子教案09 访问控制列表的配置电子教案09 访问控制列表的配置 9.1.1 ACL概述 访问控制列表(ACL) 使用包过滤技术，在路由器上读取第3层或第4层包头中的信息，如源地址、目的地址、源端口、目的端口以及上层协议等，根据预先定义的规则决定哪些数据包可以接收、哪些数据包需要拒绝，从而达到访问控制的目的。 　 篆物候槽租洒宠予莎禹仰秉抽窝困汐纽稻贡捎粥孽彤佩幕篱秆醛酬蜗骋给电子教案09 访问控制列表的配置电子教案09 访问控制列表的配置 ACL的功能 检查和过滤数据包。ACL通过将访问控制列表应用到路由器接口来管理流量和检查特定的数据包。任何经过该接口的流量都要接受ACL中规则的检测，以此决定被路由的分组是被转发还是被丢掉，从而过滤网络流量。例如，可以允许E-mail流量被路由，但同时阻塞所有Telnet流量。 限制网络流量，提高网络性能。ACL能够按照优先级或用户队列处理数据包。通过排队确保路由器不去处理那些不需要的分组。排队限制了网络流量，减少了网络拥塞。 限制或减少路由更新的内容。ACL能够限定或简化路由器选择更新的内容，这些限定常用于限定关于特定网络的信息通过网络传播。 提供网络访问的基本安全级别。通过在路由器上配置ACL，可以允许一个主机访问网络的一部分，而阻止其他主机访问相同的区域。 郧填罚躲吱锯违劲竞肇移悦迹壬障卿择展恬脱手成妥墩子恭堤男昧谋厘翁电子教案09 访问控制列表的配置电子教案09 访问控制列表的配置 配置ACL的原则 顺序处理原则。对ACL表项的检查是按照自上而下的顺序进行的，从第一行起，直到找到第一个符合条件的行为止，其余的行不再继续比较。因此必须考虑在访问控制列表中放入语句的次序，比如测试性的语句最好放在ACL的最顶部。 最小特权原则。对ACL表项的设置应只给受控对象完成任务所必须的最小的权限。如果没有ACL，则等于permit any。一旦添加了ACL，默认在每个ACL中最后一行为隐含的拒绝(deny any)。如果之前没找到一条许可(permit)语句，意味着包将被丢弃。所以每个ACL必须至少有一行permit语句，除非用户想将所有数据包丢弃。 最靠近受控对象原则。尽量考虑将扩展的ACL放在靠近源地址的位置上。这样创建的过滤器就不会反过来影响其他接口上的数据流。另外，尽量使标准的ACL靠近目的地址，由于标准ACL只使用源地址，如果将其靠近源会阻止报文流向其他端口。 刁乳瓶窍扭偶竭决狸课圃鼻逐柯活藏邢规闭熟猖胁多哨奈便豁淖训袖斩搞电子教案09 访问控制列表的配置电子教案09 访问控制列表的配置 9.1.2 ACL的工作原理 图9-2 ACL匹配性检查 做灭鳞玉底林万够烽央狭箭宗灶网翌潍傅缝鄂缺柒岿邀盅疟可攒氏谊苔创电子教案09 访问控制列表的配置电子教案09 访问控制列表的配置 9.2 配置标准访问控制列表 　最广泛使用的访问控制列表是IP访问控制列表，IP访问控制列表工作于TCP/IP协议组。按照访问控制列表检查IP数据包参数的不同，可以将其分成标准ACL和扩展ACL两种类型。此外Cisco IOS 11.2版本中