原版CCNA教材 14章 IP访问控制列表.pptVIP

第十四章IP访问控制列表 ACL概述 1、什么是ACL(Access Contron List) 使用包过滤技术，读取第三层或第四层包头中的信息，如源地址、目的地址、源端口、目的端口及协议等，根据预先定义好的规则对包进行过滤，从而达到访问控制目的。 2、ACL功能 （1）检查和过滤 数据包 （2）提供对通讯流量的控制手段 （3）限制或减少路由更新的内容 （4）按照优先级或用户队列处理数据包 （5）定义发起DDR呼叫的感兴趣流量 ACL概述（续） 3、设计ACL的原则 （1）自上而下的处理方式 （2）添加表项 （3）访问控制列表放置 （4）语句的位置 （5）其他注意事项 为什么要使用访问列表 访问列表的应用 访问列表的其它应用 访问列表的其它应用 访问列表的其它应用 什么是访问列表--标准 什么是访问列表--扩展 什么是访问列表 出端口方向上的访问列表 出端口方向上的访问列表 出端口方向上的访问列表 访问列表的测试：允许和拒绝 访问列表的测试：允许和拒绝 访问列表的测试：允许和拒绝 访问列表的测试：允许和拒绝 访问列表配置指南 访问列表的编号指明了使用何种协议的访问列表 每个端口、每个方向、每条协议只能对应于一条访问列表 访问列表的内容决定了数据的控制顺序 具有严格限制条件的语句应放在访问列表所有语句的最上面 在访问列表的最后有一条隐含声明：deny any－每一条正确的访问列表都至少应该有一条允许语句 先创建访问列表，然后应用到端口上 访问列表不能过滤由路由器自己产生的数据 访问列表设置命令 访问列表设置命令 如何识别访问列表号 如何识别访问列表号 如何识别访问列表号 配置标准的 IP 访问列表 标准IP访问列表的配置 通配符掩码指明特定的主机 通配符掩码指明所有主机 通配符掩码和IP子网的对应 标准IP访问列表的配置 标准访问列表举例 1 标准访问列表举例 1 标准访问列表举例 2 标准访问列表举例 2 标准访问列表举例 2 标准访问列表举例 3 标准访问列表举例 3 用访问列表控制vty访问 在路由器上过滤vty 五个虚拟通道 (0 到 4) 路由器的vty端口可以过滤数据 在路由器上执行vty访问的控制 如何控制vty访问 虚拟通道的配置 虚拟通道访问举例 扩展 IP 访问列表的配置 标准访问列表和扩展访问列表比较 扩展 IP 访问列表的配置 扩展 IP 访问列表的配置 扩展访问列表应用举例 1 扩展访问列表应用举例 1 扩展访问列表应用举例 1 扩展访问列表应用举例 2 扩展访问列表应用举例 2 扩展访问列表应用举例 2 查看访问列表 查看访问列表的语句 配置命名ACL 命名ACL：使用一个字母数字组合的字符串代替数字（1-99）表示ACL表号 Router(config)#ip access-list {standard | extended}name Router(config-{std- | ext- }nacl)#deny {source[source-wildcard] | any } Router(config)-std- | ext- }nacl)#permit {source[source –wildcard] | any} 配置反向ACL 属于ACL的一种高级应用，可以有效地防范病毒 配置基于时间ACL 基于时间的访问控制列表由两部分组成： 第一部分定义时间段 第二部分是用扩展访问列表定义规则 (1）定义一个时间范围及其名字 Router(config)#time-range time-range-name (2) 用periodic命令指定一个重复发生的开始和结束时间 Monday、Tuesday、Wednesday、Thursday、Friday、Saturday、Sunday、daily、weekdays、weekend Router(ocnfig)#periodic days-of-the-week hh:mm to [days-of-the-week] hh:mm (3)absolute命令指定一个绝对的开始和结束时间 Router(config-time-range)#absolute [start time date] [end time date] 配置动态的ACL 创建动态访问表项的扩展ACL来配置的访问控制列表 在防火墙中临时打开的一个缺口，不会破坏其他的安全限制问 传统的标准访问列表和扩展访问列表不能创建动态访问表项 可以根据用户认证过程来创建特定的、临时的访问表 实验一：ACL1 1、允许网络的主机访问Web Server 00 2、拒绝网络的主机访问FTP Server00 3、拒绝网络的主机Telnet路由器R2 4、拒绝主机00 ping 路由器R2