交换机路由器的配置与管理—课件完整版.ppt

第7章 访问控制列表 ACL 访问列表概述 访问列表是由一系列语句组成的列表，这些语句主要包括匹配条件和采取的动作（允许或禁止）两个内容 访问列表应用在路由器的接口上，通过匹配数据包信息与访问表参数来决定允许数据包通过还是拒绝数据包通过某个接口 数据包是通过还是拒绝，主要通过数据包中的源地址、目的地址、源端口、目的端口、协议等信息来决定 访问控制列表可以限制网络流量，提高网络性能，控制网络通信流量等，同时ACL也是网络访问控制的基本安全手段 访问列表类型 访问列表可分为标准IP访问列表和扩展IP访问列表。 标准访问列表：其只检查数据包的源地址，从而允许或拒绝基于网络、子网或主机的IP地址的所有通信流量通过路由器的出口。 扩展IP访问列表：它不仅检查数据包的源地址，还要检查数据包的目的地址、特定协议类型、源端口号、目的端口号等 ACL的相关特性 每一个接口可以在进入（inbound）和离开（outbound）两个方向上分别应用一个ACL，且每个方向上只能应用一个ACL ACL语句包括两个动作，一个是拒绝（deny）即拒绝数据包通过，过滤掉数据包，一个是允许(permit)即允许数据包通过，不过滤数据包。 在路由选择进行以前，应用在接口进入方向的ACL（内向ACL）起作用。 在路由选择决定以后，应用在接口离开方向的ACL（内向ACL）起作用 每个ACL的结尾有一个隐含的“拒绝的所有数据包(deny all)”的语句 ACL转发的过程 IP地址与通配符掩码的作用规 32位的IP地址与32位的通配符掩码逐位进行比较，通配符掩码为0的位要求IP地址的对应位必须匹配，通配符掩码为1的位所对应的IP地址位不必匹配 通配符掩码掩码的两种特殊形式 一个是host表示一种精确匹配，是通配符掩码掩码的简写形式 一个是any表示全部不进行匹配，是通配符掩码掩码55的简写形式 访问列表配置步骤 第一步是配置访问列表语句 第二步是把配置好的访问列表应用到某个端口上 访问列表注意事项 注意访问列表中语句的次序，尽量把作用范围小的语句放在前面。 新的表项只能被添加到访问表的末尾，这意味着不可能改变已有访问表的功能。如果必须要改变，只有先删除已存在的访问列表，然后创建一个新访问列表、然后将新访问列表用到相应的接口上。 标准的IP访问列表只匹配源地址，一般都使用扩展的IP访问列表以达到精确的要求。 标准的访问列表尽量靠近目的，由于标准访问表只使用源地址，因此将其靠近源会阻止报文流向其他端口。扩展的访问列表尽量靠近过滤源的位置上，以免访问列表影响其他接口上的数据流。 在应用访问列表时，要特别注意过滤的方向 标准IP访问列表的配置命令 配置标准访问列表 access-list access-list-number deny|permit source-address source-wildcard [log] access-list-number：只能是1～99之间的一个数字同 deny|permit：deny表示匹配的数据包将被过滤掉；permit表示允许匹配的数据包通过 source-address：表示单台或一个网段内的主机的IP地址 source-wildcard：通配符掩码 Log：访问列表日志，如果该关键字用于访问列表中，则对匹配访问列表中条件的报文作日志 标准IP访问列表的配置命令续 应用访问列表到接口 ip access-group access-list-number in|out In：通过接口进入路由器的报文 Out：通过接口离开路由器的报文 显示所有协议的访问列表配置细节 show access-list [access-list-number] 显示IP访问列表 show ip access-list [access-list-number] 标准IP访问列表的配置举例 hostA不能访问服务器server1和server2，其它主机可以访问服务器server1和server2 标准IP访问列表的配置举例配置 routerB# configure terminal routerB(config)# access-list 1 deny host routerB(config)# access-list 1 permit any routerB(config)# interface Ethernet 0 routerB(config)# ip access-group 1 in 扩展IP访问列表的配置命令 配置扩展访问列表 access-list access-list-number permit|deny protocol source-address source-wildcard source-port des