网络管理与安全第5章 路由器的管理 v10.ppt

(5) 根据ACL的列表号可以判断是哪种协议的访问控制列表。 各种协议都有自己的访问控制列表，编号也不同。如IP协议的编号有几类，第一类是标准的访问控制列表，列表号为1~99，1300~1999，第二类是扩展的访问控制列表，列表号为100~199，2000~2699，命名的访问控制列表以其名称作为列表号。AppleTalk协议的列表号为600~699。IPX协议的列表号为800~899（标准），900~999（扩展），1000~1099（SAP过滤）。 (6) 访问控制列表的配置是按协议、接口和进出的方向来设置的。 一般说来，路由器的一个接口上可以对每一个协议配置进方向和出方向两个访问控制列表。 (7) 想删除某个访问控制列表的语句时，必须删除整个列表。 有时候设定好的访问控制列表中某一句有错误或者不满意，想将它删除掉，则必须将整个访问控制列表删除而不能按每条语句去删除。因此建议编辑语句较多的访问控制列表时，先用其他的文档编辑器如Windows的写字板先编辑好，然后再复制、粘贴到超级终端中即可。 特别注意 虽然设定的路由器访问控制列表有助于数据流量的过滤，但是它不是万能的，而是根据网管员的合理设置才能达到应有的效果。 访问控制列表只能过滤穿过路由器的数据流量，由路由器本身发出的数据包是不能被过滤的。 标准ACL的配置及用法 配置步骤 在全局配置模式下创建ACL access-list access-list-number {permit|deny} source {source-wildcard} 在接口上应用ACL ip access-group access-list-number {in|out} Wildcard mask的写法 所有主机： 55 可简写 any 特定主机： 55 可简写 host 示例 现在要设置的ACL要求位于网段的主机不能访问网段的主机；另外要求位于网段的主机可以访问位于网段的主机，但要求主机B不能访问网段的主机。如果再联其他网段，允许访问网段的主机。 配置语句 Router(config)#access-list 1 deny 55 Router(config)#access-list 1 deny 55 Router(config)#access-list 1 permit 55 Router(config)#access-list 1 permit any Router(config-if)#ip access-group 1 out 注意访问控制列表语句的顺序问题 标准访问控制列表只能对源地址端的数据进行控制 扩展ACL的配置及用法 配置步骤 在全局配置模式下创建ACL access-list access-list-number {permit|deny} protocol source source-wildcard destination destination-wildcard eq {service-name|port} 在接口上应用ACL ip access-group access-list-number {in|out} 示例 配置任务为任意主机均可以访问FTP服务器，但禁止的主机访问WEB服务器。 配置语句 Router(config)#access-list 101 permit tcp any 3 55 eq www Router(config)#access-list 101 deny tcp 55 2 55 eq ftp Router(config-if)#ip access-group 101 out 标准ACL和扩展ACL的比较 标准 扩展 基于源地址 基于源地址和目标地址 允许和拒绝完整的TCP/IP协议 指定TCP/IP的特定协议和端口号 编号范围1-99和1300-1999 编号范围100-199和2000-2699 VTY的ACL语句 router(config)# access-list access-list-number {permit|deny} source {source-wildcard} router(config-line)# access-class access-list-number {in|ourt} 只能使用标准ACL语句 应用时的命令为access-class 查看ACL的语句 router(config)# show access-list {access-list-number} 网络地址转换（NAT） NAT简介 NAT的作用 NAT的工作原理 NAT的实现方法 NAT简介 网络地址转换（NAT,Network Address Translation）属接入广域网（WAN）技术