ACL访问控制列表原理与配置方法.ppt

ACL原理与配置方法/PPP验证 目 录 什么是访问控制列表(ACL) ACL的执行规则 标准IP ACL的配置方法 扩展IP ACL的配置方法 ACL配置的核查与排错 PPP验证及配置方法 什么是访问控制列表ACL? ACL(Access Control List)是一组预先定义好的规则，它被置于路由器的接口，根据进出接口的数据包头中的信息，以控制数据包能否穿越路由器的接口。 ACL的分类 标准ACL的检查内容 扩展ACL的检查内容 ACL与路由的相互关系 ACL的检查顺序 ACL的配置步骤 配置ACL的两个步骤: 1. 定制ACL的规则 2. 将规则应用到接口 标准IP ACL的配置命令 ACL通配符掩码的规则 通配符掩码位是0表示必须匹配前面地址对应的比特 通配符掩码位是1表示不必匹配前面地址对应的比特 ACL的工作过程 ACL的工作过程 标准IP ACL配置示例 特殊的通配符掩码表示方法 特殊的通配符掩码表示方法 较复杂的通配符掩码计算方法(例一) 较复杂的通配符掩码计算方法(例一) 较复杂的通配符掩码计算方法(例二) 较复杂的通配符掩码计算方法(例二) 较复杂的通配符掩码计算方法(例二) 较复杂的通配符掩码计算方法(例二) 标准IP ACL配置案例 在R1的Fa0/0接口的入方向设置下列标准IP ACL : access-list 7 deny access-list 7 permit 55 access-list 7 deny 55 access-list 7 permit 55 interface Fa0/0 ip access-group 7 in 控制对vty的访问 5条虚拟终端线 (0-4) 对所有的虚拟终端线设置相同的限制规则 控制虚拟终端的命令 进入线配置模式，指定终端线的范围。 控制虚拟终端的配置实例 标准IP ACL的局限性 扩展IP ACL的优势 扩展IP ACL的配置命令 Protocol字段为TCP的语法 TCP端口号对应的协议名称 可通过键入 ? 查看端口号与名字的对应关系。 上面显示的为部分内容，其它端口号参见RFC 1700文档。 协议字段为TCP的扩展IP ACL示例 Protocol字段为UDP的语法 UDP端口号对应的协议名称 可通过键入 ? 查看端口号与名字的对应关系。 上面显示的为部分内容，其它端口号参见RFC 1700文档。 协议字段为UDP的扩展IP ACL示例 ICMP 消息类型名称 可通过键入 ? 可查看所有其它消息类型的内容。 完整的ICMP信息参见RFC 792文档。 协议字段为ICMP的扩展IP ACL示例 命名式ACL 命名式ACL的配置语法 命名式标准ACL的配置命令 命名式扩展ACL的配置命令 ACL案例学习 检查接口上是否设置了ACL 显示访问控制列表的命令 显示所以协议的访问控制列表。 show ip access-list 命令的输出示例 ACL的配置规则 自顶向下逐条检查，匹配以后下面的其它条目不再检查： 将条件严格的放在前面。 最后一句是隐含的deny any语句，因此要求至少存在一条显式的permit语句。 新增加的语句总是置于最后一行 对于每个协议，在每个路由器的接口的每个方向上只能设置一条ACL 。后写入的覆盖先前的ACL 。 未定义的ACL (空ACL)相当于permit any 。 访问控制列表不能限制起源于本路由器的流量。 PPP的帧格式 PPP 的分层结构 PPP工作的四个阶段 LCP 的功能选项 PPP 验证协议 Password Authentication Protocol (PAP) Challenge Handshake Authentication Protocol (CHAP) CHAP in Action—Call CHAP in Action—Challenge CHAP in Action—Response CHAP in Action—Response CHAP in Action—Verification CHAP in Action—Result 配置CHAP验证 hostname left username right password 123 int serial 0 encapsulation ppp ppp authentication CHAP 配置CHAP验证 hostname left username right password 123 int serial 0 encapsulation ppp ppp authentication CHAP 配置CHAP验证 hostname left username ABC password 123 int ser