Cisco访问控制列表-ACL运行简介汇.ppt

访问控制列表 ACL 运行简介 为什么要使用 ACL？ ACL 的应用：过滤 ACL 的应用：分类 出站 ACL 运行 测试步骤：拒绝或允许 ACL 的类型 标准 ACL 检查源地址 通常允许或拒绝整个协议簇 扩展 ACL 检查源地址和目的地址 通常允许或拒绝特定协议和应用程序 有两种用于标识标准 ACL 和扩展 ACL 的方法： 编号 ACL 使用编号进行标识 命名 ACL 使用描述性名称或编号进行标识 如何标识 ACL IP 访问列表条目序列编号 需要 Cisco IOS 12.3 版 允许使用序列编号来编辑 ACL 语句的顺序 在 Cisco IOS 12.3 版之前，使用文本编辑器来创建 ACL 语句，然后将语句以正确的顺序复制到路由器中。 允许使用序列号从列表中删除单条 ACL 语句 在 Cisco IOS 12.3 版之前的软件中使用命名 ACL 时，必须使用 no {deny | permit} protocol source source-wildcard destination destination-wildcard 来删除单条语句。 在 Cisco IOS 12.3 版之前的软件中使用编号 ACL 时，必须删除整个 ACL 才能删除单条 ACL 语句。 ACL 配置的指导原则 标准或扩展代表可过滤的内容。 每个接口、协议、方向只允许有一个 ACL。 ACL 语句的顺序控制着测试，因此最具体的语句位于列表顶部。 最后的 ACL 测试始终是隐式拒绝其它所有语句，因此每个列表需要至少一条 permit 语句。 在全局范围内创建 ACL，然后将其应用到入站流量或出站流量的接口。 ACL 可过滤经过路由器的流量或往返路由器的流量，具体取决于其应用方式。 将 ACL 置于网络中时： 扩展 ACL 应靠近源地址 标准 ACL 应靠近目的地址 动态 ACL 自反 ACL 基于时间的 ACL 通配符位：如何检查对应的地址位 用通配符位匹配 IP 子网 通配符位掩码的缩写 总结 ACL 可用于 IP 数据包过滤或标识流量以将其分配给特殊处理。 ACL 执行自上而下的过程，并可针对入站或出站流量进行配置。 可使用命名 ACL 或编号 ACL 来创建 ACL。命名 ACL 或编号 ACL 可配置为标准 ACL 或扩展 ACL，以确定过滤的内容。 自反、动态和基于时间的 ACL 为标准 ACL 和扩展 ACL 增加了更多功能。 在通配符位掩码中，0 位表示匹配对应地址位，1 位表示忽略对应地址位。 ? 2008 Cisco Systems, Inc. 保留所有权利。 ICND2 v1.0—6-* ? 2008 Cisco Systems, Inc. 保留所有权利。 ICND2 v1.0—6-* 过滤：通过过滤经过路由器的数据包来管理 IP 流量 分类：标识流量以进行特殊处理 允许或拒绝经过路由器的数据包。 允许或拒绝来自路由器或到路由器的 vty 访问。 如果没有 ACL，所有数据包会发往网络的所有部分。 根据数据包测试情况对流量进行特殊处理 如果没有 ACL 语句匹配，则丢弃数据包。 标准编号 IPv4 列表 (1-99) 可测试源地址的所有 IP 数据包的条件。扩展范围是 (1300-1999)。 扩展编号 IPv4 列表 (100-199) 可测试源地址和目的地址、特定 TCP/IP 协议和目的端口的条件。扩展范围是 (2000-2699)。 命名 ACL 用字母数字字符串（名称）标识 IP 标准 ACL 和扩展 ACL。 ? 动态 ACL（锁和钥匙）：想要穿越路由器的用户需要使用 Telnet 来连接路由器并通过身份验证，否则将会被拦截。 自反 ACL：用于允许出站流量并限制入站流量，以响应来自路由器内部的会话 基于时间的 ACL：允许根据天数和周数控制访问 0 表示匹配对应地址位的值 1 表示忽略对应地址位的值 匹配 IP 子网 172.30.16.0/24 至 172.30.31.0/24。 地址和通配符掩码： 172.30.16.0 0.0.15.255 172.30.16.29 0.0.0.0 匹配所有地址位 使用前面有关键字 host 的 IP 地址(host 172.30.16.29) 来缩写此通配符掩码 0.0.0.0 255.255.255.255 忽略所有地址位 用关键字 any 缩写表达式 第 2 层，共 2 层 强调：访问列表是标识特殊流量的机制。访问列表的应用之一是过滤进出路由器接口的流量。 目的： 此图说明了 IP 访问列表的常见用途。 强调： 本章重点介绍 IP 访问列表，访问列表的概念作为一种控制网络流量的机制适用于所有协议。 注：改进