高级网络互联技术 第3章（访问控制列表ACL）.pptx

访问控制列表ACL

ACL简介标准访问控制列表与配置12扩展访问控制列表与配置其他访问控制列表34

1ACL简介什么是访问控制列表访问控制列表（ACL）应用于路由器接口的指令列表，用于指定哪些数据包可以接收转发，哪些数据包需要拒绝ACL的工作原理读取第三层及第四层包头中的信息根据预先定义好的规则对包进行过滤

1ACL简介访问控制列表的作用提供网络访问的基本安全手段可用于QoS，控制数据流量控制通信量

1ACL简介主机A主机B人力资源网络研发网络使用ACL阻止某指定网络访问另一指定网络访问控制列表的作用

1ACL简介实现访问控制列表的核心技术是包过滤Internet公司总部内部网络未授权用户办事处访问控制列表访问控制列表工作原理1

1ACL简介通过分析IP数据包包头信息，进行判断（这里IP所承载的上层协议为TCP）IP报头TCP报头数据源地址目的地址源端口目的端口访问控制列表利用这4个元素定义的规则访问控制列表工作原理2

1ACL简介匹配下一步拒绝允许允许允许到达访问控制组接口的数据包匹配第一步目的接口隐含的拒绝丢弃YYYYYYNNN路由器对访问控制列表的处理过程匹配下一步拒绝拒绝拒绝

2标准访问控制列表与配置标准访问控制列表标准访问控制列表访问控制列表号从1到99标准访问控制列表只使用源IP地址进行过滤，表明是允许还是拒绝Page9/45从/24来的数据包可以通过！从/24来的数据包不能通过！路由器

2标准访问控制列表与配置如果在访问控制列表中有的话应用条件拒绝允许更多条目？列表中的下一个条目否有访问控制列表吗？源地址不匹配是匹配是否Icmp消息转发数据包标准访问控制列表

2标准访问控制列表与配置标准访问控制列表的配置第一步，使用access-list命令创建访问控制列表第二步，使用ipaccess-group命令把访问控制列表应用到某接口Router(config)#access-listaccess-list-number{permit|deny}source[source-wildcard][log]Router(config-if)#ipaccess-groupaccess-list-number{in|out}

2标准访问控制列表与配置标准ACL应用1：允许特定源的流量Non-E0E1S03

2标准访问控制列表与配置标准ACL应用：允许特定源的流量第一步，创建允许来自的流量的ACL第二步，应用到接口E0和E1的出方向上Router(config)#access-list1permit55Router(config)#interfacefastethernet0/0Router(config-if)#ipaccess-group1outRouter(config)#interfacefastethernet0/1Router(config-if)#ipaccess-group1out

2标准访问控制列表与配置标准ACL应用2：拒绝特定主机的通信流量第一步，创建拒绝来自3的流量的ACL第二步，应用到接口E0的出方向Router(config)#access-list1denyhost3Router(config)#access-list1permit55Router(config)#interfacefastethernet0/0Router(config-if)#ipaccess-group1outany

2标准访问控制列表与配置标准ACL应用：拒绝特定子网的流量第一步，创建拒绝来自子网的流量的ACL第二步，应用到接口E0的出方向Router(config)#access-list1deny55Router(config)#access-list1permitanyRouter(config)#interfacefastethernet0/0Router（config-if）#ipaccess-group1out55

3扩展访问控制列表与配置扩展访问控制列表扩展访问控制列表基于源和目的地址、传输层协议和应用端口号进行过滤每个条件都必须匹配，才会施加允许或拒绝条件使用扩展ACL可以实现更加精确的流量控制访问控制列表号从100到199

3扩展访问控制列表与配置扩展访问控制列表扩展访问控制列表使用更多的信息描述数据包，表明是允许还是拒绝从/24来的,到3的，使用TCP协议，利用HTTP访问的数据包可以通过！路由器

3扩展访问控制列表与配置有访问控制列表吗？源地址目的地址协议协议任选项应用条件拒绝允许更多条