国际认证-锐捷认证-IP访问控制列表 (1).pptx

职业认证—锐捷认证

IP访问控制列表

版权说明本文档来自锐捷大学的教案内容。若作者对本资料的使用持有异议，请及时与本网站联系，我们将第一时间妥善处理。

什么是访问列表IPAccess-list：IP访问列表或访问控制列表，简称IPACLACL就是对经过网络设备的数据包根据一定的规则进行数据包的过滤ISP√

为什么要使用访问列表内网安全运行访问外网的安全控制

访问列表访问控制列表的作用：内网布署安全策略，保证内网安全权限的资源访问内网访问外网时，进行安全的数据过滤防止常见病毒、木马、攻击对用户的破坏

访问列表的组成定义访问列表的步骤第一步，定义规则（哪些数据允许通过，哪些数据不允许通过）第二步，将规则应用在路由器（或交换机）的接口上访问控制列表规则的分类：1、标准访问控制列表2、扩展访问控制列表

访问列表规则的应用路由器应用访问列表对流经接口的数据包进行控制1.入栈应用（in）经某接口进入设备内部的数据包进行安全规则过滤2.出栈应用（out）设备从某接口向外发送数据时进行安全规则过滤一个接口在一个方向只能应用一组访问控制列表F1/0F1/1INOUT

访问列表的入栈应用NY是否允许

?Y是否应用

访问列表

?N查找路由表进行选路转发以ICMP信息通知源发送方

以ICMP信息通知源发送方NY选择出口

S0

路由表中是否存在记录

?NY查看访问列表

的陈述是否允许

?Y是否应用

访问列表

?NS0S0访问列表的出栈应用

IPACL的基本准则一切未被允许的就是禁止的定义访问控制列表规则时，最终的缺省规则是拒绝所有数据包通过按规则链来进行匹配使用源地址、目的地址、源端口、目的端口、协议、时间段进行匹配规则匹配原则从头到尾，至顶向下的匹配方式匹配成功马上停止立刻使用该规则的“允许/拒绝……”

Y拒绝Y是否匹配

规则条件1?允许N拒绝允许是否匹配

规则条件2?拒绝是否匹配

最后一个

条件

?YYNYY允许隐含拒绝N一个访问列表多条过滤规则

访问列表规则的定义标准访问列表根据数据包源IP地址进行规则定义扩展访问列表根据数据包中源IP、目的IP、源端口、目的端口、协议进行规则定义

源地址TCP/UDP数据IP

eg.HDLC1-99号列表IP标准访问列表

目的地址源地址协议端口号IP扩展访问列表TCP/UDP数据IP

eg.HDLC100-199号列表

0表示检查相应的地址比特1表示不检查相应的地址比特001111111286432168421000000000000111111111111反掩码（通配符）

IP标准访问列表的配置1.定义标准ACL编号的标准访问列表

Router(config)#access-list1-99{permit|deny}源地址[反掩码]命名的标准访问列表switch(config)#ipaccess-liststandardnameswitch(config-std-nacl)#{permit|deny}源地址[反掩码]2.应用ACL到接口Router(config-if)#ipaccess-group1-99{in|out}

F1/0S1/2F1/1IP标准访问列表配置实例(一)配置：access-list1permit55(access-list1denyany)interfaceserial1/2ipaccess-group1out

标准访问列表配置实例(二)需求：你是某校园网管，领导要你对网络的数据流量进行控制,要求校长可以访问财务的主机，但教师机不可以访问。配置：财务教师F0/1F0/2F0/5F0/6F0/8F0/9F0/10校长

IP扩展访问列表的配置1.定义扩展的ACL编号的扩展ACLRouter(config)#access-list100-199{permit/deny}协议源地址反掩码[源端口]目的地址反掩码[目的端口]命名的扩展ACLipaccess-listextended{name}{permit/deny}协议源地址反掩码[源端口]目的地址反掩码[目的端口]2.应用ACL到接口Router(config-if)#ipaccess-group100-199{in|out}

IP扩展访问列表配置实例(一)如何创建一条扩展ACL该ACL有一条ACE，用于允许指定网络（192.168.x..x）的所有主机以HTTP访问服务器，但拒绝其它所有主机使用网络Router(config)#access-list103