标准书号62 63 308 06313 第19章 路由器访问控制列表配置实训.pptVIP

计算机网络技术实训教程 作者：徐伟 第19章　路由器访问控制列表配置实训 主要内容 19．1　访问控制列表（ACL） 19．2　访问控制列表配置实训 19．1　访问控制列表（ACL） 19．2　访问控制列表配置实训 19．2．2　实训环境的建立 * * * * 责任编辑：黄娟琴 出版日期：2009年9月 IDPN：308-2009-105 课件章数：19 访问控制列表（Access Control List， ACL）是路由器接口的一种特殊的指令列表，用来控制端口进出的数据包。 确切地说， ACL是一种根据协议、地址、端口号、连接状态以及其他参数对数据流进行过滤的方法，是应用在网络边缘设备网络接口上的一组有序的规则集合。 ACL适用于所有的路由协议，例如IP 、AppleTalk、 IPX等等。如果路由器接口配置成同时支持三种协议（IP 、AppleTalk、 IPX）的情况，那么用户必须定义三种ACL来分别控制这三种协议的数据封包。 19．1．1　ACL 的作用 ACL对网络的安全和性能都起重要作用，ACL是网络管理员实现网络安全访问配置的基本手段。 ACL通常定义在网络的边缘设备上，应用在网络边缘设备的网络接口上。通过预定义一组规则对通过网络接口的数据包进行过滤。 网络安全方面： 通过对数据包的过滤，可以将特定的信息隔离在网络外部，保护内部网络中设备和数据的安全，同时又可以不影响正常的网络服务。ACL可以在路由器端口处决定哪种类型的通信流量被转发或被阻塞。 ACL还可以实现访问限制，可以达到限制网络流量、提高网络性能的作用，又可以加强局域网内部对外部网络访问的管理。例如，用户可以被允许使用E-mail与外部网络通信，同时可以拒绝用户使用IE浏览外部网络。ACL还可以根据数据包的协议指定数据包的优先级，优化网络性能。 19．1．2　ACL 的工作原理 我们已经知道ACL是应用在网络边缘设备网络端口上的一组有序的规则集合。每条规则都是“IF ＜条件＞THEN ＜动作＞”结构。 一个端口执行哪条规则，是按照列表中的条件语句的顺序来判断的。如果一个数据包的首部跟表中某个条件判断语句相匹配，那么立即执行该规则的动作，后面的规则就将被忽略。 只有当数据包与第一个条件判断语句不匹配时，它才被交给ACL中的下一个条件判断语句进行比较；如果匹配（假设为允许发送），数据就会立即发送到目的接口；如果所有的ACL判断语句都检查完毕，仍没有找到匹配的条件语句，则该数据包将被丢弃。 在路由器中，如果使用ＡＣＬ 的表号进行配置，则列表不能插入或删除行。如果列表要插入或删除一行，必须先去掉所有ＡＣＬ，然后重新配置。当ACL中条数很多时，这种改变非常烦琐。 19．1．3　ACL 的分类 访问控制列表分为传统访问控制列表和现代访问控制列表两大类。 标准访问控制列表： 只根据数据包中源地址的匹配对数据包进行过滤。 扩展访问控制列表： 根据对数据包中的协议、源地址、目的地址、端口号的匹配对数据包进行过滤。 动态访问控制列表： 在传统访问控制列表的基础上加入动态表项，使对数据包过滤的规则能够动态产生，更具安全性。 基于时间的访问控制列表： 在传统访问控制列表的基础上，增加了对时间的判断，可实现按时间段对数据包进行过滤。 自反的访问控制列表： 在传统访问控制列表的基础上，增加了根据连接状态，对数据包进行过滤。 命名的访问控制列表： 在传统访问控制列表的基础上，增加了用名称代替列表号，便于记忆，同时扩展了条目数量。 在访问控制列表中，标准访问控制列表最简单。实际应用中，在满足具体应用需求的情况下，尽可能用简单的访问控制列表来实现功能。 由于所有的访问控制列表都建立在传统访问控制列表基础上，因此本章主要实训标准访问控制列表和扩展访问控制列表。 19．2．1　ACL 的配置的命令格式 ACL的配置分以下两个步骤。 1．创建ACL 在全局配置模式下，使用下列命令创建ACL ： Router（config）＃ access-list access-list-number ｛permit ｜deny｝ ｛test- conditions｝ 其中： （１） access-list-number为ACL的表号，人们使用较频繁的表号是标准的IP ACL（1-99）和扩展的IP ACL（100-199）； （２）｛permit|deny｝表示动作，permit表示如果条件匹配成功，允许该数据包通过该网络接口，deny则表示如果条件匹配成功，丢弃该数据包。 （３）test-conditions表示匹配条件，各种访问控制列表的匹配条件是不一样的