访问控制列表-----介绍.pptxVIP

Version: 10.A 本课程前您应该已经完成如下课程 《TCP/IP协议基础》 什么是访问控制列表？ ■访问控制列表简介 访问控制列表（ACL，Access Control List ）是路由器或者交换机上的流量过滤器，它可以根据数据报文的属性，比如MAC地址、IP地址、端口号等来识别特定类型的数据流量。在识别出数据流量后，访问控制列表可执行预定义的动作(Permit或者Deny)。 什么是访问控制列表？ ■访问控制列表的作用 ACL可以限制网络流量、提高网络性能。例如，ACL可以根据数据包的协议，指定数据包的优先级。  ACL提供对通信流量的控制手段。例如，ACL可以限定或简化路由更新信息的长度，从而限制通过路由器某一网段的通信流量。  ACL是提供网络安全访问的基本手段。ACL允许主机A访问人力资源网络，而拒绝主机B访问。  ACL可以在端口处决定哪种类型的通信流量被转发或被阻塞。例如，用户可以允许E-mail通信流量被路由，拒绝所有的Telnet通信流量。 ACL也可以结合其他的功能模块完成较为复杂的功能。比如可以结合NAT功能、时间域功能、动作组等 。 什么是访问控制列表？ ■访问控制列表定义 访问控制列表由一系列的规则组成，每条规则都用来匹配一种特定类型的流量，规则的序号（Sequence）决定了这条规则在访问控制列表中的位置。 下面的示例定义了一条IP标准访问列表，该访问控制列表的名称 为1，由4条规则组成。 ip access-list standard 1 10 permit 36.48.3.0 0.0.0.255 20 deny 36.48.0.0 0.0.255.255 30 permit 36.0.0.0 0.255.255.255 40 deny any exit 什么是访问控制列表？ ■访问控制列表如何工作？ 访问控制列表对报文按照规则序号从小到大的顺序进行检查，访问控制列表中第一条与报文相匹配的规则决定了该报文的处理结果：允许（permit）或拒绝（deny）。如果没有与报文相匹配的规则，那么该报文也被拒绝，也就是说，没有被允许的都会被拒绝掉。因为规则最后隐含了一条内容为deny any的规则 。 什么是访问控制列表？ ■访问控制列表如何工作？ 下图显示了该访问列表各网段的访问权限。阴影部分的动作为deny， 白色部分的动作为permit。 标准访问列表网段分割示意图 什么是访问控制列表？ ■访问控制列表如何工作？ 需要注意的是，在最后一条规则的后面（即上面的规则30之后），隐含了一条内容为deny any的规则，其序号比访问列表中所有规则的序号都要大，且这条隐含的规则是不可见的，它将与前面的所有规则都不能匹配的报文进行丢弃。如果不想让该隐含的规则起作用，那么必须手工配置一条内容为permit any的规则，以允许不符合其它所有规则条件的报文通过。 什么是访问控制列表？ ■访问控制列表的分类 按照访问表的用途，常见的有五种类型： IP标准访问控制列表 IP扩展访问控制列表 MAC标准访问控制列表 MAC扩展访问控制列表 什么是访问控制列表？ ■访问控制列表的分类 1、IP标准访问列表 IP标准访问列表只根据报文的源地址进行制定规则，对数据包进行相应的 分析处理。例如，下面的标准IP访问列表拒绝从主机171.69.198.102发来的 报文，但是允许从其它主机发来的报文： ip access-list standard 1 10 deny host 171.69.198.102 20 permit any exit 什么是访问控制列表？ ■访问控制列表的分类 2、IP扩展访问列表 IP扩展访问列表可以根据IP上层协议号、源IP地址、目的IP地址、 源TCP/UDP端口号、目的TCP/UDP端口号、TCP标志、ICMP消息类型 和代码、TOS优先级等属性对数据包进行过滤。 例如，下面的IP扩展访问列表显示了拒绝从网络171.69.198.0/24发 往网络172.20.52.0/24的telnet报文，但是允许其它的TCP报文。 ip access-list extended 1001 10 deny tcp 171.69.198.0 0.0.0.255 172.20.52.0 0.0.0.255 eq telnet 20 permit tcp any any exit 什么是访问控制列表？ ■访问控制列表的分类 3、MAC标准访