第五章 访问控制列表.pptVIP

一、ACL概述 什么是ACL IP Access-list或Access Control list ：IP访问列表或访问控制列表，简称IP ACL或ACL ACL就是对经过网络设备（路由器或三层交换机）端口的数据包进行过滤的一系列规则 一、ACL概述 为什么要使用ACL 一、ACL概述 ACL的作用 安全控制：允许一些符合条件的数据包通过，而拒绝不符合条件的数据包进或出端口。 流量过滤：限制某些类型的数据流量（如FTP、BT下载等）通过路由器，以提高网络带宽利用率。 数据流量标识：当网络中有两条以上链路时，ACL可对数据流作相应标识，让不同数据流走不同链路。 一、ACL概述 ACL的分类 一、ACL概述 ACL的应用原则 由 路由器应用ACL对流经接口的数据包进行控制 1.入栈应用（in） 经某接口进入设备内部的数据包进行安全规则过滤 2.出栈应用（out） 设备从某接口向外发送数据时进行安全规则过滤 一个接口在一个方向只能应用一组访问控制列表 二、ACL的工作原理及规则 ACL的工作过程——入栈应用 二、ACL的工作原理及规则 ACL的工作过程——出栈应用 二、ACL的工作原理及规则 ACL使用的基本规则和限制 ACL语句按名称或编号分组； 每条ACL语句都只有一组条件和操作，如果需要多个条件或多个行动，则必须生成多个ACL语句； 如果一条语句的条件中没有找到匹配，则处理列表中的下一条语句； 如果在ACL组的一条语句中找到匹配，则不再处理后面的语句； 如果处理了列表中的所有语句而没有指定匹配，不可见到的隐式拒绝语句拒绝该数据包； 由于在ACL语句组的最后隐式拒绝，所以至少要有一个允许操作，否则，所有数据包都会被拒绝； 二、ACL的工作原理及规则 ACL使用的基本规则和限制 7. 语句的顺序很重要，约束性最强的语句应该放在列表的顶部，约束性最弱的语句应该放在列表的底部； 8. 一个空的ACL组允许所有数据包，空的ACL组已经在路由器上被激活，但不包含语句的ACL，要使隐式拒绝语句起作用，则在ACL中至少要有一条允许或拒绝语句； 9. 只能在每个接口、每个协议、每个方向上应用一个ACL； 10. 在数据包被路由到其它接口之前，处理入站ACL； 11. 在数据包被路由到接口之后，而在数据包离开接口之前，处理出站ACL； 12. 当ACL应用到一个接口时，这会影响通过接口的流量，但ACL不会过滤路由器本身产生的流量。 二、ACL的工作原理及规则 ACL放在什么位置 只过滤数据包源地址的ACL应该放置在离目的地尽可能近的地方； 过滤数据包的源地址和目的地址以及其他信息的ACL，则应该放在离源地址尽可能近的地方； 只过滤数据包中的源地址的ACL有两个局限性： 即使ACL应用到路由器C的F0，任何用户A来的流量都将被禁止访问该网段的任何资源，包括数据库服务器。 流量要经过所有到达目的地的途径，它在即将到达目的地时被丢弃，这是对带宽的浪费。 三、ACL的配置 标准ACL的配置 1.定义标准ACL 定义编号的标准ACL (标准ACL)Router(config)# access-list 1-99 {permit|deny} 源地址 [通配符掩码] 定义命名标准ACL switch(config)# ip access-list standard name switch(config-std-nacl)#{permit|deny} 源地址 [通配符掩码] 2.应用标准ACL到接口 Router(config-if)# ip access-group {编号 | 命名} { in | out } 三、ACL的配置 通配符掩码 三、ACL的配置 扩展ACL的配置 1.定义扩展ACL 定义编号的扩展ACL (扩展ACL ) Router(config)# access-list 100-199 { permit | deny } 协议 源地址 通配符掩码 [源端口] 目的地址 通配符掩码 [ 运算符 端口号 ] 定义命名扩展ACL Router(config)# ip access-list extended {name} { permit | deny } 协议 源地址通配符掩码 [源端口] 目的地址 通配符掩码 [ 目的端口 ] 2. 应用扩展ACL到接口 Router(config-if)# ip access-group {编号 | 命名} { in | out } 三、ACL的配置 说明: 协议有 :TCP、IP、OSPF、UDP等