计算机网络技术第12章节访问控制列表.pptVIP

第12章 访问控制列表 主要内容 12.1 访问控制列表基础 12.2 配置访问控制列表 12.3 查看访问控制列表正确性的命令 12.4 配置访问控制列表的实验 12.1 访问控制列表基础 12.1.1访问控制列表的作用 12.1.2 访问控制列表的应用 12.1.3 应用在接口上的访问控制列表的工作流程 12.1.4 访问控制列表过滤数据包所依据的条件 12.1.5 访问控制列表的操作 12.1.6 定义访问控制列表时所应遵循的规范 12.1.7 访问控制列表命令的基本格式 12.1.8 通配符掩码 12.1.9 不同类型的访问控制列表的列表号 12.2 配置访问控制列表 12.2.1 配置标准的访问控制列表 12.2.2 使用访问控制列表控制telnet远程登录 12.2.3 配置扩展的访问控制列表 12.2.4 配置命名的访问控制列表 12.2.5 不同种类的访问控制列表在网络中的应用位置 12.1.1访问控制列表的作用 通过访问控制列表（Access Control Lists，ACL），路由器提供了基本的流量过滤能力。 管理网络数据流量，识别和过滤数据包，决定是转发还是丢弃。 实现安全策略。 12.1.2 访问控制列表的应用 把预先定义好的访问控制列表，应用于路由器的接口上。 在虚拟终端接口（vty）上应用访问控制列表，允许或拒绝某些用户远程登录（telnet）到路由器。 进方向的访问控制列表的工作流程 出方向的访问控制列表的工作流程 12.1.4 访问控制列表过滤数据包所依据的条件 IP包头格式。 根据所使用的判断条件不同，访问控制列表分为： 标准的 访问控制列表 扩展的 访问控制列表 标准的 访问控制列表 扩展的 访问控制列表 12.1.5 访问控制列表的操作 自上而下 按顺序 数据包与访问控制列表中的语句比较 有匹配的条件语句后，执行允许或拒绝。不和下面的语句比较。 最后有隐含的“全部拒绝”语句。 12.1.5 访问控制列表的操作 12.1.6 定义访问控制列表时所应遵循的规范 列表号决定了是标准的、扩展的。 一个访问控制列表是每协议、每接口、每方向的 访问控制列表的语句顺序决定了对数据包的控制顺序 最有限制性的语句应该放在首行 先建立访问控制列表，再应用到接口上 访问控制列表不能被逐条删除，只能删除整个访问控制列表。 在访问控制列表至少要有一条允许语句 访问控制列表只能过滤穿过路由器的数据流量，不能过滤路由器本身发出的数据包。 12.1.8 通配符掩码（Wildcard Mask） 在ACL中用来判断IP地址的网络位的掩码是通配符掩码. 通配符掩码与子网掩码一样也是32位，但它是以数字0表示该位为网络位，以数字1表示该位为主机位。 55 0 92 0 3 55 55 255-子网掩码=通配符掩码 12.1.9 不同类型的访问控制列表的列表号 12.2 配置访问控制列表 12.2.5 不同种类的访问控制列表在网络中的应用位置 上图，如果要禁止主机C访问主机A。 A(config)#access-list 1 deny host A(config)#access-list 1 permit any A(config)#intface e0 A(config-if)#ip access-list 1 out C(config)#access-list 101 deny ip host host C(config)#access-list 101 permit ip any any C(config)#intface s0/0 C(config-if)#ip access-list 101 out 考虑颠倒放置位置情况。 12.4 配置访问控制列表的实验 实验1 只有位于的网段的主机可以访问位于网段的主机，位于网段的主机不能访问位于网段的主机。 做法1：access-list 1 permit 55 Int e0 Ip access-group 1 out 做法2: access-list 1 deny 55 access-list 1 permit any Int e0 Ip access-group 1 out 对比区别。 实验2 实验2 使主机B不能访问位于网段的主机。 Access-list 2 deny Access-list 2 permit any Int e0 Ip access-group 2 out 实验2 使用扩展的： Access-list 102 ip deny host 55 Access-list 102 ip permit any any Int e1 Ip access-group 102 in