《《访问控制列表》PPT课件.ppt》由会员分享,可在线阅读,更多相关《《访问控制列表》PPT课件.ppt(20页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、第第第第3 3 3 3讲讲讲讲 访问控制列表访问控制列表访问控制列表访问控制列表主讲人:黄 彦 .课程内容课程内容3.1 ACL概述概述3.2 ACL的配置任务的配置任务3.3 标准访问控制列表标准访问控制列表3.4 扩展访问控制列表扩展访问控制列表3.5 正确放置访问控制列表正确放置访问控制列表1/21/20232ACL.3.1 ACL概述概述3.1.1 ACL简介简介3.1.2 ACL功能功能3.1.3 ACL创建顺序及其使用创建顺序及其使用3.1.4 ACL工作过程工作过程1/21/20233ACL.3.1.1 ACL简介访问控制列表(访问控制列表(Access Control List
2、,ACL),),又称包过滤。又称包过滤。当数据包进入路由器某个端口时,路由器判断当数据包进入路由器某个端口时,路由器判断该数据包是否满足此端口的该数据包是否满足此端口的包过滤规则包过滤规则,若满,若满足则允许其通过,否则将其丢弃。足则允许其通过,否则将其丢弃。在在Cisco路由器中设置包过滤规则,即是配置路由器中设置包过滤规则,即是配置ACL的过程。的过程。1/21/20234ACL.3.1.2 ACL功能功能限制网络流量,提高网络性能。限制网络流量,提高网络性能。提供对通信流量的控制手段。提供对通信流量的控制手段。提供网络访问的基本安全手段。提供网络访问的基本安全手段。1/21/20235A
3、CL.3.1.3 ACL创建顺序及其使用数据包数据包匹配第一步匹配第一步匹配下一步匹配下一步匹配最后一步匹配最后一步允许?允许?数据包垃圾桶数据包垃圾桶YYYNNNYN1/21/20236ACL.3.1.4 ACL工作过程工作过程选择端口ACL数据包测试条件测试条件允许?允许?不想要的数据通知发送端数据包垃圾桶路由选择路由选择表入口?表入口?可路由?可路由?出站出站数据包数据包入站入站YYYYNNN1/21/20237ACL.3.2 ACL的配置任务的配置任务3.2.1 配置配置ACL的基本步骤的基本步骤3.2.2 分配分配ACL表号表号3.2.3 通配符掩码通配符掩码1/21/20238AC
4、L.3.2.1 配置ACL的基本步骤的基本步骤定义定义ACL;隐含声明:隐含声明:Cisco路由器规定,每一个路由器规定,每一个ACL的最后一行都的最后一行都是拒绝转发所有的数据包(隐式方式),在配置过程的是拒绝转发所有的数据包(隐式方式),在配置过程的最后要注明最后要注明permit any,表示允许数据包转发。表示允许数据包转发。将将ACL配置到合适的端口。配置到合适的端口。1/21/20239ACL.3.2.2 分配ACL表号表号标准标准ACL的标识号码范围:的标识号码范围:199 扩展扩展ACL的标识号码范围:的标识号码范围:100199 1/21/202310ACL.3.2.3 通配
5、符掩码通配符掩码any:所有地址所有地址 host:特定主机特定主机例:例:1/21/202311ACL.3.3 标准访问控制列表标准访问控制列表3.3.1 标准标准ACL工作原理工作原理3.3.2 标准标准ACL配置配置1/21/202312ACL.3.3.1 标准标准ACL工作原理工作原理只对数据包中的源只对数据包中的源IP地址进行检查。地址进行检查。即标准即标准ACL只包含只包含源主机的源主机的IP地址地址。1/21/202313ACL.3.3.2 标准标准ACL配置配置实例:某单位欲禁止主机实例:某单位欲禁止主机PC4PC4访问子网,访问子网,以提高网络的安全性。以提高网络的安全性。1
6、1/21/202314ACL.access-list 功能:定义功能:定义ACL。参数参数1:access-list-number,ACL标识号码,十进制。可选范围为标识号码,十进制。可选范围为 199;参数参数2:deny/permit,deny拒绝转发(丢弃),拒绝转发(丢弃),permit允许转发;允许转发;参数参数3:source/any,数据包的源地址(主机地址或网络号)。,数据包的源地址(主机地址或网络号)。any表示所有地址。表示所有地址。ip access-group 功能:在端口配置模式下,将功能:在端口配置模式下,将ACL应用到指定端口。应用到指定端口。参数参数1:acce
7、ss-list-number,ACL标识号码;标识号码;参数参数2:in/out,in表示检查进入该端口的数据包,表示检查进入该端口的数据包,out表示检查送出表示检查送出 该端口的数据包。该端口的数据包。show access-list access-list-number 功能:显示功能:显示ACL。参数:参数:access-list-number,ACL标识号码。若缺省,则显示所有的标识号码。若缺省,则显示所有的ACL。3.3.2 3.3.2 标准标准ACLACL配置配置1/21/202315ACL.3.4 扩展访问控制列表扩展访问控制列表3.4.1 扩展扩展ACL工作原理工作原理3.4
8、.2 扩展扩展ACL配置配置1/21/202316ACL.3.4.1 扩展ACL工作原理过滤规则可以对过滤规则可以对协议协议、源主机的源主机的IP地址地址、目目的主机的的主机的IP地址地址和和端口号端口号等内容进行检查。等内容进行检查。1/21/202317ACL.3.4.2 扩展ACL配置实例:实例:PC1为文件服务器,欲禁止位于另一为文件服务器,欲禁止位于另一子网的客户机子网的客户机PC3对它的访问。对它的访问。11/21/202318ACL.access-list operator operand/protocol-keyword 功能:定义扩展功能:定义扩展ACL。参数参数1:acce
9、ss-list-number,ACL标识号码。可选范围为标识号码。可选范围为100199;参数参数2:deny/permit,如果匹配,如果匹配deny拒绝转发,拒绝转发,permit允许转发;允许转发;参数参数3:protocol:协议类型,可是:协议类型,可是ip,icmp,tcp和和udp等。等。参数参数4:source/any,数据包源地址(主机地址或网络号)。,数据包源地址(主机地址或网络号)。any表示所表示所有地址。有地址。参数参数5:destination/any,数据包目的地址(主机地址或网络号)。,数据包目的地址(主机地址或网络号)。any表示所有地址。表示所有地址。参数参
10、数6:operator,操作符,可是,操作符,可是lt,gt,eq和和neq,分别表示小于、大于、,分别表示小于、大于、等等 于和不等于;于和不等于;参数参数7:operand/protocol-keyword,操作数或协议标识关键字,可是任,操作数或协议标识关键字,可是任意端口号或协议名,如意端口号或协议名,如21,23,80或或ftp,telnet,http。show ip interface 功能:显示端口的功能:显示端口的IP信息。信息。参数:参数:type slot/number,端口类型和端口号。,端口类型和端口号。3.4.2 3.4.2 扩展扩展扩展扩展ACLACL配置配置配置配置1/21/202319ACL.3.5 正确放置访问控制列表正确放置访问控制列表把把标准标准ACL放置在距离放置在距离目的地目的地最近的位置最近的位置把把扩展扩展ACL放置在距离要被拒绝的通信流量的放置在距离要被拒绝的通信流量的来源来源最近的位置最近的位置1/21/202320ACL