8.1、访问控制列表
- 格式:ppt
- 大小:158.50 KB
- 文档页数:24


第十章访问控制列表配置教学目的:1.了解访问控制列表的作用2.了解标准访问控制列表与扩展访问列表的异同3.掌握访问控制列表的原理4.掌握访问列表的配置方法知识点:1.访问列表2.包过滤3.流量控制4.通配掩码10.1 访问控制列表(access-list)一、访问列表的作用访问控制列表是在使用路由技术的网络中,识别和过滤进入到网络或发出去的符合规定条件的数据流量,以决定是否允许发送或丢弃数据流量。
访问控制是控制流量的一种方法,是实现防火墙的重要手段。
二、访问列表的应用1.在物理接口上应用访问控制列表实现流量控制。
2.在虚拟终端线路接口(vty)应用访问控制列表,实现对登录用户的控制。
3.还可以应用到队列技术、按需拨号、VPN、NA T等。
三、访问列表的工作流程1.进方向上的工作流程:2.出方向上的工作流程:四、访问列表的控制条件根据IP数据包中包含的信息,可以对数据包的源IP地址、目的IP地址、被路由的协议类型、数据要访问的端口等作为判断条件。
五、访问列表执行流程访问控制列表实际上是一些列判断语句,被过滤的数据包会一个个和这些条件语句进行比较,当符合条件则执行操作(permit或deny );否则进行下一条件判断。
六、注意事项1.访问控制列表的列表号指出是哪种协议的访问控制列表。
即每种协议(IP、IPX等)定义一个访问控制列表。
2.一个访问控制列表的配置是每协议、每接口、每方向的。
每种协议可以定义进出两个控制访问控制列表。
3.访问控制列表的顺序决定了对数据包控制顺序。
4.在访问控制列表最后,有一条隐含的“全部拒绝”命令,因此在控制列表里至少有一条“允许”语句。
5.访问控制列表只能过滤穿过路由器的数据流量,不能过滤路由器本身发出的数据包。
10.2 访问控制列表分类访问控制列表有两种类型:标准访问控制列表、扩展访问控制列表。
✓标准访问控制列表判断条件是数据包的源IP地址,只能过滤来自某个网络或主机的数据包。
ACL(访问控制列表)一、基本:1、基本ACL表2、扩展ACL表3、基于时间的ACL表4、动态ACL表二、ACL工作过程1、自上而下处理1)、如果有一个匹配的ACL,后面的ACL表不再检查2)、如果所有的ACL都不匹配,禁止所有的操作(隐含)特例,创建一个空的ACL表,然后应用这个空的ACL表,产生禁止所有的操作。
3)、后添加的ACL表,放在尾部4)、ALC表放置的原则:如果是基本ACL表,尽量放在目的端,如果是扩展ACL表,尽量放在源端5)、语句的位置:一般具体ACL表放在模糊的ACL表前6)、3P原则:每一个协议每一个接口每一个方向只有一个ACL表。
(多个ACL表会引起干扰)7)、应用ACL的方向,入站和出站,应用在接口上三、基本ACL表(不具体)1、定义命令:access-list <</span>编号> permit/denny 源IP地址 [子网掩码反码]应用命令:ip access-group <</span>编号> in/out 查看命令:sh access-lists1)、编号:1-99和1300-19992)、可以控制一台计算机或控制一段网络3)、host:表示一台计算机4)、any:表示任何计算机四、ACL配置步骤:1、定义ACL表2、应用ACL表五、路由器在默认的情况下,对所有数据都是开放,而防火墙在默认情况下,对所有数据都禁止。
六:判断是流入还是流出,看路由器的数据流向七:注意:如果在写禁止,小心默认禁止所有1.控制一台计算机(禁止)Access-list 1 deny 172.16.2.100Access-list 1 permit anyInterface f0/0Ip access-group 1 out (应用到端口)2、控制一段网络(禁止)Access-list 1 deny 172.16.2.0 0.0.0.255Access-list 1 permit anyInterface f0/0Ip access-group 1 out(应用到端口)3、控制一台计算机(允许)Access-list 1 permit 172.16.1.1004、控制一个网段(允许)Access-list 1 permit 172.16.1.0 0.0.0.255telnet服务配置:1)、使能密码2)、登录密码控制telnet服务应用端口命令:access-class <</span>编号> in/out 实例:只允许172.16.1.100能够使用telnet服务access-list 1 permit 172.16.1.100 Line vty 0 4Access-class 1 in实例:。