标准访问控制列表

,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,第18节访问控制列表 （ACL）的配置,本课题主要内容,使用标准访问控制列表和扩展访问控制列表控制网络流量的方法,标准访问控制列表和扩展访问控制列表以及在路由接口应用ACL的实例。,4.1访问控制列表访问控制列表概述,一、概念,访问控制列表简称 ACL(Access Control Lists），它使用包过滤技术，在路由器上读取第3层或第4层包头中的信息，如源地址、目的地址、源端口、目的端口以及上层协议等，根据预先定义的规则决定哪些数据包可以接收、哪些数据包需要拒绝，从而达到访问控制的目的。配置路由器的访问控制列表是网络管理员一件经常性的工作。,图4-1-1 网络中使用ACL,访问控制列表,Internet,访问控制列表概述,二、组成,访问控制列表概述,三、ACL的作用,ACL的作用主要表现在两个方面：一方面保护资源节点，阻止非法用户对资源节点的访问；另一方面限制特定的用户节点所能具备的访问权限。,（1）检查和过滤数据包。,（2）限制网络流量，提高网络性能。,（3）限制或减少路由更新的内容。,（4）提供网络访问的基本安全级别,。,4.1.2 ACL的工作原理,一、,工作原理,当一个数据包进入路由器的某一个接口时，路由器首先检查该数据包是否可路由或可桥接。然后路由器检查是否在入站接口上应用了ACL。如果有ACL，就将该数据包与ACL中的条件语句相比较。如果数据包被允许通过，就继续检查路由器选择表条目以决定转发到的目的接口。ACL不过滤由路由器本身发出的数据包，只过滤经过路由器的数据包。下一步，路由器检查目的接口是否应用了ACL。如果没有应用，数据包就被直接送到目的接口输出。,图4-1-2 ACL匹配性检查,是,非,到达访问控制组接口的数据包,匹配第一步,匹配第二步,匹配最后一步,数据包垃圾桶,目的接口,是,允许？,是,是,非,非,非,非,4.1.2 ACL的工作原理,二、ACL匹配性检查,4.2 配置标准访问控制列表,最广泛使用的访问控制列表是IP访问控制列表，IP访问控制列表工作于TCP/IP协议组。按照访问控制列表检查IP数据包参数的不同，可以将其分成标准ACL和扩展ACL两种类型。此外Cisco IOS 11.2版本中还引入了IP命名ACL类型。从本节开始分别介绍各种ACL的配置方法。,4.2.1 标准ACL的工作过程,图4-2-1 标准ACL的工作过程,4.2.2 配置标准ACL,一、在路由器上RTB上配置如下：,RTB(config,RTB(config,RTB(config)#access-list 1 permit any,RTB(config)#interface s0/0,RTB(config-if)#ip access-group 1 in,二、,呼入,Telnet,会话管理,参 数,描 述,access-list-number,访问控制列表表号，用来指定入口属于哪一个访问控制列表。对于标准ACL来说，是一个从1到99或1300到1999之间的数字,Deny,如果满足测试条件，则拒绝从该入口来的通信流量,Permit,如果满足测试条件，则允许从该入口来的通信量,Source,数据包的源地址，可以是网络地址或是主机IP地址,source-wildcard,可选项）通配符掩码，又称反掩码，用来跟源地址一起决定哪些位需要匹配,Log,（可选项）生成相应的日志消息，用来记录经过ACL入口的数据包的情况,三、,在通配符掩码中有两种比较特殊，分别是any和host。any可以表示任何IP地址，例如：,Router(config,等同于：,Router(config)#access-list 10 permit any,host表示一台主机，例如：,Router(config,等同于：,Router (config)#access-list 10 permit host 172.16.30.22,另外，可以通过在access-list命令前加no的形式，来删除一个已经建立的标准ACL，使用语法格式如下：,Router(config)#,no access-list,access-list-number,例如：,Router(config)#no access-list 10,