配置访问控制列表.pptx

第6讲配置访问控制列表

概述ACL概述ACL的工作过程ACL分类ACL配置翻转掩码(wildcardbits）标准ACL的配置扩展ACL的配置标识ACL的配置使用ACL控制VTY的访问ACL配置要点

6.1ACL概述为什么要使用ACL随着网络的增长，要求对IP流量进行管理通过在路由器中设置包过滤来管理IP流量

6.1ACL概述什么是ACLACL是一个授权和拒绝条件的序列表基于协议不能过滤本地路由器的流量12

6.1ACL概述ACL的用途用于各个LAN间的接口，过滤LAN流量用于VTY，过滤Telnet用于Dial-on-demand(DDR)优先级(priority)和队列管理

6.1ACL概述ACL的分类入栈ACL：在网络入口处对数据包进行检查，如果被deny,则不需要路由,如果包被permits然后进行路由

6.1ACL概述ACL的分类出栈ACL：进入路由器的包被路由后进入outbound接口,然后进行Outbound访问列表匹配

6.1ACL概述ACL的逻辑测试过程

6.1ACL概述ACL的逻辑测试过程如果数据包与ACL中某条语句匹配，则列表中其它语句会被忽略如果数据包与某个命令不匹配，则继续检查ACL下一个命令语句如果到达ACL的最后一条命令仍不匹配，数据包会被丢弃

6.1ACL概述5.ACL的逻辑测试过程使用ACL要小心，至少ACL中要有一条允许语句ACL命令的放置顺序是很重要的当检测到某个命令条件满足的时候，就不会再检测后面的指令条件应该先创建ACL，再将其绑定到入口或者是出口ACL只能过滤通过路由器的数据流量，不能过滤路由器本身产生的数据流量

6.1ACL概述ACL举例要求只允许主机和网络的数据包通过第一条命令：条件：IP地址，操作：允许。第二条命令：条件：网络地址，操作：允许。

6.2ACL的分类ACL的分类标准ACL(standard):检查数据包的源地址扩展ACL(extended):检查数据包的源地址、目的地址、特定的协议、端口号码以及其它参数使用更灵活

标准ACL6.2ACL的分类

6.2ACL的分类标准ACL举例

6.2ACL的分类扩展ACL

6.2ACL的分类扩展ACL举例

6.3ACL的配置1.配置ACL要点访问列表要指明过滤什么协议;按顺序匹配访问列表;一般限制性的访问列表应该放在前面;在访问列表的最后隐性定义了denyany—所以每个访问列表应该至少包含一条permit声明,否则将过滤掉所有包;先创建访问列表,后使用;访问列表过滤通过路由器的流量,但不会应用于源自路由的流量

6.3ACL的配置2.ACL的编号NumberRange/IdentifierIP 1-99,1300-1999100-199,2000-2699Name(CiscoIOS11.2andlater)800-899900-9991000-1099Name(CiscoIOS11.2.Fandlater)StandardExtendedSAPfiltersNamedStandardExtendedNamedAccessListTypeIPX

6.3ACL的配置配置ACL的步骤创建ACLaccess-listaccess-list-number{permit|deny}{testconditions

6.3ACL的配置配置ACL的步骤将ACL绑定到接口{protocol}access-groupaccess-list-number{in|out}0102

6.4翻转掩码01翻转掩码的作用使用IP地址与翻转掩码地址对来定义测试条件简化测试过程，避免额外的输入02

6.4翻转掩码翻转掩码的格式与子网掩码类似，翻转掩码是由0、1二进制组成的32位数字，分成4段

6.4翻转掩码翻转换码的配置规则1意味着忽略0意味着检查

6.4翻转掩码翻转掩码练习检查某个地址是不是，地址对是多少？检查某个地址是不是来自网络，地址对是多少？检查某个地址是不是，地址对是多少？忽略所有的地址，地址对是多少？

6.4翻转掩码Any和hostHost9＝

翻转掩码Any和hostAny55＝any

6.4翻转掩码复杂一点的例子

6.4翻转掩码练习检查某个地址是不是在范围内，地址对是多少？检查某个地址是不是在，地址对是多少？检查某个地址是不是在，地址对是多少？12

6.5标准ACL的创建1.创建标准ACLaccess-listaccess-list-number{permit|deny}source[mask]