欢迎来到天天文库
浏览记录
ID:39710837
大小:292.26 KB
页数:42页
时间:2019-07-09
《《访问控制列表ACL》PPT课件》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库。
1、第7章访问控制列表(ACL)8.1ACL概述利用ACL可以对经过路由器的数据包按照设定的规则进行过滤,使数据包有选择的通过路由器,起到防火墙的作用。访问控制列表(ACL)由一组规则组成,在规则中定义允许或拒绝通过路由器的条件。ACL过滤的依据主要包括源地址、目的地址、上层协议等。ACL有两种:标准访问控制列表、扩展访问控制列表。ACL的基本用途是限制访问网络的用户,保护网络的安全。ACL一般只在以下路由器上配置:1、内部网和外部网的边界路由器。2、两个功能网络交界的路由器。限制的内容通常包括:1、允许那些用户访问网络。(根据用户的IP地址进行限制)2、允许用户访问的类
2、型,如允许http和ftp的访问,但拒绝Telnet的访问。(根据用户使用的上层协议进行限制)ACL的工作过程访问控制列表(ACL)由多条判断语句组成。每条语句给出一个条件和处理方式(通过或拒绝)。路由器对收到的数据包按照判断语句的书写次序进行检查,当遇到相匹配的条件时,就按照指定的处理方式进行处理。ACL中各语句的书写次序非常重要,如果一个数据包和某判断语句的条件相匹配时,该数据包的匹配过程就结束了,剩下的条件语句被忽略。8.2ACL语句一个访问控制列表(ACL)可由多条语句组成,每条ACL语句的形式为:Router(config)#access-list表号处理方
3、式条件ACL表号:用于区分各访问控制列表。一台路由器中可定义多个ACL,每个ACL使用一个表号。其中针对IP数据报的ACL可使用的表号为:标准访问控制列表:1~99。扩展访问控制列表:100~199。同一个ACL中各语句的表号相同。处理方式:取值有permit(允许)和deny(拒绝)两种。当数据包与该语句的条件相匹配时,用给定的处理方式进行处理。条件:每条ACL语句只能定义一个条件。例:access-list1permit10.0.0.00.255.255.255access-list1deny20.0.0.00.255.255.255第1句表示允许地址为10.*.
4、*.*的数据包通过。第2句表示拒绝地址为20.*.*.*的数据包通过。这里的地址指数据包的源地址。应用ACL如果只是定义了ACL,它还不会起到任何作用,必须把ACL应用到一个接口上才能起作用。应用ACL:Router(config)#interface接口号Router(config-if)#ipaccess-group表号[in
5、out]in:表示在数据包进入此接口时使用ACL进行过滤。out:表示在数据包离开此接口时使用ACL进行过滤。通常,使用出站接口检查的数据包数量较少,效率要高一些。例:Router(config)#interfacee0Router(con
6、fig-if)#ipaccess-group1out表示在e0口上使用表号为1的ACL对出站数据包进行过滤。通配符掩码在ACL语句中,当使用地址作为条件时,它的一般格式为:地址通配符掩码。通配符掩码决定了地址中的哪些位需要精确匹配,哪些为不需要匹配。通配符掩码是一个32位数,采用点分十进制方式书写。匹配时,“0”表示检查的位,“1”表示不检查的位。如:192.168.1.10.0.255.255表示检查前16位,忽略后16位,所以这个条件表示的地址是192.168.*.*。any条件:当条件为所有地址时,如果使用通配符掩码应写为:0.0.0.0255.255.255.
7、255这时可以用“any”表示这个条件。如:Router(config)#access-list1permit0.0.0.0255.255.255.255Router(config)#access-list1permitany上面两个语句是等价的。host关键字:当条件为单一IP地址时,如果使用通配符掩码应写为:IP地址0.0.0.0这时可以用“host”关键字定义这个条件。如:Router(config)#access-list1permit200.1.1.50.0.0.0Router(config)#access-list1permithost200.1.1.5上
8、面两个语句是等价的。8.3标准访问控制列表标准ACL只能使用地址作为条件。标准ACL使用数据包的源地址匹配ACL语句中的条件。定义标准ACL时,可使用的表号为1~99。(针对IP数据报)标准ACL配置举例1R1E0一个局域网连接在路由器R1的E0口,这个局域网要求只有来自10.0.0.0/8、192.168.0.0/24、192.168.1.0/24的用户能够访问。R1(config)#access-list1permit10.0.0.00.255.255.255R1(config)#access-list1permit192.168.0.00.0.
此文档下载收益归作者所有