ACL--访问控制列表ppt课件.ppt

第一章访问控制列表（ACL）,1,理解ACL的基本原理会配置标准ACL会配置扩展ACL会配置ACL对网络进行控制,本课程目标,学习完本课程，您应该能够：,2,本章结构,访问控制列表的配置,标准访问控制列表的配置,扩展访问控制列表的配置,命名访问控制列表配置,访问控制列表,访问控制列表的工作原理,访问控制列表的类型,访问控制列表概述,访问控制列表的应用,定时访问控制列表的配置,3,3,访问控制列表概述,访问控制列表（ACL）读取第三层、第四层包头信息根据预先定义好的规则对包进行过滤,IP报头,TCP报头,数据,源地址目的地址,源端口目的端口,访问控制列表利用这4个元素定义的规则,4,4,访问控制列表的工作原理,访问控制列表在接口应用的方向访问控制列表的处理过程,5,5,访问控制列表类型,标准访问控制列表扩展访问控制列表命名访问控制列表定时访问控制列表,6,6,访问控制列表反码,7,/24子网掩码：反向掩码：55子网掩码为1的位，在反向掩码中为0；子网掩码为0的位，在反向掩码中为1。例如：/28的反向掩码应该是多少？,7,访问控制列表反码,8,控制所有网络流量55=any控制一台主机流量=host控制/24一个网络流量55控制一个子网/28流量5控制多个子网/24流量55,8,标准ACL与扩展ACL区别,标准ACL只根据源IP过滤，列表号1-99扩展ACL根据源、目IP、协议、端口过滤，列表号100-199,9,标准访问控制列表配置3-1,创建ACLRouter(config)#access-listaccess-list-numberpermit|denysourcesource-wildcard删除ACLRouter(config)#noaccess-listaccess-list-number,允许,拒绝,10,10,标准访问控制列表配置3-2,应用实例Router(config)#access-list1permit55Router(config)#access-list1permit允许/24和主机的流量通过隐含的拒绝语句Router(config)#access-list1deny55关键字hostany,11,11,标准访问控制列表配置3-3,12,将ACL应用于接口Router(config-if)#ipaccess-groupaccess-list-numberin|out在接口上取消ACL的应用Router(config-if)#noipaccess-groupaccess-list-numberin|out,12,标准访问控制列表配置实例,需求描述禁止主机PC1与主机PC2互访，允许所有其他的流量在哪个接口应用标准ACL应用在入方向还是出方向应用在哪台路由器,/24.,/24,R1,PC1,F0/0,F0/0,F0/0,R2,R3,PC2,/24,R3(config)#access-list1denyhostR3(config)#access-list1permitanyR3(config)#intf0/0R3(config-if)#ipaccess-group1in,R3#showaccess-listsStandardIPaccesslist110deny20permitany,13,13,扩展访问控制列表配置2-1,创建ACLRouter(config)#access-listaccess-list-numberpermit|denyprotocolsourcesource-wildcarddestinationdestination-wildcardoperatoroperan删除ACLRouter(config)#noaccess-listaccess-list-number将ACL应用于接口Router(config-if)#ipaccess-groupaccess-list-numberin|out在接口上取消ACL的应用Router(config-if)#noipaccess-groupaccess-list-numberin|out,14,14,Protocol:IP：所有IP流量TCP:UDPICMPSource:源IP+反码Destination：目IP+反码Operator：eq等于gt大于lt小于neq不等于,15,扩展访问控制列表配置2-2,应用实例1Router(config)#access-list101permitip5555Router(config)#access-list101denyipanyany应用实例2Router(config)#access-list101denytcp55hosteq21Router(config)#access-list101permitipanyany应用实例3Router(config)#access-list101denyicmp55hostRouter(config)#access-list101permitipanyany,16,16,R1(config)#access-list111permittcphosthosteq80R1(config)#access-list111denyiphosthostR1(config)#access-list111permitiphost55Intf0/0Ipaccess-group111in,扩展访问控制列表配置实例,需求描述允许PC1访问Web服务器的WWW服务禁止PC1访问Web服务器的其它服务允许主机PC1访问网络/24,17,17,命名访问控制列表配置5-1,创建ACLRouter(config)#ipaccess-liststandard|extendedaccess-list-name配置标准命名ACLRouter(config-std-nacl)#Sequence-Numberpermit|denysourcesource-wildcard配置扩展命名ACLRouter(config-ext-nacl)#Sequence-Numberpermit|denyprotocolsourcesource-wildcarddestinationdestination-wildcardoperatoroperan,标准命名ACL,扩展命名ACL,Sequence-Number决定ACL语句在ACL列表中的位置,18,18,命名访问控制列表配置5-2,标准命名ACL应用实例,查看ACL配置信息Router#showaccess-listsStandardIPaccesslistcisco10permit20denyany,Router(config)#ipaccess-liststandardciscoRouter(config-std-nacl)#permithostRouter(config-std-nacl)#denyany允许来自主机/24的流量通过,更改ACL,又允许来自主机/24的流量通过Router(config)#ipaccess-liststandardciscoRouter(config-std-nacl)#15permithost,Router#showaccess-listsStandardIPaccesslistcisco10permit15permit20denyany,添加序列号为15的ACL语句,ACL语句添加到了指定的ACL列表位置,19,19,命名访问控制列表配置5-3,扩展命名ACL应用实例Router(config)#ipaccess-listextendedciscoRouter(config-ext-nacl)#denytcp55hosteq21Router(config-ext-nacl)#permitipanyany,20,20,命名访问控制列表配置5-4,删除整组ACLRouter(config)#noipaccess-liststandard|extendedaccess-list-name删除组中单一ACL语句noSequence-NumbernoACL语句,创建ACLRouter(config)#ipaccess-liststandardciscoRouter(config-std-nacl)#permithostRouter(config-std-nacl)#endRouter#showaccess-listsStandardIPaccesslistcisco10permit删除组中单一ACL语句Router(config-std-nacl)#no10或Router(config-std-nacl)#nopermithost,21,21,命名访问控制列表配置5-5,将ACL应用于接口Router(config-if)#ipaccess-groupaccess-list-namein|out在接口上取消ACL的应用Router(config-if)#noipaccess-groupaccess-list-namein|out,22,22,定义时间范围,定义时间范围的名称Router(config)#time-rangetime-range-name指定该时间范围何时生效定义一个时间周期Router(config-time-range)#periodicdays-of-the-weekhh:mmtodays-of-the-weekhh:mm定义一个绝对时间Router(config-time-range)#absolutestarthh:mmdaymonthyearendhh:mmdaymonthyear,参数days-of-the-week的取值,23,23,定时访问控制列表配置2-1,扩展ACL中引入时间范围Router(config)#access-listaccess-list-numberpermit|denyprotocolsourcesource-wildcarddestinationdestination-wildcardoperatoroperantime-rangetime-range-name将ACL应用于接口Router(config-if)#ipaccess-groupaccess-list-numberin|out,24,24,定时访问控制列表配置2-2,应用实例1Router(config)#time-rangemytimeRouter(config-time-range)#periodicweekdays8:30to17:30Router(config-time-range)#exitRouter(config)#access-list101permitipanyanytime-rangemytimeRouter(config)#intf0/0Router(config-if)#ipaccess-group101in应用实例2Router(config)#time-rangemytimeRouter(config-time-range)#absolutestart8:0010may2009end18:0020may2009Router(config-time-range)#exitRouter(config)#access-list101permitipanyanytime-rangemytimeRouter(config)#intf0/0Router(config-if)#ipaccess-group101in,2