第8周5、6接入网、网络设备互联、无线局域网电子教案

第 16周第 1-2 课时2011年 12月 日课题名称：扩展访问控制列表课的类型：新课教学目标：理解扩展访问控制列表的作用；掌握扩展访问控制列表配置教学重点：掌握扩展的访问控制列表配置教学难点：无 课时安排：2课时教学方法：案例教学教学过程：一、访问列表概述访问列表是由一系列语句组成的列表，这些语句主要包括匹配条件和采取的动作（允许或禁止）两个内容;访问列表应用在路由器的接口上，通过匹配数据包信息与访问表参数来决定允许数据包通过还是拒绝数据包通过某个接口;数据包是通过还是拒绝，主要通过数据包中的源地址、目的地址、源端口、目的端口、协议等信息来决定;访问控制列表可以限制网络流量，提高网络性能，控制网络通信流量等，同时ACL也是网络访问控制的基本安全手段。二、IP访问列表1. 标准IP 访问列表：其只检查数据包的源地址，从而允许或拒绝基于网络、子网或主机的IP 地址的所有通信流量通过路由器的出口。 2. 扩展IP访问列表：它不仅检查数据包的源地址，还要检查数据包的目的地址、特定协议类型、源端口号、目的端口号等3. 命名的IP访问列表 所谓命名的IP访问控制列表是以列表名代替列表编号来定义IP访问控制列表，同样包括标准和扩展两种列表，定义过滤的语句与编号方式中相似。l 命名IP访问列表通过一个名称而不是一个编号来引用的。l 命名的访问列表可用于标准的和扩展的访问表中。l 名称的使用是区分大小写的，并且必须以字母开头。在名称的中间可以包含任何字母数字混合使用的字符，也可以在其中包含，、，、_、-、+、/、.、&、$、#、!以及?等特殊字符l 名称的最大长度为1 0 0个字符4. 编号IP访问列表和命名IP访问列表的区别l 名字能更直观地反映出访问列表完成的功能l 命名访问列表突破了99个标准访问列表和100个扩展访问列表的数目限制，能够定义更多的访问列表。l 命名IP访问列表允许删除个别语句，而编号访问列表只能删除整个访问列表l 单个路由器上命名访问列表的名称在所有协议和类型的命名访问列表中必须是唯一的，而不同路由器上的命名访问列表名称可以相同。三、ACL转发的过程四、访问列表配置步骤第一步是配置访问列表语句第二步是把配置好的访问列表应用到某个端口上访问列表注意事项o 注意访问列表中语句的次序，尽量把作用范围小的语句放在前面。o 新的表项只能被添加到访问表的末尾，这意味着不可能改变已有访问表的功能。如果必须要改变，只有先删除已存在的访问列表，然后创建一个新访问列表、然后将新访问列表用到相应的接口上。o 标准的IP访问列表只匹配源地址，一般都使用扩展的IP访问列表以达到精确的要求。o 标准的访问列表尽量靠近目的，由于标准访问表只使用源地址，因此将其靠近源会阻止报文流向其他端口。扩展的访问列表尽量靠近过滤源的位置上，以免访问列表影响其他接口上的数据流。o 在应用访问列表时，要特别注意过滤的方向五、扩展IP访问列表的配置命令1、配置扩展访问列表n （config）#access-list access-list-number permit|deny protocol source-address source-wildcard source-port destinaiton address destination-wildcard destination-port log optionsn access-list-number：编号范围为100199。n Permit：通过；deny：禁止通过n Protocol：需要被过滤的协议的类型，如IP、TCP、UDP、ICMP、EIGRP等。n source-address ：源IP地址n source-wildcard：源通配符掩码n source-port：可以是单一的某个端口，也可以是一个端口范围n destination-address：目的IP地址n destination-wildcard：目的地址通配符掩码n destination-port：目的端口号，指定方法与源端口号的指定方法相同2、应用访问列表到接口n ip access-group access-list-number in|outn In：通过接口进入路由器的报文n Out：通过接口离开路由器的报文3、显示所有协议的访问列表配置细节n show access-lists access-list-number4、扩展IP访问列表配置举例要求允许LAN3的所有主机能登录Internet，但只能浏览WWW、FTP、SMTP、POP3协议的通信。LAN2中的主机向Internet提供WWW服务，主机向Internet提供FTP服务，主机向Internet提供SMTP服务，其余主机不能被Internet访问。LAN1中的主机不能访问Internet，但可以访问LAN2和LAN3o router# configure terminalo router(config)#access-list 101 permit tcp 55 any eq wwwo router(config)#access-list 101 permit tcp 55 any eq ftpo router(config)#access-list 101 permit tcp 55 any eq smtpo router(config)#access-list 101 permit tcp 55 any eq pop3o router(config)#access-list 101 deny ip any 55o router(config)#access-list 102 permit tcp any host eq wwwo router(config)#access-list 102 permit tcp any host eq ftpo router(config)#access-list 102 permit tcp any host eq smtpo router(config)# interface serial 1o router(config-if)# ip access-group 101 outo router(con