访问控制列表

1、 1. 1.掌握访问控制基本方法掌握访问控制基本方法 2. 2.掌握掌握ACLACL工作原理工作原理 3. 3.访问控制基本方法访问控制基本方法 4.ACL 4.ACL工作原理工作原理 What are ACLs? 访问控制列表是一系列允许或拒绝数据的指令的集合。ABCDEA说，请路由器Lab_a帮助我限制数据：1.阻止来自B、E的数据2.允许来自C、D的数据请每个源数据包接受检查：1.来自B、E的数据丢弃2.来自C、D的数据允许Lab_A接口检查接口检查访问控制列表访问控制列表ACL作用、分类作用、分类 ACL具有灵活的数据流过滤和控制能力。例如，网络管理者可能允许用户访问Internet，

2、而不允许外部的用户登录到局域网中。 ACL可以应用在路由器的接口上，也可以运行在路由协议上，更可以运行在Telnet线路上。 分类：一般用号码区别访问列表类型。 标准访问列表：只使用数据包的源地址作为测试条件。所有决定是基于源IP地址的。这意味着标准的访问列表基本上允许或拒绝整个协议组。 扩展访问列表：可以测试IP包的第3层和第4层报头中的字段。包括源IP地址、目的IP地址、网络层报头中的协议字段（如，TCP、UDP、ICMP等）以及位于传输层报头中的端口号。扩展访问列表具有在控制流量时做更细粒度决定的能力。 命名访问列表，从技术上来说实际上只有两种，命名的访问列表可以是标准的或扩展的访问列表

3、，并不是一种真正的新类型列表。标准列表标准列表基于源地址基于源地址ABCDEA说，请路由器Lab_a帮助我限制数据：1.阻止来自B、E的数据2.允许来自C、D的数据请每个源数据包接受检查：1.来自B、E的数据丢弃2.来自C、D的数据允许Lab_A接口检查接口检查扩展列表扩展列表基于源地址、目的地址、协议、端基于源地址、目的地址、协议、端口口ABCDEA说，请路由器Lab_a帮助我限制数据：1.阻止来自B、E的FTP数据，但允许来自B、E的HTTP数据2.允许来自C、D的FTP数据，阻止来自C、D的Telnet数据Lab_A接口检查接口检查扩展访问列表具有在控制流量时做更细粒度决定的能力。扩展访

4、问列表具有在控制流量时做更细粒度决定的能力。ACL的方向的方向Inbound or OutboundInbound 进入路由器接口的方向Outbound 出路由器的出口方向输入型访问列表：当访问列表被用于检测从接口输入的包时，包在进入路由器之前要经过访问列表的处理。路由器不能路由任何被拒绝的包，因为在路由之前这些包就会被丢弃掉。输出型访问列表：当访问列表用于检测从接口输出的包时，数据包已经应首先被路由到该输出接口，然后在进入该接口的输出队列之前经过访问列表的处理。即在被发送出去之前被处理。 OutgoingPacketE0S0IncomingPacketAccess List Processe

5、sPermit?Sourceand Destination进入路由过程进入路由过程ProtocolACL的工作流程的工作流程当一个数据报进入一个端口，路由器检查这个数据报是否可路由。 如果是可以路由的，路由器检查这个端口是否有ACL控制进入数据报。 如果有，根据ACL中的条件指令，检查这个数据报。 如果数据报是被允许的，就查询路由表，决定数据报的目标端口。路由器检查目标端口是否存在ACL控制流出的数据报 不存在，这个数据报就直接发送到目标端口。 如果存在，就再根据ACL进行取舍。然后在转发到目的端口。ACL的运行过程的运行过程 1.从第一行开始，按顺序比较访问列表的每一行，例如，从第一行开始，

6、然后转到第二行、第三行等等。 2.比较访问列表的各行直到比较到匹配的一行，一旦数据包与访问列表的某一行匹配，遵照规定行事，不再进行后续比较。 3.在每个访问列表的最后是一行隐含“deny any”（拒绝所有）语句，意味着如果数据包与访问列表中的所有行都不匹配，将被丢弃。 ACL的配置指南的配置指南一般规则一般规则先创建访问列表，然后将列表应用到一个接口。任何应用到一个接口的访问列表如果不是现成的访问列表，那么此列表不会过滤流量。除非在访问列表未尾有permit any (允许所有)，否则所有和列表的测试条件都不符合的数据包将被丢弃。因为每个访问列表的最后是一行隐含“deny any”（拒绝所有

7、）语句每个列表应当至少有一个允许语句，否则将会拒绝所有流量。每个接口、每个协议或每个方向只可以分派一个访问列表。这意味着如果创建了IP 访问列表，每个接口只能有一个输入型访问列表和一个输出型访问列表。不能从访问列表中删除一行。如果试着这样做，将删除整个列表。可以从命名访问列表中删除单独的一行。访问列表设计为过滤通过路由器的流量，但不过滤路内器产生的流量，如路由器间交换路由信息等。ACL可以指定到一个或者多个端口。ACL的配置指南的配置指南放置位置放置位置 标准访问列表尽可能放置在靠近目的地址的位置。不能将标准的访问列表放置在靠近源主机或源网络的位置，因为这样会过虑基于源地址的流量而造成不能转发

8、任何数据。 扩展访问列表尽可能放置在靠近源地址的位置。既然扩展的访问列表可以过滤每个特定的地址和协议，那么你不希望你的流量穿过整个网络后再被拒绝。通过将这样的列表放置在尽量靠近源地址的位置可以在它使用宝贵的带宽之前过滤掉此流量。标准列表标准列表靠近目的地址靠近目的地址ABCDEA说，请路由器Lab_a帮助我限制数据：1.阻止来自E的数据位置？位置？如果放在源地址E的较近的位置，那么E到所有的流量都会被禁止。即E哪都不能去。Here! 离目的近离目的近扩展列表扩展列表靠近源地址靠近源地址ABCDEA说，请路由器Lab_a帮助我限制数据：1.阻止来自E的FTP数据，但允许来自E的HTTP数据Her

9、e! 离源近离源近如果放在离目的地址A较近的位置，那么E到A的FTP流量将会穿过整个网络，在到达目的地的时候却被告知不可以到达，浪费网络带宽。即E的FTP流量白来一趟位置？位置？标准的标准的ACL 标准访问列表，通过使用数据包的源IP地址过滤流量。一般用号码区别访问列表类型。可以使用访问列表号199或13001999创建标准的访问列表。 标准访问列表的创建根据 “动作”“源地址”，即允许谁，拒绝谁的方法来创建。 1.Lab_A(config)#access-list 10 deny host 拒绝主机 2. Lab_A(config)#access-list 10 permit 172.16.10.