网络互联技术-第07章访问控制列表ppt课件

1、 【教学目的】：通过本章的学习，让学生知道访问控制列表的功能和实现机制、访问控制列表的分类、命名访问控制列表的配置和应用、基于时间的访问控制列表的使用；掌握访问控制列表的定义和应用、标准访问控制列表的配置、扩展访问控制列表的配置、访问控制列表的工作过程。能为简单的网络根据用户的要求设置访问控制列表来实现公司网络的内部管理、流量控制和安全控制。 【重点难点】 重点：标准访问控制列表的配置和应用；扩展访问控制列表的配置和应用。 难点：基于时间的访问控制列表的理解和配置第七章：访问控制列表第七章：访问控制列表 【教学内容】 访问控制列表定义 访问控制列表功能 访问控制列表实现机制 访问控制列表的工作

2、过程分析 访问控制列表的分类 标准访问控制列表的配置和应用 扩展访问控制列表的配置和应用 命名访问控制列表的配置和应用 基于时间的访问控制列瑶的配置和应用第七章：访问控制列表第七章：访问控制列表【教学方法】教学方式：多媒体教学教学方法：案例分析+视频教学通过对比分析让学生彻底掌握标准访问控制列表和扩展访问控制列表的区别。利用视频教学资料，使学生在任何时间和地点能重温教学内容，尽一步掌握标准扩展访问控制列表的配置和实际应用。通过上机实验让学生在boson模拟器的支持下完成标准访问控制列表和扩展访问控制列表的配置和应用。第七章：访问控制列表第七章：访问控制列表 第一部分：访问控制列表概述第一部分：

3、访问控制列表概述一、数据包过滤技术一、数据包过滤技术 数据包过滤是指路由器对需要转发的数据包，数据包过滤是指路由器对需要转发的数据包，先获取报头信息，然后将其和设定的规则进行比先获取报头信息，然后将其和设定的规则进行比较，根据比较的结果对数据包进行转发或丢弃。较，根据比较的结果对数据包进行转发或丢弃。实现包过滤的核心技术是访问控制列表实现包过滤的核心技术是访问控制列表(Access (Access Control List,Control List,简称简称ACL)ACL)。 第一部分：访问控制列表概述第一部分：访问控制列表概述二、访问控制列表的定义二、访问控制列表的定义 访问控制列表访问控制

4、列表Access Control ListAccess Control List，ACLACL是是用于控制和过滤通过路由器的不同接口去往不同方向用于控制和过滤通过路由器的不同接口去往不同方向的信息流的一种机制，这种机制允许用户使用访问控的信息流的一种机制，这种机制允许用户使用访问控制列表来管理信息流，以制作公司内部网络的相关策制列表来管理信息流，以制作公司内部网络的相关策略。略。 ACL ACL根据指定的条件来检测通过路由器的每个数根据指定的条件来检测通过路由器的每个数据包，从而决定是转发还是丢弃该数据包。据包，从而决定是转发还是丢弃该数据包。ACLACL中的中的条件，既可以是数据包的源地址，

5、也可以是目的地址，条件，既可以是数据包的源地址，也可以是目的地址，还可以是上层协议或其他因素。还可以是上层协议或其他因素。 通过灵活地增加访问控制列表通过灵活地增加访问控制列表, ,可以把可以把ACLACL当作一当作一种网络控制的有利工具种网络控制的有利工具, ,用来过滤流入、流出路由器用来过滤流入、流出路由器接口的数据包。接口的数据包。 第一部分：访问控制列表概述第一部分：访问控制列表概述三、访问控制列表的实现机制三、访问控制列表的实现机制 （1 1首先根据用户需求定义一组用于控制和首先根据用户需求定义一组用于控制和过滤数据包的访问控制列表。过滤数据包的访问控制列表。 （2 2然后再将其应用

6、在路由器的不同接口的然后再将其应用在路由器的不同接口的不同方向上。不同方向上。 （3 3如果指定接口该接口已应用指定的访如果指定接口该接口已应用指定的访问控制列表指定方向该方向上已应用指定的问控制列表指定方向该方向上已应用指定的访问控制列表上有数据包通过时，路由器将根访问控制列表上有数据包通过时，路由器将根据设定的访问控制列表的规则逐条进行匹配，据设定的访问控制列表的规则逐条进行匹配，如果规则中上一条语句匹配，则下面所有的语句如果规则中上一条语句匹配，则下面所有的语句将被忽略对数据包进行过滤，从而确定哪些数将被忽略对数据包进行过滤，从而确定哪些数据包可以接收，哪些数据包需要拒绝。据包可以接收，

7、哪些数据包需要拒绝。 第一部分：访问控制列表概述第一部分：访问控制列表概述四、访问控制列表的功能四、访问控制列表的功能 （1 1）、数据包过滤）、数据包过滤 （2 2）、限制网络流量）、限制网络流量 （3 3）、提高网络性能）、提高网络性能 （4 4）、提高网络安全）、提高网络安全 由于由于ACLACL访问控制列表是使用包过滤技术来实访问控制列表是使用包过滤技术来实现的，过滤的依据又仅仅只是第三层和第四层包现的，过滤的依据又仅仅只是第三层和第四层包头中的部分信息，这种技术具有一些固有的局限头中的部分信息，这种技术具有一些固有的局限性，如无法识别到具体的人，无法识别到应用内性，如无法识别到具体的

8、人，无法识别到应用内部的权限级别等。因此，要达到端到端的权限控部的权限级别等。因此，要达到端到端的权限控制目的，需要和系统级及应用级的访问权限控制制目的，需要和系统级及应用级的访问权限控制结合使用。结合使用。 第一部分：访问控制列表概述第一部分：访问控制列表概述五、访问控制列表的分类：主要分为标准访问控五、访问控制列表的分类：主要分为标准访问控制列表和扩展访问控制列表。制列表和扩展访问控制列表。 第一部分：访问控制列表概述第一部分：访问控制列表概述六、访问控制列表工作过程分析六、访问控制列表工作过程分析 第二部分：标准访问控制列表第二部分：标准访问控制列表一、定义标准一、定义标准IPIP访问控

9、制列表访问控制列表（1 1语法：语法：Router(config)# access-list Router(config)# access-list list list numberpermit|denyhost/anysourcesournumberpermit|denyhost/anysourcesource-wildcardmaskLogce-wildcardmaskLog（2 2功能：只能根据数据帧的源地址进行过滤，功能：只能根据数据帧的源地址进行过滤，而不能根据数据帧的目的地址进行数据过滤；只而不能根据数据帧的目的地址进行数据过滤；只能拒绝或允许整个协议族的数据包，而不能根据能拒绝或

10、允许整个协议族的数据包，而不能根据具体的协议对数据包进行过滤。具体的协议对数据包进行过滤。（3 3位置：由于不能根据数据帧的目标地址进行位置：由于不能根据数据帧的目标地址进行过滤，而只能根据数据帧的源地址进行过滤，因过滤，而只能根据数据帧的源地址进行过滤，因此最好将标准访问控制列表放置离目标主机或此最好将标准访问控制列表放置离目标主机或目标网络最近的位置。目标网络最近的位置。 第二部分：标准访问控制列表第二部分：标准访问控制列表（4参数说明：定义访问控制列表必须在路由器的全局配置模式下进行list number：访问控制列表号的范围，标准IP访问控制列表的列表号标识是从 1 到 99 。per

11、mit/deny ：关键字 permit 和 deny 用来表示满足访问列表项的报文是允许通过接口，还是要过滤掉。permit 表示允许“满足访问列表项的报文通过接口 deny 表示禁止“满足访问列表项的报文通过接口 source：源地址，对于标准的IP访问控制列表，源地址可以是：host、any、具体主机IP地址或具体网络地址host 用于指定某个具体主机。any 用于指定所有主机。source-wi1dcardmask ：源地址通配符屏蔽码 第二部分：标准访问控制列表第二部分：标准访问控制列表二、二、hosthost参数讲解参数讲解 host host表示一种精确的匹配，其屏蔽码为表示一种

12、精确的匹配，其屏蔽码为 host host 是是 0.0.0.O 0.0.0.O 通配符屏蔽码的简通配符屏蔽码的简写）。写）。 例如，假定我们希望允许从例如，假定我们希望允许从 5 5 来的报文，则应该制定如下标准来的报文，则应该制定如下标准IPIP访问控制列表访问控制列表语句：语句： access-list 44 permit 5 access-list 44 permit 5 如果采用关键字如果采用关键字 host host，则也可以用下面的语，

13、则也可以用下面的语句来代替：句来代替： access-list 44 permit host 5 access-list 44 permit host 5 第二部分：标准访问控制列表第二部分：标准访问控制列表三、三、anyany参数讲解参数讲解 any any 是源地证通配符屏蔽码是源地证通配符屏蔽码 “0.O.O.O “0.O.O.O 55” 55” 的简写。的简写。 假定我们要拒绝从源地址假定我们要拒绝从源地址 5 5 来来的报文，并且要允许从其他源地

14、址来的报文，则的报文，并且要允许从其他源地址来的报文，则应制定如下标准应制定如下标准IPIP访问控制列表语句：访问控制列表语句： access-list 55 deny host 5 access-list 55 deny host 5 access-list 55 permit access-list 55 permit 5555 上述命令可以进行如下简写：上述命令可以进行如下简写： access-list 55 deny host 5 acc

15、ess-list 55 deny host 5 access-list 55 permit any access-list 55 permit any 第二部分：标准访问控制列表第二部分：标准访问控制列表四、标准访问控制列表常见错误分析四、标准访问控制列表常见错误分析（1 1）、标准访问控制列表中语句顺序错误：）、标准访问控制列表中语句顺序错误：access-list 66 permit anyaccess-list 66 permit anyaccess-list 66 deny host 5access-list 66 deny host 192

16、.168.5.25（2 2）、标准访问控制列表中列表号错误）、标准访问控制列表中列表号错误access-list 166 deny host 5access-list 166 deny host 5access-list 166 permit anyaccess-list 166 permit any（3 3不需要在标准访问控制列表的最后添加不需要在标准访问控制列表的最后添加“deny any ”“deny any ”语句语句access-list 66 permit host 5access-list 66 permit ho

17、st 5access-list 66 deny anyaccess-list 66 deny any（4 4）、忘记在标准访问控制列表的最后添加）、忘记在标准访问控制列表的最后添加“permit any ”“permit any ”语句语句access-list 66 deny host 5access-list 66 deny host 5 第二部分：标准访问控制列表第二部分：标准访问控制列表五、五、permit permit 和和 deny deny 应用的规则应用的规则（1 1最终目标是尽量让访问控制中的条目少一些。最终目

18、标是尽量让访问控制中的条目少一些。另外，访问控制列表是自上而下逐条对比，所以另外，访问控制列表是自上而下逐条对比，所以一定要把条件严格的列表项语句放在上面，然后一定要把条件严格的列表项语句放在上面，然后再将条件稍严格的列表选项放在其下面，最后放再将条件稍严格的列表选项放在其下面，最后放置条件宽松的列表选项，还要注意，一般情况下，置条件宽松的列表选项，还要注意，一般情况下，拒绝应放在允许上面。拒绝应放在允许上面。（2 2如果拒绝的条目少一些，这样可以用如果拒绝的条目少一些，这样可以用 DENY DENY，但一定要在最后一条加上允许其它通过，否则所但一定要在最后一条加上允许其它通过，否则所有的数据

19、包将不能通过。有的数据包将不能通过。（3 3如果允许的条目少一些，这样可以用如果允许的条目少一些，这样可以用 PERMITPERMIT，后面不用加拒绝其它系统默认会添加，后面不用加拒绝其它系统默认会添加 deny anydeny any）。）。（4 4最后，用户可以根据实际情况，灵活应用最后，用户可以根据实际情况，灵活应用 deny deny 和和 permit permit 语句。总之，当访问控制列表中语句。总之，当访问控制列表中有拒绝条目时，在最后面一定要有允许，因为有拒绝条目时，在最后面一定要有允许，因为ACLACL中系统默认最后一条是拒绝所有。中系统默认最后一条是拒绝所有。 第二部分：

20、标准访问控制列表第二部分：标准访问控制列表六、应用标准访问控制列表六、应用标准访问控制列表 在定义了访问控制列表后，还必须将访问控在定义了访问控制列表后，还必须将访问控制列表应用到路由器的某一个接口中。制列表应用到路由器的某一个接口中。（1 1语法格式语法格式 Router(config-if)# ip access-group Router(config-if)# ip access-group access-list-number in | out access-list-number in | out （2 2参数说明参数说明必须先进入路由器的某一个接口，再使用必须先进入路由器的某一个接

21、口，再使用“ip “ip access-groupaccess-group命令，将指定的访问控制列表应命令，将指定的访问控制列表应用到当前路由器接口中。用到当前路由器接口中。参数参数 in in 和和 out out 表示访问控制列表作用在接口上表示访问控制列表作用在接口上的方向。（这里的的方向。（这里的 in in 和和 out out 是以当前路由器本是以当前路由器本身为参照点的，控制数据包由外向内进入当前路身为参照点的，控制数据包由外向内进入当前路由器指定接口为由器指定接口为 “in” “in”；控制数据包由内向外流；控制数据包由内向外流出当前路由器指定接口为出当前路由器指定接口为 “o

22、ut” “out”）。）。 第二部分：标准访问控制列表第二部分：标准访问控制列表七、标准访问控制列表例题一：七、标准访问控制列表例题一：inin方向控制方向控制Router(config)# access-list 66 deny host Router(config)# access-list 66 deny host 55Router(config)# access-list 66 permit anyRouter(config)# access-list 66 permit anyRouter(config)# interface ethern

23、et 0/0Router(config)# interface ethernet 0/0Router(config-if)# ip access-group 66 inRouter(config-if)# ip access-group 66 in 第二部分：标准访问控制列表第二部分：标准访问控制列表八、标准访问控制列表例题二：八、标准访问控制列表例题二：outout方向控制方向控制Router(config)# access-list 77 deny host Router(config)# access-list 77 deny host 55R

24、outer(config)# access-list 77 deny Router(config)# access-list 77 deny 55 55 Router(config)# access-list 77 permit anyRouter(config)# access-list 77 permit anyRouter(config)# interface ethernet 0/1Router(config)# interface ethernet 0/1Router(config-if)# ip acces

25、s-group 77 outRouter(config-if)# ip access-group 77 out 第二部分：标准访问控制列表第二部分：标准访问控制列表九、下面图示中，谁可以与主机九、下面图示中，谁可以与主机A A通信？通信？ 第二部分：标准访问控制列表第二部分：标准访问控制列表十、虚拟终端访问控制十、虚拟终端访问控制 标准访问列表和控制访问列表不会拒绝来自标准访问列表和控制访问列表不会拒绝来自路由器虚拟终端的访问，基于安全考虑，对路由路由器虚拟终端的访问，基于安全考虑，对路由器虚拟终端的访问和来自路由器虚拟终端的访问器虚拟终端的访问和来自路由器虚拟终端的访问都应该被拒绝，以下设置

26、：只允许都应该被拒绝，以下设置：只允许 网段内的主机访问路由器的虚拟端口。网段内的主机访问路由器的虚拟端口。 第三部分：扩展访问控制列表第三部分：扩展访问控制列表一、扩展访问控制列表简介一、扩展访问控制列表简介 顾名思义，扩展的顾名思义，扩展的IPIP访问控制列表用于扩展访问控制列表用于扩展报文过滤能力。一个扩展的报文过滤能力。一个扩展的IPIP访问控制列表允许访问控制列表允许用户根据如下内容过滤报文用户根据如下内容过滤报文: :源地址、目的地址、源地址、目的地址、协议类型、源端口、目的端口以及在特定报文字协议类型、源端口、目的端口以及在特定报文

27、字段中允许进行特殊位比较等等。例如，通过扩展段中允许进行特殊位比较等等。例如，通过扩展IPIP访问控制列表用户可以实现：允许外部访问控制列表用户可以实现：允许外部WEBWEB通信通信量通过，而拒绝外来的量通过，而拒绝外来的FTPFTP和和TelnetTelnet通信量。通信量。 扩展扩展ACLACL既检查数据包的源地址，也检查数据既检查数据包的源地址，也检查数据包的目的地址。此外，还可以检查数据包特定的包的目的地址。此外，还可以检查数据包特定的协议类型、端口号等。这种扩展后的特性给管理协议类型、端口号等。这种扩展后的特性给管理员带来了更大的灵活性，可以灵活多变地设置员带来了更大的灵活性，可以灵

28、活多变地设置ACLACL的测试条件。数据包是否被允许通过出口，既可的测试条件。数据包是否被允许通过出口，既可以基于它的源地址，也可以基于它的目的地址。以基于它的源地址，也可以基于它的目的地址。 第三部分：扩展访问控制列表第三部分：扩展访问控制列表二、扩展访问控制列表的定义二、扩展访问控制列表的定义（1 1语法格式：语法格式：Router(config)# access-list Router(config)# access-list access-list-number | permit |deny | access-list-number | permit |deny | protocol

29、source source-wildcardmask protocol source source-wildcardmask destination desitination-wildcardmask destination desitination-wildcardmask operator portoperator port（2 2参数说明参数说明list numberlist number：扩展：扩展IPIP访问控制列表的表号标识从访问控制列表的表号标识从l00l00到到199 199 。protocolprotocol：定义了需要被过滤的协议，例如：定义了需要被过滤的协议，例如IPIP

30、、TCPTCP、UDPUDP、ICMP.ICMP.源端口号和目的端口号：源端口号可以用几种不源端口号和目的端口号：源端口号可以用几种不同的方法来指定。它可以显式地指定，使用一个同的方法来指定。它可以显式地指定，使用一个数字或者使用一个可识别的助记符。例如，我们数字或者使用一个可识别的助记符。例如，我们可以使用可以使用8080或者或者httphttp来指定来指定WebWeb的超文本传输协议。的超文本传输协议。目的端口号的指定方法与源端口号的指定方法相目的端口号的指定方法与源端口号的指定方法相同。同。 第三部分：扩展访问控制列表第三部分：扩展访问控制列表三、常用的服务端口号三、常用的服务端口号文件

31、传输服务（文件传输服务（ FTP FTP ）使用的默认端口号为）使用的默认端口号为 20 20、2121其中数据传输使用端口其中数据传输使用端口 20 20 、控制命令的传、控制命令的传输使用端口输使用端口 21 21） Telnet Telnet 远程登录服务使用的默认端口号为远程登录服务使用的默认端口号为 23 23 简单邮件服务（简单邮件服务（ SMTP SMTP ）使用的默认端口号为）使用的默认端口号为 25 25 简单文件传输服务（简单文件传输服务（ TFTP TFTP ）使用的默认端口号）使用的默认端口号为为 69 69 域名服务（域名服务（ DNS DNS ）使用的默认端口号为）

32、使用的默认端口号为 53 53 WEBWEB服务（服务（ ）使用的默认端口号为）使用的默认端口号为 80 80 第三部分：扩展访问控制列表第三部分：扩展访问控制列表四、扩展访问控制列表应用一：四、扩展访问控制列表应用一：Router(config)# access-list 116 deny ip Router(config)# access-list 116 deny ip host 1 55host 1 55Router(config)# access-list 116

33、permit ip Router(config)# access-list 116 permit ip any anyany anyRouter(config)# interface ethernet 0/0Router(config)# interface ethernet 0/0Router(config-if)# ip access-group 116 inRouter(config-if)# ip access-group 116 in目的：拒绝主机 1 对 网络内任何主机的任何访问。 由于可根据目标IP地址对数据包进行过滤，因此原则上扩展

34、访问控制列表应放置离源主机最近的位置。这样可减少无用数据饭的传递，从而减少网络流量。 第三部分：扩展访问控制列表第三部分：扩展访问控制列表五、扩展访问控制列表应用二：五、扩展访问控制列表应用二：Router(config)# access-list 118 permit tcp Router(config)# access-list 118 permit tcp 55 any eq www 55 any eq wwwRouter(config)# access-list 118 permit tcp Router(con

35、fig)# access-list 118 permit tcp 55 any eq 21 55 any eq 21Router(config)# access-list 118 permit tcp Router(config)# access-list 118 permit tcp 55 any eq 20 55 any eq 20Router(config)# interface ethernet 0/0Router(config)# int

36、erface ethernet 0/0Router(config-if)# ip access-group 118 in Router(config-if)# ip access-group 118 in 目的：不允许目的：不允许网段的用户访问网络网段的用户访问网络内除内除WEBWEB、FTPFTP服务以外的其他服务。（由于默认服务以外的其他服务。（由于默认禁止了禁止了ICMPICMP数据包，因此，虽然数据包，因此，虽然网网络内的主机可以络内的主机可以WEBWEB、FTPFTP方式访问指定的主机，方式访问指

37、定的主机，但无法但无法pingping通提供通提供WEBWEB、FTPFTP服务的主机：服务的主机：、） 第三部分：扩展访问控制列表第三部分：扩展访问控制列表六、扩展访问控制列表应用三：六、扩展访问控制列表应用三：Router(config)# access-list 128 permit tcp any Router(config)# access-list 128 permit tcp any host eq wwwhost eq wwwRouter(co

38、nfig)# access-list 128 permit tcp any Router(config)# access-list 128 permit tcp any host eq 21host eq 21Router(config)# access-list 128 permit tcp any Router(config)# access-list 128 permit tcp any host eq 20host eq 20Router(config)# interface etherne

39、t 0/1Router(config)# interface ethernet 0/1Router(config-if)# ip access-group 128 outRouter(config-if)# ip access-group 128 out目的：只允许所有主机访问目的：只允许所有主机访问 服务器提供的服务器提供的WEBWEB和和 FTP FTP服务。服务。 第三部分：扩展访问控制列表第三部分：扩展访问控制列表七、扩展访问控制列表应用四：七、扩展访问控制列表应用四：Router(config)# access-list 101 deny

40、tcp Router(config)# access-list 101 deny tcp 55 55 eq 55 55 eq 2121Router(config)# access-list 101 permit ip any Router(config)# access-list 101 permit ip any anyanyRouter(config)# interface ethernet 0Router(config)# interface e

41、thernet 0Router(config-if)# ip access-group 101 outRouter(config-if)# ip access-group 101 out目的：目的：（1 1拒绝网络拒绝网络 的的FTPFTP通通信流量通过信流量通过e0e0E0E1/24/24/243 第三部分：扩展访问控制列表第三部分：扩展访问控制列表八、扩展访问控制列表应用五：八、扩展访问控制列表应用五：Router(config)# access-list 101 pe

42、rmit tcp any Router(config)# access-list 101 permit tcp any 55 eq 25 55 eq 25Router(config)# interface ethernet 1Router(config)# interface ethernet 1Router(config-if)# ip access-group 101 outRouter(config-if)# ip access-group 101 out目的：目的：（1 1只允许外部网络的只允许外部网络的SMTPSM

43、TP通信流量通过通信流量通过e1 e1 E0E1/24/24/243 第四部分：命名访问控制列表第四部分：命名访问控制列表一、命名访问控制列表简介一、命名访问控制列表简介 命名命名ACLACL允许在标准允许在标准ACLACL和扩展和扩展ACLACL中使用一个中使用一个字母数字组合的字符串来替代前面所使用的数字字母数字组合的字符串来替代前面所使用的数字来表示来表示ACLACL表号。表号。 在使用列表号表示的在使用列表号表示的“标准标准IPIP访问控制列表访问控制列表和和“扩展扩

44、展IPIP访问控制列表访问控制列表中，如果输入的语中，如果输入的语句出现错误，用户不能方便地进行修改，而必须句出现错误，用户不能方便地进行修改，而必须先将整个先将整个ACLACL列表删除后，再重新创建。而在使用列表删除后，再重新创建。而在使用名字表示的名字表示的“标准标准IPIP访问控制列表访问控制列表和和“扩展扩展IPIP访问控制列表访问控制列表中，用户可以方便地对中，用户可以方便地对ACLACL语句进语句进行修改。行修改。 另外，在设计命名的控制列表时，应该注意：另外，在设计命名的控制列表时，应该注意：（1 1）、）、11.2 11.2 以前的版本的以前的版本的 Cisco IOS Cis

45、co IOS 不支持命不支持命名的名的 ACL ACL。（2 2）、不能以同一个名字来命名多个）、不能以同一个名字来命名多个 ACL ACL 。 第四部分：命名访问控制列表第四部分：命名访问控制列表二、定义和应用命名标准访问控制列表二、定义和应用命名标准访问控制列表（1 1定义标准命名访问控制列表名称：定义标准命名访问控制列表名称：Router(config)# ip access-list standard Router(config)# ip access-list standard access-list-nameaccess-list-name（2 2应用标准命名访问控制列表到路由器指

46、定端口应用标准命名访问控制列表到路由器指定端口的指定方向上的指定方向上Router(config-if)# ip access-group access-Router(config-if)# ip access-group access-list-name in | out list-name in | out 三、定义和应用命名扩展访问控制列表三、定义和应用命名扩展访问控制列表（1 1定义扩展命名访问控制列表名称：定义扩展命名访问控制列表名称：Router(config)# ip access-list extended Router(config)# ip access-list exte

47、nded access-list-name access-list-name （2 2应用扩展命名访问控制列表到路由器指定端口应用扩展命名访问控制列表到路由器指定端口的指定方向上的指定方向上Router(config-if)# ip access-group access-Router(config-if)# ip access-group access-list-name in | out list-name in | out 第四部分：命名访问控制列表第四部分：命名访问控制列表四、命名标准访问控制列表实例四、命名标准访问控制列表实例（1 1功能实现：禁止源地址为功能实现：禁止源地址为 19

48、5 5 的数的数据包流入路由器的据包流入路由器的 E 0/0 E 0/0 接口，其实就是禁止了接口，其实就是禁止了 5 5 主机的对外访问。主机的对外访问。（2 2拓朴结构拓朴结构 第四部分：命名访问控制列表第四部分：命名访问控制列表3、定义标准命名访问控制列表Router(config)# ip access-list standard block25 Router(config-std-nacl)# deny host 5 Router(config-std-nacl)# permit

49、 any Router(config-std-nacl)# exit4、应用标准命名访问控制列表到路由器指定接口的指定方向上Router(config)# interface ethernet 0/0 Router(config-if)# ip access-group block25 in 第五部分：时间访问控制列表第五部分：时间访问控制列表一、基于时间的访问控制列表一、基于时间的访问控制列表 基于时间的访问控制列表可以根据一天中的不同时间，或基于时间的访问控制列表可以根据一天中的不同时间，或者根据一星期中的不同日期，或二者相结合来控制网络数据包者根据一星期中的不同日期，或二者相结合来控制网

50、络数据包的转发。这种基于时间的访问列表，就是在原来的标准访问列的转发。这种基于时间的访问列表，就是在原来的标准访问列表和扩展访问列表中，加入有效的时间范围来更合理有效地控表和扩展访问列表中，加入有效的时间范围来更合理有效地控制网络。配置基于时间的访问控制列表之前，必须正确配置路制网络。配置基于时间的访问控制列表之前，必须正确配置路由器的时间由器的时间: : 配置时间语法：配置时间语法：#clock set hh:mm:ss MONTH #clock set hh:mm:ss MONTH 第五部分：时间访问控制列表第五部分：时间访问控制列表二、定义时间名称二、定义时间名称Router(confi

51、g)# time-range time-range-name Router(config)# time-range time-range-name time-rangetime-range：用来定义时间范围：用来定义时间范围time-range-nametime-range-name：时间范围名称，以便在后面的访问控制列表：时间范围名称，以便在后面的访问控制列表中引用中引用三、定义时间名称所指向的具体时间范围三、定义时间名称所指向的具体时间范围（1 1定义绝对时间范围定义绝对时间范围Router(config-time-range)# absolute start hh:mm Router(c

52、onfig-time-range)# absolute start hh:mm MONTH end hh:mm month MONTH end hh:mm month 该命令用来指定绝对时间范围。它后面紧跟该命令用来指定绝对时间范围。它后面紧跟startstart和和 end end两两个关键字。在两个关键字后面的时间要以个关键字。在两个关键字后面的时间要以2424小时制和小时制和“hh: mm“hh: mm小时：分钟）小时：分钟）”表示，日期要按照表示，日期要按照“日日/ /月月/ /年年形式表示。形式表示。 第五部分：时间访问控制列表第五部分：时间访问控制列表（2 2定义相对时间范围定义相

53、对时间范围 Router(config-time-range)# periodic Router(config-time-range)# periodic 星期几英文）星期几英文） hh:mm to hh:mmhh:mm to hh:mm 主要以星期为参数来定义时间范围。它的参数主要有主要以星期为参数来定义时间范围。它的参数主要有MondayMonday、TuesdayTuesday、WednesdayWednesday、ThursdayThursday、FridayFriday、SaturdaySaturday、SundaySunday中的一个或者几个的组合，也可以是中的一个或者几个的组合，

54、也可以是dailydaily每天）、每天）、weekdayweekday周一到周五或者周一到周五或者weekendweekend周末）。周末）。 基于时间访问列表的设计中，用基于时间访问列表的设计中，用time-range time-range 命令来指定时命令来指定时间范围的名称，然后用间范围的名称，然后用 absolute absolute 命令，或者一个或多个命令，或者一个或多个 periodic periodic 命令来具体定义时间范围。但两者不能同时使用，否命令来具体定义时间范围。但两者不能同时使用，否则配置会失效。则配置会失效。 第五部分：时间访问控制列表第五部分：时间访问控制列表

55、四、将时间范围名称作用到指定的访问控制列表中四、将时间范围名称作用到指定的访问控制列表中 Router(config)# access-list Router(config)# access-list 列表编号列表编号 deny|permit deny|permit ip ip 源源ip ip 源掩码源掩码 目标目标ip ip 目标掩码目标掩码 time-range time-range- time-range time-range-namename Router(config)# access-list as Router(config)# access-list permit any any permit any any五、将访问控制列表添加到指定接口的指定方向五、将访问控制列表添加到指定接口的指定方向Router(config)# interface fastethernet Router(config)# interface fastethernet 模块模块/ /接口接口Router(config-if)# ip access-gr