《网络设备互联》 课件 项目六 访问控制列表

项目六

访问控制列表网络设备互联（华为）技工院校计算机类专业教材基本访问控制列表任务101了解基本访问控制列表的概念、特点和工作原理。02掌握配置基本访问控制列表的方法和命令。03实现基本访问控制列表的配置。学习目标访问控制列表的概念

访问控制列表（AccessControlList，ACL）是一种基于包过滤的访问控制技术，可以根据预先设定的规则过滤端口上的数据包，允许或拒绝其通过。ACL在路由器和三层交换机中应用非常广泛，借助ACL，可以有效地控制用户在网络中的访问行为，最大限度地保护网络安全。访问控制列表的功能

ACL的功能包括限制网络中的流量以提高网络性能，对通信流量提供控制手段，对网络访问提供安全手段，以及决定路由器或交换机的端口允许或拒绝某种类型的流量通过。相关知识

基本访问控制列表的特点

1.基于源地址过滤。2.配置相对简单。3.应用位置固定。4.配置较为方便。5.存在限制性。6.性能影响较小。7.隐式拒绝。相关知识

访问控制列表的工作原理

1.数据包检测。2.规则匹配。3.决策处理。基本访问控制列表的配置命令

基本ACL的相关配置必须在系统视图下完成，具体如下。1.执行基本ACL进程并进入ACL视图

具体命令如下。acl{acl编号}

例如，当ACL编号为2000时，命令为：acl2000。2.指定ACL中的策略

具体命令如下。rule{允许或拒绝}source{网络地址}{反掩码}

例如，当拒绝源地址为/24的数据包通过时，命令为：ruledenysource55。3.设置端口应用方向和调用ACL

具体命令如下。traffic-filter{端口应用方向（in或out）}acl{acl编号}

例如，当应用在端口输入方向时，命令为：traffic-filterinboundacl2000。相关知识

相关知识

任务实施

任务描述本任务要求实现PC1与PC2、PC3之间通过2台路由器进行连接，所有路由器的端口上均配置了对应IP地址。使用基本ACL，使PC1作为总管设备，可以访问其余所有设备，PC3允许PC1访问，但禁止PC2访问。实验设备：AR2220路由器2台，带有网卡的PC3台，直连网线4条，以及电源线若干。任务实施

操作步骤1.配置IP地址2.进入AR1、AR2系统视图修改名称3.在AR1、AR2中配置对应IP地址和默认路由4.在AR2中配置基本ACL5.检查配置结果6.通信测试扩展访问控制列表任务201了解扩展访问控制列表的概念、特点和工作原理。02掌握配置扩展访问控制列表的方法和命令。03实现扩展访问控制列表的配置。学习目标

扩展访问控制列表的概念扩展访问控制列表（ExtendedAccessControlList，简称扩展ACL）与基本ACL一样，也是在网络安全技术中用于过滤网络流量的重要工具。扩展访问控制列表的特点1.精细流量控制。2.安全性高。3.策略统一。4.网络性能优化。5.编号范围连续。6.应用位置固定。7.存在优先级。相关知识

扩展访问控制列表的配置命令1.执行扩展ACL进程并进入ACL视图。2.指定ACL中的策略。3.设置端口应用方向和调用ACL。

相关知识

扩展访问控制列表的配置命令

扩展ACL的相关配置必须在系统视图下完成。1.执行扩展ACL进程并进入ACL视图具体命令如下。acl{acl编号}

例如，当ACL编号为3000时，命令为：acl3000。2.指定ACL中的策略

具体命令如下。rule{允许或拒绝}{协议}{源地址}{反掩码}{目标地址}{反掩码}{端口号}

例如，当拒绝地址以TCP协议和80端口访问地址时，命令为：ruledenytcpsource55destination55destination_x0002_porteq80。3.设置端口应用方向和调用ACL

具体命令如下。traffic-filter{端口应用方向（in或out）}acl{acl编号}

例如，当应用在端口入方向时，命令为：traffic-filterinboundacl3000。相关知识

任务实施

任务描述本任务要求实现客户端Client1、Client2和服务器Server1之间通过2台路由器进行连接，所有路由器的端口上均配置对应IP地址。Server1是服务器，开启HTTP和FTP功能。使用扩展ACL，使Client1可通过HTTP访问Server1，但不可通过FTP访问，Client2则可同时通过HTTP和FTP访问Server1。实验设备：AR2220路由器2台，带有网卡的Client2台，带有网卡的Server1台，直连网线4条，以及电源线若干。任务实施

操作步骤1.配置IP地址2.在Server1中启动HTTP和FTP服务3.进入AR1、AR2系统视图修改名称4.在AR1、AR2中配置对应IP地址和默认路由5.在AR2中配置扩展ACL6.检查配置结果7.通信测试基于时间的访问控制列表任务301了解基于时间的访问控制列表的概念、特点和时间段。02掌握配置基于时间的访问控制列表的方法和命令。03实现基于时间的访问控制列表的配置。学习目标基于时间的访问控制列表

基于时间的访问控制列表（Time-BasedAccessControlList，简称TBACL）是一种特殊的ACL，属于高级网络访问控制技术。基于时间的访问控制列表的特点

1.时间段精确。2.安全性高。3.网络资源利用率高。4.配置灵活。5.兼容性高。相关知识

相关知识

基于时间的访问控制列表的时间段

在不同的环境中，根据不同的需求应配置不同的时间段，时间段的表述方式见表6-3。相关知识

基于时间的访问控制列表的配置命令

TBACL的相关配置必须在系统视图下完成，具体如下。1.配置时间段参数

具体命令如下。time-range{时间段名称}{具体时间1}to{具体时间2}{生效时间段}

例如，当时间段名称为work，具体时间为9：00至12：00，生效时间段为工作日时，命令为：time-rangework9：00to12：00working-day。2.执行TBACL进程并进入ACL视图具体命令如下。acl（acl编号）

例如，当ACL编号为3000时，命令为：acl3000。相关知识

基于时间的访问控制列表的配置命令

3.指定ACL中的策略具体命令如下。rule{允许或拒绝}{协议}{源地址}{反掩码}{目标地址}{反掩码}time_x0002_range{时间段名称}

例如，当拒绝源地址为、子网掩码为，目标地址为、子网掩码为，时间段名称为work的数据包通过时，命令为：ruledenysource55destinationtime-rangework。4.设置端口应用方向和调用ACL具体命令如下。traffic-filter{端口应用方向（in或out）}acl{acl编号}

例如，当应用在端口出方向时，命令为：traffic-filteroutboundacl3000。相关知识

任务实施

任务描述本任务要求实现属于内部网络的PC1和PC2在任何时间内都可以相互访问，通过使用TBACL，网络服务器Server1在工作日（周一至周五）的工作时间段（9：00至12：00及14：30至17：30）禁止PC1和PC2访问。配置各端口对应IP地址，以及静态或默认路由。实验设备：AR2220路由器2台，带有网卡的