第十二章 访问控制列表ACL.PPT
《第十二章 访问控制列表ACL.PPT》由会员分享,可在线阅读,更多相关《第十二章 访问控制列表ACL.PPT(45页珍藏版)》请在三一文库上搜索。
1、Page 1/45,热备份路由协议(HSRP)的作用和工作原理 各种HSRP的术语和参数的作用 HSRP的配置和排错,第11章内容回顾,访问控制列表ACL,第12章,Page 3/45,本章目标,理解访问控制列表的工作原理(访问控制列表的作用,路由器对访问控制列表的处理过程) 理解访问控制列表的反码 掌握访问控制列表的种类 掌握标准和扩展访问控制列表的配置方法 能够利用访问控制列表对网络进行控制,Page 4/45,本章结构,访问控制列表,访问控制列表的种类,访问控制列表的工作原理,访问控制列表的反码,访问控制列表概述,扩展访问控制列表,标准访问控制列表,什么是扩展访问控制列表,扩展访问控制列
2、表的应用与配置,命名访问控制列表,标准访问控制列表的应用与配置,什么是标准访问控制列表,Page 5/45,什么是访问控制列表,访问控制列表(ACL) 应用于路由器接口的指令列表 ,用于指定哪些数据包可以接收转发,哪些数据包需要拒绝 ACL的工作原理 读取第三层及第四层包头中的信息 根据预先定义好的规则对包进行过滤,Page 6/45,访问控制列表的作用2-1,提供网络访问的基本安全手段 可用于QoS,控制数据流量 控制通信量,Page 7/45,主机A,主机B,人力资源网络,研发网络,使用ACL阻止某指定网络访问另一指定网络,访问控制列表的作用2-2,Page 8/45,实现访问控制列表的核
3、心技术是包过滤,Internet,公司总部,内部网络,未授权用户,办事处,访问控制列表,访问控制列表工作原理2-1,Page 9/45,通过分析IP数据包包头信息,进行判断(这里IP所承载的上层协议为TCP),访问控制列表工作原理2-2,Page 10/45,匹配 下一步,拒绝,允许,允许,允许,到达访问控制组接口的数据包,匹配 第一步,目的接口,隐含的 拒绝,丢弃,Y,Y,Y,Y,Y,Y,N,N,N,路由器对访问控制列表的处理过程,匹配 下一步,拒绝,拒绝,拒绝,Page 11/45,访问控制列表入与出3-1,使用命令ip access-group将ACL应用到某一个接口上 在接口的一个方向
4、上,只能应用一个access-list,Router(config-if)#ip access-group access-list-number in|out,Page 12/45,进入数据包,源地址 匹配吗?,有更多 条目吗?,应用条件,拒绝,允许,路由到接口,查找路由表,是,是,否,是,否,Icmp消息,转发数据包,接口上有访问 控制列表吗?,列表中的 下一个条目,否,访问控制列表入与出3-2,Page 13/45,外出数据包,查找路由表,接口上有访问 控制列表吗?,源地址匹配吗?,拒绝,允许,列表中的 下一个条目,是,是,转发数据包,Icmp消息,否,否,否,有更多条目吗?,访问控制列表
5、入与出3-3,应用条件,是,Page 14/45,Deny和permit命令,Router(config)#access-list access-list-number permit|deny test conditions,允许数据包通过应用了访问控制列表的接口,拒绝数据包通过,Page 15/45,第一步,创建访问控制列表 第二步,应用到接口e0的出方向上,Router(config)#access-list 1 deny 172.16.4.13 0.0.0.0 Router(config)#access-list 1 permit 172.16.0.0 0.0.255.255 Route
6、r(config)#access-list 1 permit 0.0.0.0 255.255.255.255,Router(config)#interface fastethernet 0/0 Router(config-if)#ip access-group 1 out,访问控制列表实例,Page 16/45,使用通配符any和host 2-1,通配符any可代替0.0.0.0 255.255.255.255,Router(config)#access-list 1 permit 0.0.0.0 255.255.255.255,Router(config)#access-list 1 per
7、mit any,Page 17/45,使用通配符any和host 2-2,host表示检查IP地址的所有位,Router(config)#access-list 1 permit 172.30.16.29 0.0.0.0,Router(config)#access-list 1 permit host 172.30.16.29,Page 18/45,访问控制列表的种类,基本类型的访问控制列表 标准访问控制列表 扩展访问控制列表 其他种类的访问控制列表 基于MAC地址的访问控制列表 基于时间的访问控制列表,Page 19/45,路由器B,路由器C,路由器D,路由器A,S0,S0,S1,S1,E0
8、,E0,E1,E0,E0,E1,应用访问控制列表,源,目的,Page 20/45,标准访问控制列表3-1,标准访问控制列表 根据数据包的源IP地址来允许或拒绝数据包 访问控制列表号从1到99,Page 21/45,标准访问控制列表3-2,标准访问控制列表只使用源地址进行过滤,表明是允许还是拒绝,路由器,Page 22/45,如果在访问控制列表中有的话,应用条件,拒绝,允许,更多条目?,列表中的下一个条目,否,有访问控制列表吗?,源地址,不匹配,是,匹配,是,否,Icmp消息,转发数据包,标准访问控制列表3-3,Page 23/45,标准访问控制列表的配置,第一步,使用access-list命令
9、创建访问控制列表,第二步,使用ip access-group命令把访问控制列表应用到某接口,Router(config)#access-list access-list-number permit | deny source source- wildcard log,Router(config-if)#ip access-group access-list-number in | out ,Page 24/45,标准ACL应用1:允许特定源的流量2-1,Page 25/45,标准ACL应用:允许特定源的流量2-2,第一步,创建允许来自172.16.0.0的流量的ACL 第二步,应用到接口E0和
10、E1的出方向上,Router(config)#access-list 1 permit 172.16.0.0 0.0.255.255,Router(config)#interface fastethernet 0/0 Router(config-if)#ip access-group 1 out Router(config)#interface fastethernet 0/1 Router(config-if)#ip access-group 1 out,Page 26/45,标准ACL应用:拒绝特定主机的通信流量,第一步,创建拒绝来自172.16.4.13的流量的ACL 第二步,应用到接口
11、E0的出方向,Router(config)#access-list 1 deny host 172.16.4.13 Router(config)#access-list 1 permit 0.0.0.0 255.255.255.255,Router(config)#interface fastethernet 0/0 Router(config-if)#ip access-group 1 out,any,Page 27/45,标准ACL应用:拒绝特定子网的流量,第一步,创建拒绝来自子网172.16.4.0的流量的ACL 第二步,应用到接口E0的出方向,Router(config)#access
12、-list 1 deny 172.16.4.0 0.0.0.255 Router(config)#accesslist 1 permit any,Router(config)#interface fastethernet 0/0 Router(config-if)#ip access-group 1 out,0.0.0.0 255.255.255.255,Page 28/45,扩展访问控制列表4-1,扩展访问控制列表 基于源和目的地址、传输层协议和应用端口号进行过滤 每个条件都必须匹配,才会施加允许或拒绝条件 使用扩展ACL可以实现更加精确的流量控制 访问控制列表号从100到199,Page
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 第十二章 访问控制列表ACL 第十二 访问 控制 列表 ACL
链接地址:https://www.31doc.com/p-4191577.html