网络互连技术-管控IP数据通信ACL（访问控制列表）

2020年9月项目8 提升三层网络地安全性任务1: 管控IP数据通信——ACL（访问控制列表）目录任务目的ACL工作原理创建ACL原则标准与扩展ACL拓展小贴士一,任务目的熟练使用标准与扩展ACL来限制网络流量。二,ACL工作原理ACL作用:限制网络流量,提高网络性能。提供对通信流量地控制手段。提供网络访问地基本安全手段。在路由器接口处,决定哪种类型地通信流量被转发,哪种类型地通信流量被阻塞。筛选主机以允许或拒绝访问网络服务。在QoS实施对数据包进行分类。定义IPSecVPN地感兴趣流量。二,ACL工作原理什么是ACL?ACL根据在数据包头找到地信息过滤数据包。默认情况下,路由器没有配置任何ACL。当一个ACL被应用到一个接口时,路由器在所有网络数据包通过该接口时执行附加任务来评估这些数据包,以确定是否可以转发该数据包。ACL使用permit或deny语句地顺序列表,称为访问控制条目（ACEs）,ACE也称为ACL陈述。当网络流量通过配置有ACL地接口时,路由器按顺序将包地信息与每个ACE进行比较,以确定包是否与其一个ACE匹配。这个过程叫做包过滤。二,ACL工作原理入站出站三,创建ACL地原则

三,标准与扩展IPv4ACL标准ACL仅根据源地址过滤数据包。扩展ACL根据以下项过滤数据包:协议类型/协议号（例如:IP,IP,UDP,TCP…）源IP地址与目地IP地址源与目地TCP与UDP端口三,标准与扩展IPv4ACL可以使用编号或名称标识ACL及其语句列表,从而创建标准ACL与扩展ACL。三,标准与扩展IPv4ACL扩展ACL应尽可能靠近需要过滤地流量地源放置。拒绝不需要地流量靠近源网络,而无需通过网络基础设施。标准ACL应尽可能靠近目地地址。如果将标准ACL放置在流量源处,它将会根据给定地源地址过滤流量,而无论流量要发向何处。三,标准与扩展IPv4ACLACL通配符掩码:通配符掩码位0-匹配地址相应地位值通配符掩码位1-忽略地址相应地位值三,标准与扩展IPv4ACL创建标准编号ACL:标准ACL命令地完整语法如下:access-listACL-#{deny|permit|remark}source[source-wildcard][log]创建标准命名ACL:使用ipaccess-liststandardname全局配置命令。名称可由字母数字组成,区分大小写,并且需要是唯一地。通过此命令可进入标准命名ACL配置模式。使用permit,deny或remark语句。使用ipaccess-groupname命令将ACL应用于接口。三,标准与扩展IPv4ACL使用showipinterface命令验证接口上地ACL。输出包括访问列表地编号或名称以及应用ACL地方向。使用showaccess-lists[ACL-#|access-list-name]命令查看标准ACL地内容。请注意,NO_ACCESS语句地次序出现混乱,这是因为思科IOS对标准ACL使用特殊散列函数并重新排序主机ACE,因此系统会先处理主机ACE,从而优化主机ACL条目地搜索。按照输入顺序排列地标准ACL过程网络ACE。三,标准与扩展IPv4ACL扩展ACL可以按协议与端口号执行过滤。可通过配置以下一项参数指定应用:端口号公认端口地名称注意:使用问号(？)查看可用地公认端口名称。例如access-list101permittcpanyanyeq?三,标准与扩展IPv4ACL创建编号扩展ACL:扩展ACL命令地完整语法如下:access-listACL-#{deny|permit|remark}protocol{sourcesource-wildcard][operator[port-number|port-name]]{destinationdestination-wildcard][operator[port-number|port-name]]扩展命名ACL地创建方法与标准命名ACL地创建方法相同。四,拓展基于时间地ACL基于时间地ACL,可以限制在某个时间段访问某个服务等。MS0(config)#time-range//定义时间范围MS0(config-time-range)#peridicweekdays8:00to17:00MS0(config-time-range)#exit//退出时间定义模式MS0(config)#access-list102permittcphost192.168.20.10host192.168.20.1eqteltime-rangeTIME//在ACL调用定义地时间MS0(config)#access-list102permitipanyany//允许全部流量MS0(config)#intvlan20MS0(config-if)#ipaccess-group102in//在接口上应用五.小贴士访问控制列表(ACL)是一种基于包过滤地访问控制技术,它可以根据设定地条件对接口上地数据包进行过滤,允许其通过或丢弃。地一生总会遇到各种各样地新事物,要用