大规模网络chap06 v1第六章访问控制列表

第六章 访问控制列表（ACL）——

理论部分课程回顾内容回顾MST与PVST+的区别？

HSRP的工作原理？HSRP中占先权与端口跟踪的含义？2技能展示理解ACL的基本原理会配置标准ACL会配置扩展ACL会配置ACL对网络进行控制3本章结构访问控制列表的配置标准访问控制列表的配置扩展访问控制列表的配置访问控制列表访问控制列表的工作原理访问控制列表概述访问控制列表的类型命名访问控制列表配置定时访问控制列表的配置访问控制列表的应用4访问控制列表概述访问控制列表（ACL）读取第三层、第四层包头信息根据预先定义好的规则对包进行过滤IP报头TCP报头数据源地址目的地址源端口目的端口访问控制列表利用这4个元素定义的规则5访问控制列表的工作原理访问控制列表在接口应用的方向访问控制列表的处理过程拒绝拒绝允许允许允许允许允许允许到达访问控制组接口的数据包目的接口隐含的拒绝丢弃YYYYYY匹配第一条NN匹配下一条拒绝拒绝拒绝拒绝拒绝拒绝N匹配下一条6访问控制列表类型标准访问控制列表扩展访问控制列表命名访问控制列表定时访问控制列表7标准访问控制列表配置3-1创建ACLRouter(config)#access-list

access-list-number{

permit

|

deny

}

source

[

source-wildcard

]Router(config)#

no

access-list

access-list-number允许数据包通过应用了访问控制列表的接口删除ACL拒绝数据包通过8标准访问控制列表配置3-2应用实例Router(config)#

access-list

1

permit

55Router(config)#

access-list

1

permit

允许/24和主机的流量通过隐含的拒绝语句Router(config)#

access-list

1

deny

55关键字hostany9标准访问控制列表配置3-3将ACL应用于接口Router(config-if)#

ip

access-group

access-list-number

{in

|out}在接口上取消ACL的应用Router(config-if)#

no

ipaccess-group

access-list-number

{in

|out}10标准访问控制列表配置实例应用在入方向还是出方向应用在哪台路由器/24./24PC1需求描述禁止主机PC1与主机PC2互访，允许所有其他的流量F0/0

F0/0

F0/0R1

R2

R3PC2/24R在3#(cs哪ohnof个iwg)a#接cacce口csess-应sli-slti用s

1标de准ny

AhoCst

LSRt3a(ncdoanrfdigI)P#

access-list

1

permit

anyR31(c0odnefnigy)#

1in9t2f.106/08.1.1R32(c0opnefrigm-itf)a#niyp

access-group

1

in教员演示操作过程11扩展访问控制列表配置2-1创建ACLRouter(config)#

access-list

access-list-number{

permit

|

deny}

protocol

{

sourcesource-wildcarddestination

destination-wildcard

}

[

operator

operan

]删除ACLRouter(config)#

no

access-listaccess-list-number将ACL应用于接口Router(config-if)#

ip

access-group

access-list-number

{in

|out}在接口上取消ACL的应用Router(config-if)#

no

ip

access-group

access-list-number

{in|out}12扩展访问控制列表配置2-2应用实例1Router(config)#

access-list

101

permit

ip

55

55Router(config)#

access-list

101

deny

ip

any

any应用实例2Router(config)#

access-list

101

deny

tcp

55host

eq

21Router(config)#

access-list

101

permit

ip

any

any应用实例3Router(config)#access-list

101

deny

icmp

55

host

echoRouter(config)#

access-list

101

permit

ip

any

any13扩展访问控制列表配置实例需求描述允许PC1访问Web服务器的WWW服务禁止PC1访问Web服务器的其它服务允许主机PC1访问网络/24/24/24R1PC1F0/0F0/0F0/0R2R3/24Web教员演示操作过程14命名访问控制列表配置5-1创建ACL标准命名ACLRouter(config)#

ip

access-list {

standard

|extended

}access-list-name扩展命名ACL配置标准命名ACLRouter(config-std-nacl)#

[

Sequence-Number

] {

permit

|

deny}source

[

source-wildcard

]配置扩展命名ACLRouter(config-ext-nacl)#

[

Sequence-Number

] {

permit

|

deny

}protocol

{

source

source-wildcard

destination

destination-wildcard

} [

operator

operan

]Sequence-Number决定ACL语句在ACL列表中的位置15命名访问控制列表配置5-2查看ACL配置信息R标准命名ACL应用实例o更ute改r(AcoCnLf,ig又)#允ip许ac来ce自ss主-lis机t

s1t9a2n.d1a6rd8.c2is.c1o/24的流量通过Router(config-)s#tidp-naacccle)#ssp-elirsmt

sittahnodsat

r1d92c.i1s6c8o.1.1

Router(config-std-nacl)#1d5enpyeramnyit

host

允许来自主机/24的流量通过RRoouutteerr##sshhoowwaacccceessss--lilsisttss

SSttaannddaarrddIPIPaacccceesssslilsisttccisisccoo1100ppeerrmmitit119922.1.16688.1.1.1.1

1250pdeernmyit

1a9n2y.168.2.120

deny

any添加序列号为15的ACL语句ACL语句添加到了指定的ACL列表位置教员演示操作过程16命名访问控制列表配置5-3扩展命名ACL应用实例Router(config)#

ip

access-list

extendedciscoRouter(config-ext-nacl)#

denytcp

55

host

eq21Router(config-ext-nacl)#permit

ip

any

any17命名访问控制列表配置5-4删除组中单一ACL语句删创除建整AC组LACLRouter(config)#

nipoaicpcaecscse-lsist-lsisttan{

dsatarnddcaisrdco|

extended

}Roauctceer(scso-nlifsitg--nsatmd-enacl)#

permit

host

Router(config-std-nacl)#endRouter#showaccess-listsStannodaSredqIPuaecnccees-sNliustmcbisecro1n0opAerCmLit语19句删除组中单一ACL语句18Router(config-std-nacl)#

no

10或Router(config-std-nacl)#no

permit

host

命名访问控制列表配置5-5将ACL应用于接口Router(config-if)#

ip

access-group

access-list-name

{in

|out}在接口上取消ACL的应用Router(config-if)#

no

ipaccess-group

access-list-name

{in

|out}19命名访问控制列表配置实例公司添加服务器，要求如下～可以访问服务器/24中除上述地址外都不能访问服务器其他公司网段都可以访问服务器公司人员调整，更改服务器访问权限不允许和主机访问服务器允许0主机访问服务器教员演示操作过程20定义时间范围指定该时间范围何时生效to

[days-of-the-week]

hh:mm参定数义d时a间ys范-o围f-t的he名-w称eek的取值Router(config)#

time-rangetime-range-name取值 说明21Monday

星期一定义一个Tu时es间da周y

期星期二Router(cWonefidgn-teimsde-aryange)#periodic星d期ay三s-of-the-week

hh:mmThursday

星期四定义一个F绝rid对ay时间星期五Router(conSfaigtu-trimdaey-range)#

absolut星e

[期sta六rt

hh:mm

daymonthyear]

[enSduhnhd:amym

day

monthyea星r]期日daily

每天weekdays

在平日

(指星期一至星期五)weekend

周末（指星期六和星期日）定时访问控制列表配置2-1扩展ACL中引入时间范围Router(config)#

access-list

access-list-number

{

permit

|

deny}

protocol

{

source

source-wildcard

destinationdestination-wildcard

}

[

operator

operan

]

time-rangetime-range-name将ACL应用于接口Router(config-if)#

ip

access-group

access-list-number

{

in

|out

}22定时访问控制列表配置2-2应用实例1Router(config)#

time-range

mytimeRouter(config-time-range)#

periodic

weekdays

8:30

to

17:30Router(config-time-range)#

exitRouter(config)#

access-list

101

permit

ip

any

any

time-range

mytimeRouter(config)#

int

f0/0Router(config-if)#

ip

access-group

101

in应用实例2Router(config)#

time-range

mytimeRouter(config-time-range)#

absolute

start

8:00

10

may

2009

end

18:0020

may

2009Router(config-time-range)#

exitRouter(config)#

access-list

101

permit

ip

any

any

time-range

mytimeRouter(config)#

int

f0/0Router(config-if)#

ip

access-group

101

in23小结请思考ACL的作用是什么？ACL通过哪几个参数过滤数据包？

ACL分为几种？24访问控制列表的应用2-1网络管理员可以访问所有服务器网络设备只允许网管区IP地址可以通过TELNET登录只有网管能使用远程桌面、TELNET、SSH等管理服务器服务器区财务部生产部网管区核心层所有部门之间不能互通，但可以和网管互通公司信息安全员可以访问服务器，不能访问Internet接入外层网只能访问特定服务器的特定…服…务限制员工上网时间为工作日的8:00～18:00接入路由器Internet公司网安络全拓方扑面图考虑要求限定不同的部门能访问的服务器25