网络设备配置与管理项目式教程（第3版） 课件 3.2利用IP标准访问控制列表进行网络流量控制

利用IP标准访问控制列表

进行网络流量控制教学目标能够在三层交换机或路由器中根据源IP地址过滤数据包；能够根据流量控制要求在网络中选择合适的路由设备和接口配置标准访问控制列表；能够进行标准访问控制列表准确性的检验；能够描述标准访问控制列表的作用；能够描述访问控制列表的基本工作过程及规则；培养学生网络安全管理的基本素养。工作任务

一个中小企业网络，为三个部门划分了子网，分别为生产部、管理部和财务部，对应子网分别是VLAN10、VLAN20和VLAN30。企业的核心数据保存在内网服务器SERVER1中，根据信息安全的要求，只允许管理部和财务部的计算机访问内网服务器SERVER1，不允许生产部的计算机访问内网服务器SERVER1，作为网络管理员，希望你进行适当的配置，在确保各部门计算机对网络共享资源访问的条件下，限制生产部的计算机对内网服务器SERVER1的访问。网络拓扑利用标准访问控制列表进行网络流量控制操作步骤（演示）

步骤1．在三层交换机SW1上创建VLAN，将相应端口加入VLAN，并配置交换虚拟接口（SVI）地址。步骤2．配置路由器名称和端口IP地址。步骤3．在三层交换机SW1、路由器RT1上配置路由。步骤4．测试网络连通性。步骤5．在路由器RT1的端口F1/0上配置标准IP访问控制列表。步骤6．验证数据流量控制的有效性。步骤7．查看访问控制列表的正确性。操作要领

访问控制列表表项的检查与执行按自上而下的顺序进行，并且从第一个表项开始，所以必须考虑在访问控制列表中定义语句的次序；路由器不对自身产生的IP数据包进行过滤；访问控制列表最后一条是隐含的拒绝所有；每个路由设备接口的每个方向，每种协议只能创建一个ACL；标准访问控制列表要应用在尽量靠近目的地址的端口上。相关知识—访问列表基本概念IPAccess-list：IP访问列表或访问控制列表，简称IPACL。ACL就是对经过网络设备的数据包根据一定的规则进行数据包的过滤。ISP√

相关知识—访问列表的作用内网安全运行访问外网的安全控制相关知识—访问列表的作用访问控制列表的作用：内网布署安全策略，保证内网安全权限的资源访问；内网访问外网时，进行安全的数据过滤；防止常见病毒、木马、攻击对用户的破坏。相关知识—访问列表的组成定义访问列表的步骤定义规则（哪些数据允许通过，哪些数据不允许通过）将规则应用在路由器（或交换机）的接口上访问控制列表的分类：标准访问控制列表扩展访问控制列表

相关知识—访问列表规则的应用路由器应用访问列表对流经接口数据包进行控制入栈应用（in）经接口进入设备的数据包进行安全规则过滤出栈应用（out）设备从接口向外发送数据时进行安全规则过滤一个接口在一个方向只能应用一组访问控制列表F1/0F1/1INOUT相关知识—访问列表的入栈应用NY是否允许

?Y是否应用

访问列表

?N查找路由表进行选路转发以ICMP信息通知源发送方以ICMP信息通知源发送方NY选择出口

S0

路由表中是否存在记录

?NY查看访问列表

的陈述是否允许

?Y是否应用

访问列表

?NS0S0

相关知识—访问列表的出栈应用相关知识—IPACL的基本原则一切未被允许的就是禁止的定义访问控制列表规则时，最终的缺省规则是拒绝所有数据包通过按规则链来进行匹配使用源地址、目的地址、源端口、目的端口、协议、时间段进行匹配规则匹配原则从头到尾，自顶向下的匹配方式匹配成功马上停止立刻使用该规则的“允许/拒绝……”Y拒绝Y是否匹配

规则条件1?允许N拒绝允许是否匹配

规则条件2?拒绝是否匹配

最后一个

条件

?YYNYY允许隐含拒绝N

相关知识—访问列表多条过滤规则相关知识—访问列表规则的定义标准访问列表根据数据包源IP地址进行规则定义扩展访问列表根据数据包中源IP、目的IP、源端口、目的端口、协议进行规则定义源地址TCP/UDP数据IP

eg.HDLC1-99

1300-1999号列表

相关知识—IP标准访问列表目的地址源地址协议端口号

相关知识—IP扩展访问列表TCP/UDP数据IP

eg.HDLC100-199

2000-2699号列表0表示检查相应的地址比特1表示不检查相应的地址比特001111111286432168421000000000000111111111111

相关知识—反掩码（通配符）

相关知识—IP标准访问列表的配置1.定义标准ACL编号的标准访问列表

Router(config)#access-list<1-99>{permit|deny}源地址[反掩码]命名的标准访问列表

switch(config)#ipaccess-liststandard<name>switch(config-std-nacl)#{permit|deny}源地址[反掩码]2.应用ACL到接口Router(config-if)#ipaccess-group<1-99>{in|out}172.16.3.0172.16.4.0F1/0S1/2F1/1172.17.0.0

相关知识—IP标准访问列表配置实例(一)配置：access-list1permit172.16.3.00.0.0.255(access-list1denyany)interfaceserial1/2ipaccess-group1out相关知识—标准访问列表配置实例(二)需求：你是某校园网管，领导要你对网络的数据流量进行控制,要求校长可以访问财务的主机，但教师机不可以访问。配置：ipaccess-listextendedabcpermithost192.168.2.8deny192.168.2.00.0.0.255财务192.168.1.0教师192.168.2.0192.168.2.8F0/1F0/2F0/5F0/6F0/8F0/9F0/10校长

相关知识—访问列表的验证显示全部的访问列表Router#showaccess-lists显示指定的访问列表Router#showaccess-lists<1-199>显示接口的访问列表应用Router#showipinterface接口名称接口编号相关知识—IP访问