TCPIP路由交换技术（第二版）课件 项目9 利用访问控制列表管理网络的数据流

项目9利用访问控制列表管理网络的数据流授课教师：肖

杨吉林交通职业技术学院学习目标

了解ACL的概念及其作用掌握ACL分类、特点和应用要求学会标准ACL和扩展ACL的配置思维导图

了解访问控制列表的应用规则0

1掌握ACL的配置02利用ACL管理网络的数据流03CONTENTS目录学习任务9.1了解访问控制列表的应用规则9.1.1访问控制列表（ACL）概述ACL的定义InternetACL（访问控制列表）定义：当网络流量不断增长的时候，对数据流进行管理和限制的方法作为通用判别标准应用到不同场合ACL的使用场合哪些场合需要使用ACL？允许或禁止对路由器或来自路由器的telnet访问QOS与队列技术策略路由数据速率限制路由策略端口流镜像NAT……ACL的分类（1）

数据包出接口数据包入接口ACL处理过程允许?源地址、目的地址协议标准ACL仅以源IP地址作为过滤标准只能粗略的限制某一大类协议扩展ACL以源IP地址、目的IP地址、TCP/UDP源端口号、TCP/UDP目的端口号、ICMP类型、ICMPCode、DSCP（DiffServCodePoint）、ToS、Precedence作为过滤标准，可以精确的限制到某一种具体的协议ACL的分类（2）

数据包出接口数据包入接口ACL处理过程允许?源地址、目的地址协议二层ACL源MAC地址、目的MAC地址、源VLANID、二层以太网协议类型、802.1p优先级值进行匹配。混合ACL对源MAC地址、目的MAC地址、源VLANID、源IP地址、目的IP地址、TCP源端口号、TCP目的端口号、UDP源端口号、UDP目的端口号进行匹配。

标准ACL和扩展ACL的对比标准ACL扩展ACL基于源地址过滤基于源、目的地址过滤允许/拒绝整个TCP/IP协议族指定特定的IP协议和协议号范围从1到99范围从100到1999.1.2

ACL规则ACL的工作流程ACL应用在出接口ACL的工作流程ACL应用在入接口ACL内部匹配规则ACL的判别标准9.1.3

ACL的应用ACL的应用对于标准ACL，由于它只能过滤源IP，为了不影响源主机的通信，一般我们将标准ACL放在离目的端比较近的地方；扩展ACL可以精确的定位某一类的数据流，为了不让无用的流量占据网络带宽，一般我们将扩展ACL放在离源端比较近的地方。ACL配置规则1.ACL语句执行顺序2.隐含的拒绝所有的条目3.ACL可应用于IP接口或某种服务4.ACL配置顺序5.ACL的应用6.ACL的方向反掩码（通配符的作用）0代表对应位必须与前面的地址相应位一致1代表对应位可以是任意值donotcheckaddress

(ignorebitsinoctet)=001111111286432168421=00000000=00001111=11111100=11111111ignorelast6addressbitscheckalladdressbits(matchall)ignorelast4addressbitschecklast2addressbitsExamples匹配特定主机地址9

(匹配所有32位)Wildcardmask:匹配条件:匹配所有32位地址----主机地址匹配任意地址55意为接受所有地址可简写为any

55(忽略所有位的比较)AnyIPaddress通配符:匹配条件:匹配任意地址（任意地址都被认为符合条件）匹配特定子网指定特定地址范围172.30.16.0/24到

172.30.31.0/24172.30.16.0

00010000通配符: 00001111 |<-------

匹配

------->|<-----忽略----->|

00010000 = 16

00010001 = 17

00010010 = 18 : :

00011111 = 31地址与通配符如下55ACL的配置规则总结思考：我们应该按照怎样一个顺序配置ACL按照由上到下的顺序执行，找到第一个匹配后既执行相应的操作（然后跳出ACL）每条ACL的末尾隐含一条denyany的规则ACL可应用于某个具体的IP接口的出方向或入方向ACL可应用于系统的某种特定的服务（如针对设备的TELNET）在引用ACL之前，要首先创建好ACL对于一个协议，一个接口的一个方向上同一时间内只能设置一个ACL下课，谢谢！授课教师：肖

杨吉林交通职业技术学院CLASSOVER,THANKYOU!项目9利用访问控制列表管理网络的数据流授课教师：肖

杨吉林交通职业技术学院学习任务9.2掌握ACL的配置9.2.1标准ACL的配置ACL的访问表号每个ACL都有一个用以识别的访问表号，它是一个数字，不同类型ACL的访问表号范围如下： 基本ACL：1~99 扩展ACL：100~199 二层ACL：200~299 混合ACL：300~349每个ACL中的规则最多为100条，规则号范围1~100。ACL配置原则ACL语句的顺序很关键

ACL按照由上到下的顺序执行，找到一个匹配语句后既执行相应的操作，然后跳出ACL而不会继续匹配下面的语句。所以配置ACL语句的顺序非常关键！

自上到下的处理顺序具体的判别条目应放置在前面标准ACL可以自动排序：主机网段any隐含的拒绝所有的条目除非最后有明确的允许语句，否则最终拒绝所有流量，所以ACL中必须有允许条目存在，否则一切流量被拒绝ACL配置（标准ACL）（1）应用到接口的标准ACLRouter(config)#ipaccess-liststandard

1Router(config-std-nacl)#permit

55Router(config)#interfaceF_1/1Router(config-if)#ipaccess-group

1

out

ACL配置（标准ACL）（2）应用到服务上的ACLRouter(config)#ipaccess-liststandard12Router(config-std-nacl)#permit55Router(config)#linevty04Router(config-line)#access-class12in

9.2.2扩展ACL的配置ACL配置步骤（扩展ACL）扩展ACL配置命令如下：Router(config)#ipaccess-liststandard

101Router(config-ext-nacl)#

deny

tcp

5555

Eq

ftp

Router(config-ext-nacl)#permit

ip

anyany

Router(config)#interface

fei_2/1Router(config-if)#ipaccess-group

101

outACL维护与诊断在特权模式下使用命令showipaccess-list可显示IPACL的具体内容。

Router#showipaccess-list

1查看ACL的内容查看某物理端口是否应用了ACL

：命令格式：showinterface<port-name>命令模式：特权模式命令功能：显示以太网端口配置信息显示所有或指定表号的ACL的内容：命令格式：showipaccess-lists[<

access-lists-number>|<name>]命令模式：特权模式命令功能：显示所有或指定表号的ACL的内容下课，谢谢！授课教师：肖

杨吉林交通职业技术学院CLASSOVER,THANKYOU!项目9利用访问控制列表管理网络的数据流授课教师：肖

杨吉林交通职业技术学院实战任务9.3利用ACL管理网络的数据流9.3.1实施条件项目背景你是一个公司的网络管理员，公司的经理部、财务部门和销售部门分属不同的3个网段，三部门之间用路由器进行信息传递，为了安全起见，公司领导要求销售部门不能对财务部门进行访问，但经理部可以对财务部门进行访问。

实施条件标准IP访问列表可以根据数据包的源IP地址定义规则，进行数据包的过滤。根据实验室的实际情况项目可使用实体设备或PacketTracer模拟器完成。本项目使用PacketTracer模拟器完成。设计的网络拓扑结构如图所示。其中PC1代表经理部的主机，PC2代表销售部门的主机、PC3代表财务部门的主机。

9.3.2数据规划IP地址规划表数据规划物理链路规划表数据规划9.3.3实施步骤实施步骤1.连接网络项目实施主要步骤1.路由器基本配置R1、R2基本配置、IP接口地址配置等（略）2.路由表配置配置静态路由R1(config)#iproute

serial

0/3/0R2(config)#iproute

serial

0/3/0R2(config)#iproute

serial

0/3/03.配置标准IP访问控制列表R2(config)#ipaccess-liststandard

1R2(config-std-nacl)#permit

55//允许来自网段的流量通过R2(config-std-nacl)#deny

55//拒绝来自网段的流量通过4.把访问控制列表在出口应用R2(config)#interfacefastEthernet

1/0R2(config-if)#ipaccess-group

1

out

//在接口下访问控制列表出栈流量调用项目实施主要步骤5.查看路由器的状态信息（1）显示路由器系统及版本信息R2#showversion（2）显示当前运行的配置参数R2#showrunning-config（3）显示路由器路由表R2#showiproute（4）显示访控列表具体表项R2#showaccess-lists1项目实施主要步骤项目实施过程6.保存路由器的状态配置文件R2#

write

R2#copyrunning-configstartup-config9.3.4项目测试项目测试1.设置PC1、PC2、PC3的IP地址(具体配置过程略)2.网络通信测试（1）显示访控列表具体表项R2#showipaccess-lists1StandardIPaccesslist1permit55(10match(es))deny55(22match(es))项目测试（2）测试PC1与PC3的网络通信状态（3）测试P2与PC3的网络通信状态（略）思政小