路由交换技术与实践项目12-部署ACL限制网络流量课件.pptx

1、路由交换技术与实践工业和信息化“十三五”高职高专人才培养规划教材项目12部署ACL限制网络流量人民邮电出版社知识梳理用户需求方案设计项目实施拓展训练一、用户需求网络拓扑图如图所示，怎样实现192.168.1.0/24网络中的设备无法telnet路由器R2？二、知识梳理扩展访问控制列表 扩展访问控制列表（扩展ACL）根据多种属性过滤IP数据包，过滤控制范围更广，可以更加精确地控制流量，可以提升安全性。扩展ACL可以根据数据包源地址、目的地址、协议类型、源及目的TCP和UDP端口号对数据进行访问控制。扩展ACL的编号在100到199以及2000到2699之间。二、知识梳理端口号 端口号是TCP和U

2、DP中标识应用程序的唯一报头字段的标识符。l公认端口 公认端口（端口号：0到1023）用于特定的服务器应用程序。l已注册端口 已注册端口（端口号：1024到49151）将分配给用户进程或应用程序。l动态或私有端口 动态或私有端口（端口号：49152到65535）也称为临时端口，动态端口往往在开始连接时被动态分配给客户端应用程序。二、知识梳理端口号l公认端口 TCP/UDP端口端口号服务和应用程序TCP端口21FTPTCP端口23telnetTCP端口25SMTPTCP端口80HTTPTCP端口143IMAPTCP端口194Internet中继聊天（RIC）TCP端口443HTTPsUDP端口6

3、9TFTPUDP端口520RIPTCP/UDP端口53DNSTCP/UDP端口161SNMPTCP/UDP端口531AOL Instant Messenger，IRC二、知识梳理l扩展ACL的放置位置 扩展ACL应尽可能靠近控制流量的源，这样才能在不需要的流量流经网络之前将其过滤掉。l基于时间的ACL 基于时间的ACL允许根据时间执行访问控制。要使用基于时间的ACL，需要创建一时间范围，指定一周和一天内的时段；可以为时间范围命名，然后对相应功能应用此范围。时间限制会应用到该功能本身。二、知识梳理配置命令l配置扩展编号ACL Router(config)#access-list access-l

4、ist-number deny|permit|remark protocol source source-wildcard operator operand port port-number or name destination destination-wildcard operator operand port port-number or name established access-list-number：ACL的编号,使用100至199或2000至2699之间的数字标识扩展ACL。deny：匹配条件时拒绝访问。permit：匹配条件时允许访问。remark：在IP ACL中添加备注

5、，增强列表的可读性。protocol：协议的名称或编号，常见的关键字包括icmp、ip、tcp或udp。若要匹配所有internet协议，须使用ip关键字。source：发送数据包（数据包的源）的网络地址或主机地址。source-wildcard：可选参数，对应源应用的通配符掩码。destination：数据包发往的目的网络地址或主机地址。destination-wildcard：对应目的地应用的通配符掩码。operator：可选参数，对比源或目的端口，可用的操作符包括l t（小于）、gt（大于）、eq（等于）、neq（不等于）和range（范围）。port：可选参数，TCP或UDP端口的十进

6、制编号或名称。established：可选参数，仅用于TCP，指示已建立的连接。二、知识梳理配置命令l配置扩展命名ACL Router(config)#ip access-list extended name Router(config-std-nacl)#deny|permit|remark protocol source source-wildcard operator operand port port-number or name destination destination-wildcard operator operand port port-number or name tim

7、e-range time-range-name establishedl在接口应用ACL Router(config)#interface type number Router(config-if)#ip access-group access-list-number|name in|out二、知识梳理配置命令l查看ACL Router#show access-listsl查看接口的配置 Router#show ip interfacel清除ACL的统计信息 Router#clear access-list counters access-list-number|name三、方案设计 网络拓扑

8、图中，因为telnet用的是TCP端口号23，要实现192.168.1.0/24网络中的设备无法telnet路由器R2，可以采用扩展ACL，根据源地址、目的地址、协议和端口号进行数据包的访问控制。因为扩展ACL的放置位置要尽量靠近数据流量的源，所以需要在路由器R1上配置扩展ACL。四、项目实施扩展编号ACL的配置要求完成扩展编号ACL的配置，实现192.168.1.0/24网络中的设备无法telnet路由器R2。四、项目实施扩展命名ACL的配置要求完成扩展命名ACL的配置，实现192.168.1.0/24网络中的设备无法telnet远程登录路由器R2。四、项目实施基于时间ACL的配置 网络拓扑图如图所示，计算机PC1位于学生网络，计算机PC2位于办公网络，路由器R2和计算机PC3位于学校外网，要求完成基于时间ACL的配置，实现学生网络在凌晨0点到早晨6点之间无法访问网络资源。五、拓展训练 网络拓扑图如图所示，要求完成如下配置。l完成计算机IP地址、路由器接口和路由的配置，实现计算机PC1、PC2和路由器R2互通。l完成基于时间ACL的配置，实现计算机PC1所在的网络在每天上午的8点到12点和下午的1点半到5点无法浏览网页。THANKS