ACL访问控制列表解析课件.ppt
- 【下载声明】
1. 本站全部试题类文档,若标题没写含答案,则无答案;标题注明含答案的文档,主观题也可能无答案。请谨慎下单,一旦售出,不予退换。
2. 本站全部PPT文档均不含视频和音频,PPT中出现的音频或视频标识(或文字)仅表示流程,实际无音频或视频文件。请谨慎下单,一旦售出,不予退换。
3. 本页资料《ACL访问控制列表解析课件.ppt》由用户(晟晟文业)主动上传,其收益全归该用户。163文库仅提供信息存储空间,仅对该用户上传内容的表现方式做保护处理,对上传内容本身不做任何修改或编辑。 若此文所含内容侵犯了您的版权或隐私,请立即通知163文库(点击联系客服),我们立即给予删除!
4. 请根据预览情况,自愿下载本文。本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
5. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007及以上版本和PDF阅读器,压缩文件请下载最新的WinRAR软件解压。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- ACL 访问 控制 列表 解析 课件
- 资源描述:
-
1、1ISP什么是访问列表 为什么要使用访问列表可以是路由器或三层交换机或防火墙访问列表的组成 访问列表规则的应用 经某接口进入设备内部的数据包进行安全规则过滤 设备从某接口向外发送数据时进行安全规则过滤访问列表的入栈应用NY是否允许是否允许?Y是否应用是否应用访问列表访问列表?N查找路由表查找路由表进行选路转发进行选路转发以ICMP信息通知源发送方以ICMP信息通知源发送方NY选择出口选择出口S0路由表中是否路由表中是否存在记录存在记录?NY查看访问列表查看访问列表的陈述的陈述是否允许是否允许?Y是否应用是否应用访问列表访问列表?NS0S0 访问列表的出栈应用IP ACL的基本准则Y拒绝拒绝Y是
2、否匹配是否匹配测试条件测试条件1?允许允许N拒绝拒绝允许允许是否匹配是否匹配测试条件测试条件2?拒绝拒绝是否匹配是否匹配最后一个最后一个测试条件测试条件?YYNYY允许允许被系统隐被系统隐含拒绝含拒绝N 一个访问列表多个测试条件访问列表规则的定义ACL的基本用途是限制访问网络的用户,保护网络的安全。ACL一般只在以下路由器上配置:1、内部网和外部网的边界路由器。2、两个功能网络交界的路由器。限制的内容通常包括:1、允许那些用户访问网络。(根据用户的IP地址进行限制)2、允许用户访问的类型,如允许http和ftp的访问,但拒绝Telnet的访问。(根据用户使用的上层协议进行限制)ACL的工作过程
3、访问控制列表(ACL)由多条判断语句组成。每条语句给出一个条件和处理方式(通过或拒绝)。路由器对收到的数据包按照判断语句的书写次序进行检查,当遇到相匹配的条件时,就按照指定的处理方式进行处理。ACL中各语句的书写次序非常重要,如果一个数据包和某判断语句的条件相匹配时,该数据包的匹配过程就结束了,剩下的条件语句被忽略。8.2 ACL语句一个访问控制列表(ACL)可由多条语句组成,每条ACL语句的形式为:Router(config)#access-list 表号 处理方式 条件ACL表号:用于区分各访问控制列表。一台路由器中可定义多个ACL,每个ACL使用一个表号。其中针对IP数据报的ACL可使用
4、的表号为:标准访问控制列表:199。扩展访问控制列表:100199。同一个ACL中各语句的表号相同。处理方式:取值有permit(允许)和deny(拒绝)两种。当数据包与该语句的条件相匹配时,用给定的处理方式进行处理。条件:每条ACL语句只能定义一个条件。例:access-list 1 permit 10.0.0.0 0.255.255.255access-list 1 deny 20.0.0.0 0.255.255.255第1句表示允许地址为10.*.*.*的数据包通过。第2句表示拒绝地址为20.*.*.*的数据包通过。这里的地址指数据包的源地址。应用ACL如果只是定义了ACL,它还不会起到
5、任何作用,必须把ACL应用到一个接口上才能起作用。应用ACL:Router(config)#interface 接口号Router(config-if)#ip access-group 表号 in|outin:表示在数据包进入此接口时使用ACL进行过滤。out:表示在数据包离开此接口时使用ACL进行过滤。通常,使用出站接口检查的数据包数量较少,效率要高一些。例:Router(config)#interface e0Router(config-if)#ip access-group 1 out表示在e0口上使用表号为1的ACL对出站数据包进行过滤。通配符掩码在ACL语句中,当使用地址作为条件时,
6、它的一般格式为:地址 通配符掩码。通配符掩码决定了地址中的哪些位需要精确匹配,哪些为不需要匹配。通配符掩码是一个32位数,采用点分十进制方式书写。匹配时,“0”表示检查的位,“1”表示不检查的位。如:192.168.1.1 0.0.255.255表示检查前16位,忽略后16位,所以这个条件表示的地址是 192.168.*.*。any条件:当条件为所有地址时,如果使用通配符掩码应写为:0.0.0.0 255.255.255.255这时可以用“any”表示这个条件。如:Router(config)#access-list 1 permit 0.0.0.0 255.255.255.255Router
7、(config)#access-list 1 permit any上面两个语句是等价的。host关键字:当条件为单一IP地址时,如果使用通配符掩码应写为:IP地址 0.0.0.0这时可以用“host”关键字定义这个条件。如:Router(config)#access-list 1 permit 200.1.1.5 0.0.0.0Router(config)#access-list 1 permit host 200.1.1.5上面两个语句是等价的。源地址源地址TCP/UDP数据数据IPeg.HDLC1-99 号列表号列表 IP标准访问列表目的地址目的地址源地址源地址协议协议端口号端口号100-
8、199号列表号列表 TCP/UDP数据数据IPeg.HDLC IP扩展访问列表00111111128643216842100000000000011111111110011111111 反掩码(通配符)思考题 IP标准访问列表的配置access-list 1 permit 172.16.3.0 0.0.0.255(access-list 1 deny 0.0.0.0 255.255.255.255)interface serial 0ip access-group 1 out172.16.3.0172.16.4.0F0S0F1172.17.0.0 IP标准访问列表配置实例标准ACL配置举例1R
9、1E0一个局域网连接在路由器R1的E0口,这个局域网要求只有来自10.0.0.0/8、192.168.0.0/24、192.168.1.0/24的用户能够访问。R1(config)#access-list 1 permit 10.0.0.0 0.255.255.255R1(config)#access-list 1 permit 192.168.0.0 0.0.0.255R1(config)#access-list 1 permit 192.168.1.0 0.0.0.255R1(config)#interface e0R1(config-if)#ip access-group 1 out配置
10、完成后,可以用命令查看ACL:R1#show access-lists说明:1、在每个ACL中都隐含着一个语句:access-list list-num deny any它位于ACL的最后,表示拒绝所有。所以任何一个与前面各语句都不匹配的数据包都会被拒绝。2、在ip access-group语句中,用in或out表示入站时匹配或出站时匹配,如果没有指定这个值,默认为out。3、在每个接口、每个方向上只能应用一个ACL。4、一个ACL可以应用到多个接口上。标准ACL配置举例2R1E0一个局域网连接在路由器R1的E0口,这个局域网要求拒绝来自192.168.10.0/24的用户访问,其它用户都可以
11、访问。R1(config)#access-list 1 deny 192.168.10.0 0.0.0.255R1(config)#access-list 1 permit anyR1(config)#interface e0R1(config-if)#ip access-group 1 out注意:access-list 1 permit any语句不能省略,如果省略该语句,则所有和语句1不匹配的数据包都会被隐含的access-list 1 deny any语句拒绝。标准ACL配置举例3R1E0一个局域网连接在路由器R1的E0口,这个局域网只允许来自192.168.20.0/24的用户访问,
12、但其中192.168.20.1和192.168.20.5两台主机除外。R1(config)#access-list 1 deny host 192.168.20.1R1(config)#access-list 1 deny host 192.168.20.5R1(config)#access-list 1 permit 192.168.20.0 0.0.0.255R1(config)#interface e0R1(config-if)#ip access-group 1 out注意:access-list 1 permit 192.168.20 0.0.0.255语句不能写在另两条语句的前面,
展开阅读全文