- 1、本文档共35页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
算机网络工程
信电工程学院 鲍蓉
计
9.1
访问控制列表(ACL) 概述
9.2
定义访问控制列表
9.3
声明访问控制列表
9.4
基于时间的访问控制列表
9.5
实验项目分析
第9章 访问控制列表
■9. 1 访问控制列表(ACL) 概述
什么是访问控制列表( IP ACL)
应用在路由器或三层交换机接口的指令列表 , 通过定义一些准则对
通过网络设备的所有数据包进行过滤 , 禁止或允许数据通过。
- √
可以是路由器或三 层交换机或防火墙
网络安全性
为什么使用访问控制列表
路由器
RG-NBR1000
核心交换机 RG-S3512G /RG-S4009
隔离外网病毒
接入层交换机 RG-S2126
财务部 VLAN10
技术部 VLAN20
交换机堆叠
服务器群
定义访问列表的步骤
第一步 , 定义规则
允许( permit) 哪些数据通过 ;
拒绝 (deny )哪些数据通过
第二步 , 将规则应用在路由器(或交换机) 的接口上
访问列表的分类
1 . 标准访问控制列表( standard IP ACL)
➢根据数据包源IP地址进行规则定义
2 . 扩展访问控制列表(extended IP ACL)
根据数据包中源IP 、 目的IP 、源端口 、 目的端口、
协议进行规则定义
访问控制列表规则元素
源IP 、 目的IP 、源端口 、 目的端口 、 协议
访问控制列表规则的应用
路由器应用访问列表对流经接口的数据包进行控制
➢入栈应用( in )
➢ 经某接口进入设备内部的数据包进行安全规则过滤
➢出栈应用( out)
➢ 从设备某接口向外发送数据时进行安全规则过滤
F1/0
F1/1
OUT
IN
查找路由表 进行选路转发
访问列表的入栈应用
以ICMP信息通知源发送方
是否允许
?
N
N
Y
Y
选择出口
S0
N
Y
N
访问列表的出栈应用
Y
以ICMP信息通知源发送方
查看访问列表 的陈述
是否允许
?
S0
S0
Y
IP ACL的基本准则
■ 一切未被允许的就是禁止的
· 定义访问控制列表规则时 , 最终的缺省规则是拒绝所有数
据包通过
■ 按规则链来进行匹配
· 使用源地址 、 目的地址 、源端口 、 目的端口 、协议 、 时间
段进行匹配
■ 规则匹配原则
· 从头到尾 , 至顶向下的匹配方式
· 匹配成功马上停止
· 立刻使用该规则的“ 允许/拒绝…… ”
Y
Y
Y Y
Y Y
N
是否匹配
最后 一个
条件
?
允许
一个访问列表 多条过滤规则
ACL执行过程
- 拒绝
- 拒绝
拒绝
N
■9.2 定义访问控制列表
一 、 IP标准访问列表
➢根据数据包源IP地址进行规则定义
数据
IP
➢ 定义标准编号访问列表
Router (config)# access-list <1-99> {permit|deny}
源地址 [反掩码]
反掩码(通配符掩码): 32位 , 二进制位0表示数据包中相应
的地址位必须与访问列表规定的地址相匹配; 二进制位1则表 示无需匹配。
➢ 通配符掩码为55时 , 表示不需要匹配地址 , 表
示对任何IP地址都执行规则操作。
➢ [地址+反掩码]可用关键字any替代。
➢ 若通配符掩码为 , 表示IP地址的32位都要匹配 , 这样
只表示一个IP地址 , 可以用host表示。
R1(config)# access-list 1 deny 192. 168. 1.2
R1(config)# access-list 1 permit 55
或:
R1(config)# access-list 1 deny host 192. 168. 1.2
R1(config)# access-list 1 permit any
示例: 配置一个标准访问列表 , 拒绝来自特定主机192. 168. 1.2的
数据包 , 允许其他所有的流量。
二 、 IP扩展访问列表
根据数据包中源IP 、 目的IP 、源端口 、 目的端口 、协
议进行规则定义
数据
IP
·定义扩展编号访问列表
·Router (config)# access-list <100- 199> { permit /d
y } 协议 源地址 反掩码 [源端口] 目的地址 反掩码 [ 目的 端口 ]
·比较以下两条语句有何不同:
·access-list 101 deny tcp host 192. 168.3. 100 eq 80 any
·acces
您可能关注的文档
- 景观植物学第二植物学基础(花果)案例.pptx
- 摄像头模组点胶应用.pptx
- 差动保护培训电气稿分析.pptx
- 韩国比较购物网站研究报告.pptx
- 我们需要什么样的数学? .pptx
- 建筑电气-节能专业培训.PPT-.pptx
- 步进电机PLC控制课堂用.pptx
- State-of-Americas-Libraries-Report-2017学习资料学习资料学习资料.pdf
- 左传 (1)学习资料.doc
- 七年级上册期末复习题.docx
- 纯电动车两档变速器设计说明书.docx
- agv举升机构和液压系统结构设计.docx
- 1721-1722年波士顿天花疫情与接种争议.docx
- 编程在线教育网设计与实现_原文对照报告.docx
- 济南高新区凤凰路学校九年级期末考试选择题专练12.15.docx
- 精品解析:2022-2023学年江苏省南通市海安市苏教版六年级上册期末测试数学试卷(解析版).docx
- 精品解析:2022-2023学年江苏省南通市崇川区学大教育培训学校苏教版六年级上册期中调研数学试卷(解析版).docx
- 地区地热植被可持续管理动态肖鲍报告.pdf
- 共青团第十九次全国代表大会精神系统学习解读ppt资料.pptx
- 2024年1月6日衡水市税务局遴选笔试真题及答案解析.doc
文档评论(0)