第9章访问控制列表.pptx

算机网络工程 信电工程学院 鲍蓉 计 9.1 访问控制列表（ACL） 概述 9.2 定义访问控制列表 9.3 声明访问控制列表 9.4 基于时间的访问控制列表 9.5 实验项目分析 第9章 访问控制列表 ■9. 1 访问控制列表（ACL） 概述 什么是访问控制列表（ IP ACL） 应用在路由器或三层交换机接口的指令列表 ， 通过定义一些准则对 通过网络设备的所有数据包进行过滤 ， 禁止或允许数据通过。 - √ 可以是路由器或三 层交换机或防火墙 网络安全性 为什么使用访问控制列表 路由器 RG-NBR1000 核心交换机 RG-S3512G /RG-S4009 隔离外网病毒 接入层交换机 RG-S2126 财务部 VLAN10 技术部 VLAN20 交换机堆叠 服务器群 定义访问列表的步骤 第一步 ， 定义规则 允许（ permit） 哪些数据通过 ; 拒绝 （deny ）哪些数据通过 第二步 ， 将规则应用在路由器（或交换机） 的接口上 访问列表的分类 1 . 标准访问控制列表（ standard IP ACL） ➢根据数据包源IP地址进行规则定义 2 . 扩展访问控制列表（extended IP ACL） 根据数据包中源IP 、 目的IP 、源端口 、 目的端口、 协议进行规则定义 访问控制列表规则元素 源IP 、 目的IP 、源端口 、 目的端口 、 协议 访问控制列表规则的应用 路由器应用访问列表对流经接口的数据包进行控制 ➢入栈应用（ in ） ➢ 经某接口进入设备内部的数据包进行安全规则过滤 ➢出栈应用（ out） ➢ 从设备某接口向外发送数据时进行安全规则过滤 F1/0 F1/1 OUT IN 查找路由表 进行选路转发 访问列表的入栈应用 以ICMP信息通知源发送方 是否允许 ? N N Y Y 选择出口 S0 N Y N 访问列表的出栈应用 Y 以ICMP信息通知源发送方 查看访问列表 的陈述 是否允许 ? S0 S0 Y IP ACL的基本准则 ■ 一切未被允许的就是禁止的 · 定义访问控制列表规则时 ， 最终的缺省规则是拒绝所有数 据包通过 ■ 按规则链来进行匹配 · 使用源地址 、 目的地址 、源端口 、 目的端口 、协议 、 时间 段进行匹配 ■ 规则匹配原则 · 从头到尾 ， 至顶向下的匹配方式 · 匹配成功马上停止 · 立刻使用该规则的“ 允许/拒绝…… ” Y Y Y Y Y Y N 是否匹配 最后 一个 条件 ? 允许 一个访问列表 多条过滤规则 ACL执行过程 - 拒绝 - 拒绝 拒绝 N ■9.2 定义访问控制列表 一 、 IP标准访问列表 ➢根据数据包源IP地址进行规则定义 数据 IP ➢ 定义标准编号访问列表 Router (config)# access-list <1-99> {permit|deny} 源地址 [反掩码] 反掩码（通配符掩码）： 32位 ， 二进制位0表示数据包中相应 的地址位必须与访问列表规定的地址相匹配； 二进制位1则表 示无需匹配。 ➢ 通配符掩码为55时 ， 表示不需要匹配地址 ， 表 示对任何IP地址都执行规则操作。 ➢ [地址＋反掩码]可用关键字any替代。 ➢ 若通配符掩码为 ， 表示IP地址的32位都要匹配 ， 这样 只表示一个IP地址 ， 可以用host表示。 R1(config)# access-list 1 deny 192. 168. 1.2 R1(config)# access-list 1 permit 55 或： R1(config)# access-list 1 deny host 192. 168. 1.2 R1(config)# access-list 1 permit any 示例： 配置一个标准访问列表 ， 拒绝来自特定主机192. 168. 1.2的 数据包 ， 允许其他所有的流量。 二 、 IP扩展访问列表 根据数据包中源IP 、 目的IP 、源端口 、 目的端口 、协 议进行规则定义 数据 IP ·定义扩展编号访问列表 ·Router (config)# access-list <100- 199> { permit /d y } 协议 源地址 反掩码 [源端口] 目的地址 反掩码 [ 目的 端口 ] ·比较以下两条语句有何不同： ·access-list 101 deny tcp host 192. 168.3. 100 eq 80 any ·acces