《计算机组网实验教程》课件第8章.ppt

第8章访问控制列表配置和使用第8章访问控制列表配置和使用8.1访问控制列表(ACL)概述8.2ACL配置8.3使用命名访问控制列表8.1访问控制列表(ACL)概述8.1.1ACL的基本概念访问控制列表(AccessControlList，ACL)是应用到路由器接口的指令列表，这些指令列表用来告诉路由器哪些数据包可以接收，哪些数据包需要拒绝。至于数据包是被接收还是被拒绝，可以由特定指示条件，如源地址、目的地址和端口号等来决定。ACL的定义是基于每一种协议的(如IP、IPX等)，即如果想控制某一种协议的通信数据流，就必须要对路由器接口的这种协议定义单独的ACL。若将ACL应用于路由器的某个接口的输入(或输出)流量，那么通过该接口的输入(或输出)通信流量都要按照ACL指定的条件接受检测。ACL包括标准访问控制列表(StandardACL)、扩展访问控制列表(ExtendedACL)。(1)标准访问控制列表。当要过滤来自某一网络的所有通信流量，或者允许来自某一特定网络的所有通信流量，或者想要拒绝某一协议簇的所有通信流量时，可以使用标准访问控制列表来实现这一目标。标准访问控制列表检查路由的数据包的源地址，从而允许或拒绝基于网络、子网或主机地址的所有通信流量通过路由器。(2)扩展访问控制列表。扩展访问控制列表既检查数据包的源地址，也检查数据包的目的地址，还可以检查数据包的特定协议类型、端口号等。扩展访问控制列表更具有灵活性和可扩充性，例如：可以对同一地址允许使用某些协议的通信流量通过，而拒绝使用其他协议的通信流量通过。总之，通过灵活地设置访问控制列表，ACL可以作为一种网络控制的有力工具，可以用来：(1)限制网络流量、提高网络性能。如ACL可以根据数据包的协议，指定某种类型的数据包具有更高的优先级，同等情况下可优先被路由器处理。(2)提供对通信流量的控制手段。如ACL可以限定或简化路由选择更新信息的长度，这种限定往往用来限制通过路由器的某一网段的通信流量。(3)提供网络访问的基本安全手段。如ACL允许某一主机访问某网络，而阻止另一主机访问同样的网络。8.1.2ACL的工作原理一个ACL是一组判断语句的集合，它可以应用于路由器的某个接口，从而可以对入站接口的数据包、通过路由器进行中继的数据包或从出站接口送出路由器的数据包进行控制。当一个数据包到达一个接口时，如果该接口应用了某一个访问控制列表，则需要与访问控制列表中的条件判断语句进行匹配。访问控制列表中的条件判断语句按照逻辑次序顺序执行。如果一个数据包的报头跟某个条件判断语句相匹配，该数据包就忽略剩下的条件判断语句，即比较过程结束。如果符合判断条件，数据包要么被允许通过，要么被拒绝通过。如图8.1所示是ACL对数据包的测试过程。图8.1数据包的ACL匹配性检查8.2ACL配置8.2.1ACL配置命令访问控制列表的配置一般分为两个步骤：(1)在全局配置状态下，定义访问控制列表ACL：Router(config)#access-listaccess-list-number{deny|permit}{test-condition}上面的全局描述语句定义了一个访问控制列表并通过标识号来识别。(2)使用access-group命令把该控制访问列表应用到某一接口上：Router(config-if)#{protocol}access-groupaccess-list-numberACL可以被分配到一个或多个接口，根据配置条件实现入站通信流量或出站通信流量的过滤。对于每个接口上的每个协议在每个方向上只能有一个访问控制列表。下面介绍标准ACL、扩展ACL以及命名ACL的具体配置命令：(1)在全局配置命令模式下定义标准访问控制列表的语法格式如下：Router(config)#access-listaccess-list-number{deny|permit}source[source-wildcard][log]其中，access-list-number是访问控制列表的标识号，不同协议标准访问控制列表的标识号范围不同。Cisco路由器中规定IP的标准访问控制列表标识号范围为1～99，AppleTalk标准访问控制列表标识号范围为600～699，IPX的标准访问控制列表标识号范围为800～899。在一个路由器中定义针对某个协议的标准访问控制列表时，可以在指定范围内任意选择一个标识号。针对一个标识号可以定义一系列访问控制策略，即可以