第六章 訪問控制列表（ACL）——

理論部分課程回顧內(nèi)容回顧MST與PVST+的區(qū)別？

HSRP的工作原理？HSRP中占先權(quán)與端口跟蹤的含義？2技能展示理解ACL的基本原理會配置標準ACL會配置擴展ACL會配置ACL對網(wǎng)絡(luò)進行控制3本章結(jié)構(gòu)訪問控制列表的配置標準訪問控制列表的配置擴展訪問控制列表的配置訪問控制列表訪問控制列表的工作原理訪問控制列表概述訪問控制列表的類型命名訪問控制列表配置定時訪問控制列表的配置訪問控制列表的應(yīng)用4訪問控制列表概述訪問控制列表（ACL）讀取第三層、第四層包頭信息根據(jù)預先定義好的規(guī)則對包進行過濾IP報頭TCP報頭數(shù)據(jù)源地址目的地址源端口目的端口訪問控制列表利用這4個元素定義的規(guī)則5訪問控制列表的工作原理訪問控制列表在接口應(yīng)用的方向訪問控制列表的處理過程拒絕拒絕允許允許允許允許允許允許到達訪問控制組接口的數(shù)據(jù)包目的接口隱含的拒絕丟棄YYYYYY匹配第一條NN匹配下一條拒絕拒絕拒絕拒絕拒絕拒絕N匹配下一條6訪問控制列表類型標準訪問控制列表擴展訪問控制列表命名訪問控制列表定時訪問控制列表7標準訪問控制列表配置3-1創(chuàng)建ACLRouter(config)#access-list

access-list-number{

permit

|

deny

}

source

[

source-wildcard

]Router(config)#

no

access-list

access-list-number允許數(shù)據(jù)包通過應(yīng)用了訪問控制列表的接口刪除ACL拒絕數(shù)據(jù)包通過8標準訪問控制列表配置3-2應(yīng)用實例Router(config)#

access-list

1

permit

55Router(config)#

access-list

1

permit

允許/24和主機的流量通過隱含的拒絕語句Router(config)#

access-list

1

deny

55關(guān)鍵字hostany9標準訪問控制列表配置3-3將ACL應(yīng)用于接口Router(config-if)#

ip

access-group

access-list-number

{in

|out}在接口上取消ACL的應(yīng)用Router(config-if)#

no

ipaccess-group

access-list-number

{in

|out}10標準訪問控制列表配置實例應(yīng)用在入方向還是出方向應(yīng)用在哪臺路由器/24./24PC1需求描述禁止主機PC1與主機PC2互訪，允許所有其他的流量F0/0

F0/0

F0/0R1

R2

R3PC2/24R在3#(cs哪ohnof個iwg)a#接cacce口csess-應(yīng)sli-slti用s

1標de準ny

AhoCst

LSRt3a(ncdoanrfdigI)P#

access-list

1

permit

anyR31(c0odnefnigy)#

1in9t2f.106/08.1.1R32(c0opnefrigm-itf)a#niyp

access-group

1

in教員演示操作過程11擴展訪問控制列表配置2-1創(chuàng)建ACLRouter(config)#

access-list

access-list-number{

permit

|

deny}

protocol

{

sourcesource-wildcarddestination

destination-wildcard

}

[

operator

operan

]刪除ACLRouter(config)#

no

access-listaccess-list-number將ACL應(yīng)用于接口Router(config-if)#

ip

access-group

access-list-number

{in

|out}在接口上取消ACL的應(yīng)用Router(config-if)#

no

ip

access-group

access-list-number

{in|out}12擴展訪問控制列表配置2-2應(yīng)用實例1Router(config)#

access-list

101

permit

ip

55

55Router(config)#

access-list

101

deny

ip

any

any應(yīng)用實例2Router(config)#

access-list

101

deny

tcp

55host

eq

21Router(config)#

access-list

101

permit

ip

any

any應(yīng)用實例3Router(config)#access-list

101

deny

icmp

55

host

echoRouter(config)#

access-list

101

permit

ip

any

any13擴展訪問控制列表配置實例需求描述允許PC1訪問Web服務(wù)器的WWW服務(wù)禁止PC1訪問Web服務(wù)器的其它服務(wù)允許主機PC1訪問網(wǎng)絡(luò)/24/24/24R1PC1F0/0F0/0F0/0R2R3/24Web教員演示操作過程14命名訪問控制列表配置5-1創(chuàng)建ACL標準命名ACLRouter(config)#

ip

access-list {

standard

|extended

}access-list-name擴展命名ACL配置標準命名ACLRouter(config-std-nacl)#

[

Sequence-Number

] {

permit

|

deny}source

[

source-wildcard

]配置擴展命名ACLRouter(config-ext-nacl)#

[

Sequence-Number

] {

permit

|

deny

}protocol

{

source

source-wildcard

destination

destination-wildcard

} [

operator

operan

]Sequence-Number決定ACL語句在ACL列表中的位置15命名訪問控制列表配置5-2查看ACL配置信息R標準命名ACL應(yīng)用實例o更ute改r(AcoCnLf,ig又)#允ip許ac來ce自ss主-lis機t

s1t9a2n.d1a6rd8.c2is.c1o/24的流量通過Router(config-)s#tidp-naacccle)#ssp-elirsmt

sittahnodsat

r1d92c.i1s6c8o.1.1

Router(config-std-nacl)#1d5enpyeramnyit

host

允許來自主機/24的流量通過RRoouutteerr##sshhoowwaacccceessss--lilsisttss

SSttaannddaarrddIPIPaacccceesssslilsisttccisisccoo1100ppeerrmmitit119922.1.16688.1.1.1.1

1250pdeernmyit

1a9n2y.168.2.120

deny

any添加序列號為15的ACL語句ACL語句添加到了指定的ACL列表位置教員演示操作過程16命名訪問控制列表配置5-3擴展命名ACL應(yīng)用實例Router(config)#

ip

access-list

extendedciscoRouter(config-ext-nacl)#

denytcp

55

host

eq21Router(config-ext-nacl)#permit

ip

any

any17命名訪問控制列表配置5-4刪除組中單一ACL語句刪創(chuàng)除建整AC組LACLRouter(config)#

nipoaicpcaecscse-lsist-lsisttan{

dsatarnddcaisrdco|

extended

}Roauctceer(scso-nlifsitg--nsatmd-enacl)#

permit

host

Router(config-std-nacl)#endRouter#showaccess-listsStannodaSredqIPuaecnccees-sNliustmcbisecro1n0opAerCmLit語19句刪除組中單一ACL語句18Router(config-std-nacl)#

no

10或Router(config-std-nacl)#no

permit

host

命名訪問控制列表配置5-5將ACL應(yīng)用于接口Router(config-if)#

ip

access-group

access-list-name

{in

|out}在接口上取消ACL的應(yīng)用Router(config-if)#

no

ipaccess-group

access-list-name

{in

|out}19命名訪問控制列表配置實例公司添加服務(wù)器，要求如下～可以訪問服務(wù)器/24中除上述地址外都不能訪問服務(wù)器其他公司網(wǎng)段都可以訪問服務(wù)器公司人員調(diào)整，更改服務(wù)器訪問權(quán)限不允許和主機訪問服務(wù)器允許0主機訪問服務(wù)器教員演示操作過程20定義時間范圍指定該時間范圍何時生效to

[days-of-the-week]

hh:mm參定數(shù)義d時a間ys范-o圍f-t的he名-w稱eek的取值Router(config)#

time-rangetime-range-name取值 說明21Monday

星期一定義一個Tu時es間da周y

期星期二Router(cWonefidgn-teimsde-aryange)#periodic星d期ay三s-of-the-week

hh:mmThursday

星期四定義一個F絕rid對ay時間星期五Router(conSfaigtu-trimdaey-range)#

absolut星e

[期sta六rt

hh:mm

daymonthyear]

[enSduhnhd:amym

day

monthyea星r]期日daily

每天weekdays

在平日

(指星期一至星期五)weekend

周末（指星期六和星期日）定時訪問控制列表配置2-1擴展ACL中引入時間范圍Router(config)#

access-list

access-list-number

{

permit

|

deny}

protocol

{

source

source-wildcard

destinationdestination-wildcard

}

[

operator

operan

]

time-rangetime-range-name將ACL應(yīng)用于接口Router(config-if)#

ip

access-group

access-list-number

{

in

|out

}22定時訪問控制列表配置2-2應(yīng)用實例1Router(config)#

time-range

mytimeRouter(config-time-range)#

periodic

weekdays

8:30

to

17:30Router(config-time-range)#

exitRouter(config)#

access-list

101

permit

ip

any

any

time-range

mytimeRouter(config)#

int

f0/0Router(config-if)#

ip

access-group

101

in應(yīng)用實例2Router(config)#

time-range

mytimeRouter(config-time-range)#

absolute

start

8:00

10

may

2009

end

18:0020

may

2009Router(config-time-range)#

exitRouter(config)#

access-list

101

permit

ip

any

any

time-range

mytimeRouter(config)#

int

f0/0Router(config-if)#

ip

access-group

101

in23小結(jié)請思考ACL的作用是什么？ACL通過哪幾個參數(shù)過濾數(shù)據(jù)包？

ACL分為幾種？24訪問控制列表的應(yīng)用2-1網(wǎng)絡(luò)管理員可以訪問所有服務(wù)器網(wǎng)絡(luò)設(shè)備只允許網(wǎng)管區(qū)IP地址可以通過TELNET登錄只有網(wǎng)管能使用遠程桌面、TELNET、SSH等管理服務(wù)器服務(wù)器區(qū)財務(wù)部生產(chǎn)部網(wǎng)管區(qū)核心層所有部門之間不能互通，但可以和網(wǎng)管互通公司信息安全員可以訪問服務(wù)器，不能訪問Internet接入外層網(wǎng)只能訪問特定服務(wù)器的特定…服…務(wù)限制員工上網(wǎng)時間為工作日的8:00～18:00接入路由器Internet公司網(wǎng)安絡(luò)全拓方撲面圖考慮要求限定不同的部門能訪問的服務(wù)器25