1、Page 1/45,熱備份路由協(xié)議（HSRP）的作用和工作原理 各種HSRP的術(shù)語和參數(shù)的作用 HSRP的配置和排錯,第18章內(nèi)容回顧,訪問控制列表ACL,第19章,Page 3/45,本章目標,理解訪問控制列表的工作原理（訪問控制列表的作用，路由器對訪問控制列表的處理過程） 理解訪問控制列表的反碼 掌握訪問控制列表的種類 掌握標準和擴展訪問控制列表的配置方法 能夠利用訪問控制列表對網(wǎng)絡(luò)進行控制,Page 4/45,本章結(jié)構(gòu),訪問控制列表,訪問控制列表的種類,訪問控制列表的工作原理,訪問控制列表的反碼,訪問控制列表概述,擴展訪問控制列表,標準訪問控制列表,什么是擴展訪問控制列表,擴展訪問控制列

2、表的應(yīng)用與配置,命名訪問控制列表,標準訪問控制列表的應(yīng)用與配置,什么是標準訪問控制列表,Page 5/45,什么是訪問控制列表,訪問控制列表（ACL） 應(yīng)用于路由器接口的指令列表 ，用于指定哪些數(shù)據(jù)包可以接收轉(zhuǎn)發(fā)，哪些數(shù)據(jù)包需要拒絕 ACL的工作原理 讀取第三層及第四層包頭中的信息 根據(jù)預(yù)先定義好的規(guī)則對包進行過濾,Page 6/45,訪問控制列表的作用2-1,提供網(wǎng)絡(luò)訪問的基本安全手段 可用于QoS，控制數(shù)據(jù)流量 控制通信量,Page 7/45,主機A,主機B,人力資源網(wǎng)絡(luò),研發(fā)網(wǎng)絡(luò),使用ACL阻止某指定網(wǎng)絡(luò)訪問另一指定網(wǎng)絡(luò),訪問控制列表的作用2-2,Page 8/45,實現(xiàn)訪問控制列表的核

3、心技術(shù)是包過濾,Internet,公司總部,內(nèi)部網(wǎng)絡(luò),未授權(quán)用戶,辦事處,訪問控制列表,訪問控制列表工作原理2-1,Page 9/45,通過分析IP數(shù)據(jù)包包頭信息，進行判斷（這里IP所承載的上層協(xié)議為TCP）,訪問控制列表工作原理2-2,Page 10/45,匹配 下一步,拒絕,允許,允許,允許,到達訪問控制組接口的數(shù)據(jù)包,匹配 第一步,目的接口,隱含的 拒絕,丟棄,Y,Y,Y,Y,Y,Y,N,N,N,路由器對訪問控制列表的處理過程,匹配 下一步,拒絕,拒絕,拒絕,Page 11/45,訪問控制列表入與出3-1,使用命令ip access-group將ACL應(yīng)用到某一個接口上 在接口的一個方向

4、上，只能應(yīng)用一個access-list,Router(config-if)#ip access-group access-list-number in|out,Page 12/45,進入數(shù)據(jù)包,源地址 匹配嗎？,有更多 條目嗎？,應(yīng)用條件,拒絕,允許,路由到接口,查找路由表,是,是,否,是,否,Icmp消息,轉(zhuǎn)發(fā)數(shù)據(jù)包,接口上有訪問 控制列表嗎？,列表中的 下一個條目,否,訪問控制列表入與出3-2,Page 13/45,外出數(shù)據(jù)包,查找路由表,接口上有訪問 控制列表嗎？,源地址匹配嗎？,拒絕,允許,列表中的 下一個條目,是,是,轉(zhuǎn)發(fā)數(shù)據(jù)包,Icmp消息,否,否,否,有更多條目嗎？,訪問控制列表

5、入與出3-3,應(yīng)用條件,是,Page 14/45,Deny和permit命令,Router(config)#access-list access-list-number permit|deny test conditions,允許數(shù)據(jù)包通過應(yīng)用了訪問控制列表的接口,拒絕數(shù)據(jù)包通過,Page 15/45,第一步，創(chuàng)建訪問控制列表 第二步，應(yīng)用到接口e0的出方向上,Router(config)#access-list 1 deny 3 Router(config)#access-list 1 permit 55 Route

6、r(config)#access-list 1 permit 55,Router(config)#interface fastethernet 0/0 Router（config-if）#ip access-group 1 out,訪問控制列表實例,Page 16/45,使用通配符any和host 2-1,通配符any可代替 55,Router(config)#access-list 1 permit 55,Router(config)#access-list 1 per

7、mit any,Page 17/45,使用通配符any和host 2-2,host表示檢查IP地址的所有位,Router(config)#access-list 1 permit 9 ,Router(config)#access-list 1 permit host 9,Page 18/45,訪問控制列表的種類,基本類型的訪問控制列表 標準訪問控制列表 擴展訪問控制列表 其他種類的訪問控制列表 基于MAC地址的訪問控制列表 基于時間的訪問控制列表,Page 19/45,路由器B,路由器C,路由器D,路由器A,S0,S0,S1,S1,E0

8、,E0,E1,E0,E0,E1,應(yīng)用訪問控制列表,源,目的,Page 20/45,標準訪問控制列表3-1,標準訪問控制列表 根據(jù)數(shù)據(jù)包的源IP地址來允許或拒絕數(shù)據(jù)包 訪問控制列表號從1到99,Page 21/45,標準訪問控制列表3-2,標準訪問控制列表只使用源地址進行過濾，表明是允許還是拒絕,路由器,Page 22/45,如果在訪問控制列表中有的話,應(yīng)用條件,拒絕,允許,更多條目？,列表中的下一個條目,否,有訪問控制列表嗎？,源地址,不匹配,是,匹配,是,否,Icmp消息,轉(zhuǎn)發(fā)數(shù)據(jù)包,標準訪問控制列表3-3,Page 23/45,標準訪問控制列表的配置,第一步，使用access-list命令

9、創(chuàng)建訪問控制列表,第二步，使用ip access-group命令把訪問控制列表應(yīng)用到某接口,Router(config)#access-list access-list-number permit | deny source source- wildcard log,Router(config-if)#ip access-group access-list-number in | out ,Page 24/45,標準ACL應(yīng)用1：允許特定源的流量2-1,Page 25/45,標準ACL應(yīng)用：允許特定源的流量2-2,第一步，創(chuàng)建允許來自的流量的ACL 第二步，應(yīng)用到接口E0和

10、E1的出方向上,Router(config)#access-list 1 permit 55,Router(config)#interface fastethernet 0/0 Router(config-if)#ip access-group 1 out Router(config)#interface fastethernet 0/1 Router(config-if)#ip access-group 1 out,Page 26/45,標準ACL應(yīng)用：拒絕特定主機的通信流量,第一步，創(chuàng)建拒絕來自3的流量的ACL 第二步，應(yīng)用到接口

11、E0的出方向,Router(config)#access-list 1 deny host 3 Router(config)#access-list 1 permit 55,Router(config)#interface fastethernet 0/0 Router(config-if)#ip access-group 1 out,any,Page 27/45,標準ACL應(yīng)用：拒絕特定子網(wǎng)的流量,第一步，創(chuàng)建拒絕來自子網(wǎng)的流量的ACL 第二步，應(yīng)用到接口E0的出方向,Router(config)#access

12、-list 1 deny 55 Router(config)#accesslist 1 permit any,Router(config)#interface fastethernet 0/0 Router（config-if）#ip access-group 1 out, 55,Page 28/45,擴展訪問控制列表4-1,擴展訪問控制列表 基于源和目的地址、傳輸層協(xié)議和應(yīng)用端口號進行過濾 每個條件都必須匹配，才會施加允許或拒絕條件 使用擴展ACL可以實現(xiàn)更加精確的流量控制 訪問控制列表號從100到199,Page

13、29/45,擴展訪問控制列表4-2,擴展訪問控制列表使用更多的信息描述數(shù)據(jù)包，表明是允許還是拒絕,路由器,Page 30/45,有訪問控制列表嗎？,源地址,目的地址,協(xié)議,協(xié)議任選項,應(yīng)用條件,拒絕,允許,更多條目？,列表中的下一個條目,不匹配,否,是,匹配,匹配,匹配,匹配,是,否,Icmp消息,轉(zhuǎn)發(fā)數(shù)據(jù)包,如果在訪問控制列表中有的話,擴展訪問控制列表4-3,不匹配,不匹配,不匹配,Page 31/45,擴展訪問控制列表4-4,Page 32/45,擴展訪問控制列表的配置3-1,第一步，使用access-list命令創(chuàng)建擴展訪問控制列表,Router(config)#access-list

14、access-list-number permit | deny protocol source source-wildcard destination destination-wildcard operator port established log,Page 33/45,擴展訪問控制列表操作符的含義,擴展訪問控制列表的配置3-2,Page 34/45,擴展訪問控制列表的配置3-3,第二步，使用ip access-group命令將擴展訪問控制列表應(yīng)用到某接口,Router（config-if）#ip access-group access-list-number in | out ,Pag

15、e 35/45,擴展ACL應(yīng)用1：拒絕ftp流量通過E0,第一步，創(chuàng)建拒絕來自、去往、ftp流量的ACL 第二步，應(yīng)用到接口E0的出方向,Router(config)#access-list 101 deny tcp 55 55 eq 21 Router(config)#access-list 101 permit ip any any,Router(config)#interface fastthernet 0/0 Router（config-if）#ip access-group

16、 101 out,Page 36/45,擴展ACL應(yīng)用2： 拒絕telnet流量通過E0,第一步，創(chuàng)建拒絕來自、去往、telnet流量的ACL 第二步，應(yīng)用到接口E0的出方向上,Router(config)#access-list 101 deny tcp 55 55 eq 23 Router(config)#access-list 101 permit ip any any,Router(config)#interface fastethernet 0/0 Router（confi

17、g-if）#ip access-group 101 out,Page 37/45,命名的訪問控制列表2-1,標準ACL和擴展ACL中可以使用一個字母數(shù)字組合的字符串（名字）代替來表示ACL的表號 命名IP訪問列表允許從指定的訪問列表刪除單個條目 如果添加一個條目到列表中，那么該條目被添加到列表末尾 不能以同一個名字命名多個ACL 在命名的訪問控制列表下 ，permit和deny命令的語法格式與前述有所不同,Page 38/45,命名的訪問控制列表2-2,第一步，創(chuàng)建名為cisco的命名訪問控制列表 第二步，指定一個或多個permit及deny條件 第三步，應(yīng)用到接口E0的出方向,Router（

18、config）#interface fastethernet 0/0 Router（config-if）#ip access-group cisco out,Router(config)#ip access-list extended cisco,Router（config-ext-nacl）# deny tcp 55 55 eq 23 Router（config-ext-nacl）# permit ip any any,Page 39/45,查看訪問控制列表2-1,Router#show ip interface fas

19、tethernet 0/0 FastEthernet0/0 is up, line protocol is up Internet address is /24 Broadcast address is 55 Address determined by setup command MTU is 1500 bytes Helper address is not set Directed broadcast forwarding is disabled Outgoing access list is cisco Inbound access list

20、is not set Proxy ARP is enabled Local Proxy ARP is disabled Security level is default Split horizon is enabled ICMP redirects are always sent ICMP unreachables are always sent ICMP mask replies are never sent IP fast switching is enabled IP fast switching on the same interface is disabled ,Page 40/4

21、5,查看訪問控制列表2-2,Router#show access-list Extended IP access list cisco 10 deny tcp 55 55 eq telnet 20 permit ip any any,Page 41/45,本章總結(jié),訪問控制列表,訪問控制列表的種類,訪問控制列表的工作原理,訪問控制列表的反碼,訪問控制列表概述,擴展訪問控制列表,標準訪問控制列表,什么是擴展訪問控制列表,擴展訪問控制列表的應(yīng)用與配置,命名訪問控制列表,標準訪問控制列表的應(yīng)用與配置,什么是標準訪問控制列表,訪問

22、控制列表（ACL）是應(yīng)用在路由器接口的指令列表（規(guī)則）,ACL的工作原理：根據(jù)預(yù)先定義好的規(guī)則對包進行過濾，從而達到訪問控制的目的,ACL的處理過程：若第一條不匹配，則依次往下進行判斷，直到有任一條語句匹配,ACL使用反碼來標志一個或幾個地址是被允許還是被拒絕,標準訪問控制列表：檢查被路由的數(shù)據(jù)包的源地址。其結(jié)果基于源網(wǎng)絡(luò)/子網(wǎng)/主機IP地址來決定是允許還是拒絕轉(zhuǎn)發(fā)數(shù)據(jù)包。它使用1到99之間的數(shù)字作為表號,對數(shù)據(jù)包的原地址與目標地址均進行檢查。它也能檢查特定的協(xié)議、端口號以及其它參數(shù)。它使用100到199之間的數(shù)字作為表號,應(yīng)用訪問控制列表首先使用access-list命令創(chuàng)建訪問控制列表，再用ip access-group命令把該訪問控制列表應(yīng)用到某一接口,可以使用一個字母數(shù)字組合的字符串（名字）代替前面所使用的數(shù)字（1199）來表示ACL的表號,Page 42/45,實驗,實驗背景 隨著BENET公司網(wǎng)絡(luò)建設(shè)的開展，對網(wǎng)絡(luò)的安全性也要求越來越高，需要在路由器上應(yīng)