表格模板-网络管理课件第7章 访问列表 精品.ppt

《表格模板-网络管理课件第7章 访问列表 精品.ppt》由会员分享，可在线阅读，更多相关《表格模板-网络管理课件第7章 访问列表 精品.ppt（69页珍藏版）》请在第一文库网上搜索。

1、访问列表概述 访问列表由一系列语句组成，这些语句主要包括匹配条件和采取的动作（允许或禁止）两个部分 访问列表应用在路由器的接口上，通过匹配数据包信息与访问列表参数来决定允许还是拒绝数据包通过某个接口。 数据包是通过还是拒绝，主要通过数据包中的源地址、目的地址、源端口、目的端口、协议等信息来决定。 访问列表的功能 控制网络流量，提高网络性能 控制用户网络行为 控制网络病毒的传播 访问列表类型 访问列表可分为标准IP访问列表和扩展IP访问列表。 标准访问列表：其只检查数据包的源地址，从而允许或拒绝基于网络、子网或主机的IP地址的所有通信流量通过路由器的出口。 扩展IP访问列表：它不仅检查数据包的源

2、地址，还要检查数据包的目的地址、特定协议类型、源端口号、目的端口号等ACL的相关特性 每一个接口可以在进入（inbound）和离开（outbound）两个方向上分别应用一个ACL，且每个方向上只能应用一个ACL。 ACL语句包括两个动作：拒绝（deny）和允许(permit) 数据包进入路由器时，进入方向（In方向）的ACL起作用。 数据包离开路由器时，出方向（Out方向）的ACL起作用 每个ACL列表结尾有一个隐含的“拒绝的所有数据包(deny any)”的语句 ACL转发的过程IP地址与通配符掩码的作用规 32位的IP地址与32位的通配符掩码逐位进行比较，通配符掩码为0的位要求IP地址的对

3、应位必须匹配，通配符掩码为1的位所对应的IP地址位不必匹配 例： IP地址为 192.168.1.0，通配符掩码为0.0.0.255对应的二进制为： 11000000 10101000 00000001 00000000 00000000 00000000 00000000 11111111 检查的地址范围为：192.168.1.0192.168.1.255通配符掩码示例 通配符掩码掩码的两种特殊形式 host表示一台主机，是通配符掩码0.0.0.0的简写形式 192.168.1.10 0.0.0.0等价于host 192.168.1.10 any表示所有主机，是通配符掩码掩码255.255.

4、255.255的简写形式 192.168.1.10 255.255.255.255等价于any 访问列表配置步骤 第一步是配置访问列表语句 第二步是把配置好的访问列表应用到某个端口上标准IP访问列表的配置命令 配置标准访问列表 access-list access-list-number deny|permit source-address source-wildcard logvaccess-list-number：只能是199之间的一个数字vdeny|permit：deny表示匹配的数据包将被过滤掉；permit表示允许匹配的数据包通过v source-address：表示单台或一个网段内

5、的主机的IP地址vsource-wildcard：通配符掩码vLog：访问列表日志，如果该关键字用于访问列表中，则对匹配访问列表中条件的报文作日志标准IP访问列表的配置命令续 应用访问列表到接口 ip access-group access-list-number in|out In：检查进入路由器的报文 Out：检查离开路由器的报文 显示所有协议的访问列表配置细节 show access-list access-list-number 显示IP访问列表 show ip access-list access-list-number标准IP访问列表的配置举例 主机192.168.1.1不能访问主

6、机192.168.2.1，但可访问其他主机，对其他主机间的访问不做任何限制 标准IP访问列表的配置举例配置router# configure terminalrouter(config)# access-list 1 deny host 192.168.1.1router(config)# access-list 1 permit anyrouter(config)# interface Ethernet 1router(config)# ip access-group 1 out 扩展IP访问列表的配置命令 配置扩展访问列表 access-list access-list-number pe

7、rmit|deny protocol source-address source-wildcard source-port destinaiton address destination-wildcard destination-port log options access-list-numberL：编号范围为100199。 Permit：通过；deny：禁止通过 Protocol：需要被过滤的协议的类型，如IP、TCP、UDP、ICMP、EIGRP,GRE等。 source-address ：源IP地址 source-wildcard：源通配符掩码扩展IP访问列表的配置命令续 source

8、-port：可以是单一的某个端口，也可以是一个端口范围扩展IP访问列表的配置命令续 destination-address：目的IP地址 destination-wildcard：目的地址通配符掩码 destination-port：目的端口号，指定方法与源端口号的指定方法相同扩展IP访问列表配置举例 要求允许LAN3的所有主机能登录Internet，但只能浏览WWW、FTP、SMTP、POP3协议的通信。LAN2中的主机192.168.2.1向Internet提供WWW服务，主机192.168.2.2向Internet提供FTP服务，主机192.168.2.3向Internet提供SMTP服

9、务，其余主机不能被Internet访问。LAN1中的主机不能访问Internet，但可以访问LAN2和LAN3扩展IP访问列表配置举例配置router# configure terminal!允许网段LAN3的主机访问Internet的WWW，FTP，SMTP和POP3服务router(config)#access-list 101 permit tcp 192.168.3.0 0.0.0.255 any eq wwwrouter(config)#access-list 101 permit tcp 192.168.3.0 0.0.0.255 any eq ftprouter(config)#

10、access-list 101 permit tcp 192.168.3.0 0.0.0.255 any eq smtprouter(config)#access-list 101 permit tcp 192.168.3.0 0.0.0.255 any eq pop3!禁止LAN1的主机访问internetrouter(config)#access-list 101 deny ip 192.168.1.0 0.0.0.255 any 扩展IP访问列表配置举例配置续!应用访问列表101router(config)# interface serial 1router(config-if)# ip

11、 access-group 101 out!允许其他网段的主机访问LAN2的WWW，FTP，SMTP服务，拒绝其他请求router(config)#access-list 102 permit tcp any host 192.168.2.1 eq wwwrouter(config)#access-list 102 permit tcp any host 192.168.2.2 eq ftprouter(config)#access-list 102 permit tcp any host 192.168.2.3 eq smtprouter(config)#access-list 102 de

12、ny ip any any! 应用访问列表102router(config-if)#interface ethernet 0router(config-if)#ip access-group 102 out访问列表配置注意事项 注意访问列表中语句的次序，尽量把作用范围小的语句放在前面 新的表项只能被添加到访问表的末尾，即不允许将新的语句插入到原有的访问列表中 标准的IP访问列表只匹配源地址，如果要检查更多的条件，则使用扩展的IP访问列表 标准的访问列表尽量靠近目的 在应用访问列表时，要特别注意应用的方向 命名IP访问列表 命名IP访问列表通过一个名称而不是一个编号来引用的。 命名的访问列表可用

13、于标准的和扩展的访问表中。 名称的使用是区分大小写的，并且必须以字母开头。在名称的中间可以包含任何字母数字混合使用的字符，也可以在其中包含，、，、_、-、+、/、.、&、$、#、!以及?等特殊字符 名称的最大长度为1 0 0个字符编号IP访问列表和命名IP访问列表的区别 名字能更直观地反映出访问列表完成的功能 命名访问列表突破了99个标准访问列表和100个扩展访问列表的数量限制，能够定义更多的访问列表。 命名IP访问列表允许删除个别语句，而编号访问列表只能删除整个访问列表 单个路由器上命名访问列表的名称必须是唯一的，而不同路由器上的命名访问列表名称可以相同 编号与命名访问列表命令比较 命名访问

14、列表配置举例一 通过配置命名访问列表来实现以下要求：主机192.168.1.1不能访问主机192.168.2.1，但可访问其他主机，对其他主机间的访问不做任何限制 命名访问列表配置举例一配置router# configure terminalrouter(config)#ip access-list standard denyhost1router(config-std-nacl)#deny host 192.168.1.1router(config-std-nacl)# permit anyrouter(config-std-nacl)#exit!应用访问列表denyhost1router(

15、config)# interface Ethernet 0 router(config)# ip access-group denyhost1 out命名访问列表配置举例二 LAN3的所有主机只能访问Internet中的WWW、FTP、SMTP、POP3服务。LAN2中的主机192.168.2.1只提供WWW服务，主机192.168.2.2 只提供FTP服务，主机192.168.2.3只提供SMTP服务。LAN1中的主机不能访问Internet，但可以访问LAN2和LAN3 命名访问列表配置举例二配置router# configure terminal!允许网段LAN3的主机访问Interne

16、t的WWW，FTP，SMTP和POP3服务router(config)ip access-list extended acl_lan1_lan3Router(config-ext-nacl)# permit tcp 192.168.3.0 0.0.0.255 any eq wwwRouter(config-ext-nacl)# permit tcp 192.168.3.0 0.0.0.255 any eq ftpRouter(config-ext-nacl)# permit tcp 192.168.3.0 0.0.0.255 any eq smtpRouter(config-ext-nacl)# permit tcp 192.168.3.0 0.0.0.255 any eq pop3!禁止LAN1的主机访问internetRouter(config-ext-nacl)# deny ip 192.168.1.0 0.0.0.255 anyRouter(config-ext-nacl)# exit!应用访问列表 acl_lan1_lan3router(config)# interface