網(wǎng)絡(luò)互聯(lián)技術(shù)-第07章訪問控制列表ppt課件

1、 【教學(xué)目的】：通過本章的學(xué)習(xí)，讓學(xué)生知道訪問控制列表的功能和實(shí)現(xiàn)機(jī)制、訪問控制列表的分類、命名訪問控制列表的配置和應(yīng)用、基于時(shí)間的訪問控制列表的使用；掌握訪問控制列表的定義和應(yīng)用、標(biāo)準(zhǔn)訪問控制列表的配置、擴(kuò)展訪問控制列表的配置、訪問控制列表的工作過程。能為簡單的網(wǎng)絡(luò)根據(jù)用戶的要求設(shè)置訪問控制列表來實(shí)現(xiàn)公司網(wǎng)絡(luò)的內(nèi)部管理、流量控制和安全控制。 【重點(diǎn)難點(diǎn)】 重點(diǎn)：標(biāo)準(zhǔn)訪問控制列表的配置和應(yīng)用；擴(kuò)展訪問控制列表的配置和應(yīng)用。 難點(diǎn)：基于時(shí)間的訪問控制列表的理解和配置第七章：訪問控制列表第七章：訪問控制列表 【教學(xué)內(nèi)容】 訪問控制列表定義 訪問控制列表功能 訪問控制列表實(shí)現(xiàn)機(jī)制 訪問控制列表的工作

2、過程分析 訪問控制列表的分類 標(biāo)準(zhǔn)訪問控制列表的配置和應(yīng)用 擴(kuò)展訪問控制列表的配置和應(yīng)用 命名訪問控制列表的配置和應(yīng)用 基于時(shí)間的訪問控制列瑤的配置和應(yīng)用第七章：訪問控制列表第七章：訪問控制列表【教學(xué)方法】教學(xué)方式：多媒體教學(xué)教學(xué)方法：案例分析+視頻教學(xué)通過對比分析讓學(xué)生徹底掌握標(biāo)準(zhǔn)訪問控制列表和擴(kuò)展訪問控制列表的區(qū)別。利用視頻教學(xué)資料，使學(xué)生在任何時(shí)間和地點(diǎn)能重溫教學(xué)內(nèi)容，盡一步掌握標(biāo)準(zhǔn)擴(kuò)展訪問控制列表的配置和實(shí)際應(yīng)用。通過上機(jī)實(shí)驗(yàn)讓學(xué)生在boson模擬器的支持下完成標(biāo)準(zhǔn)訪問控制列表和擴(kuò)展訪問控制列表的配置和應(yīng)用。第七章：訪問控制列表第七章：訪問控制列表 第一部分：訪問控制列表概述第一部分：

3、訪問控制列表概述一、數(shù)據(jù)包過濾技術(shù)一、數(shù)據(jù)包過濾技術(shù) 數(shù)據(jù)包過濾是指路由器對需要轉(zhuǎn)發(fā)的數(shù)據(jù)包，數(shù)據(jù)包過濾是指路由器對需要轉(zhuǎn)發(fā)的數(shù)據(jù)包，先獲取報(bào)頭信息，然后將其和設(shè)定的規(guī)則進(jìn)行比先獲取報(bào)頭信息，然后將其和設(shè)定的規(guī)則進(jìn)行比較，根據(jù)比較的結(jié)果對數(shù)據(jù)包進(jìn)行轉(zhuǎn)發(fā)或丟棄。較，根據(jù)比較的結(jié)果對數(shù)據(jù)包進(jìn)行轉(zhuǎn)發(fā)或丟棄。實(shí)現(xiàn)包過濾的核心技術(shù)是訪問控制列表實(shí)現(xiàn)包過濾的核心技術(shù)是訪問控制列表(Access (Access Control List,Control List,簡稱簡稱ACL)ACL)。 第一部分：訪問控制列表概述第一部分：訪問控制列表概述二、訪問控制列表的定義二、訪問控制列表的定義 訪問控制列表訪問控制

4、列表Access Control ListAccess Control List，ACLACL是是用于控制和過濾通過路由器的不同接口去往不同方向用于控制和過濾通過路由器的不同接口去往不同方向的信息流的一種機(jī)制，這種機(jī)制允許用戶使用訪問控的信息流的一種機(jī)制，這種機(jī)制允許用戶使用訪問控制列表來管理信息流，以制作公司內(nèi)部網(wǎng)絡(luò)的相關(guān)策制列表來管理信息流，以制作公司內(nèi)部網(wǎng)絡(luò)的相關(guān)策略。略。 ACL ACL根據(jù)指定的條件來檢測通過路由器的每個(gè)數(shù)根據(jù)指定的條件來檢測通過路由器的每個(gè)數(shù)據(jù)包，從而決定是轉(zhuǎn)發(fā)還是丟棄該數(shù)據(jù)包。據(jù)包，從而決定是轉(zhuǎn)發(fā)還是丟棄該數(shù)據(jù)包。ACLACL中的中的條件，既可以是數(shù)據(jù)包的源地址，

5、也可以是目的地址，條件，既可以是數(shù)據(jù)包的源地址，也可以是目的地址，還可以是上層協(xié)議或其他因素。還可以是上層協(xié)議或其他因素。 通過靈活地增加訪問控制列表通過靈活地增加訪問控制列表, ,可以把可以把ACLACL當(dāng)作一當(dāng)作一種網(wǎng)絡(luò)控制的有利工具種網(wǎng)絡(luò)控制的有利工具, ,用來過濾流入、流出路由器用來過濾流入、流出路由器接口的數(shù)據(jù)包。接口的數(shù)據(jù)包。 第一部分：訪問控制列表概述第一部分：訪問控制列表概述三、訪問控制列表的實(shí)現(xiàn)機(jī)制三、訪問控制列表的實(shí)現(xiàn)機(jī)制 （1 1首先根據(jù)用戶需求定義一組用于控制和首先根據(jù)用戶需求定義一組用于控制和過濾數(shù)據(jù)包的訪問控制列表。過濾數(shù)據(jù)包的訪問控制列表。 （2 2然后再將其應(yīng)用

6、在路由器的不同接口的然后再將其應(yīng)用在路由器的不同接口的不同方向上。不同方向上。 （3 3如果指定接口該接口已應(yīng)用指定的訪如果指定接口該接口已應(yīng)用指定的訪問控制列表指定方向該方向上已應(yīng)用指定的問控制列表指定方向該方向上已應(yīng)用指定的訪問控制列表上有數(shù)據(jù)包通過時(shí)，路由器將根訪問控制列表上有數(shù)據(jù)包通過時(shí)，路由器將根據(jù)設(shè)定的訪問控制列表的規(guī)則逐條進(jìn)行匹配，據(jù)設(shè)定的訪問控制列表的規(guī)則逐條進(jìn)行匹配，如果規(guī)則中上一條語句匹配，則下面所有的語句如果規(guī)則中上一條語句匹配，則下面所有的語句將被忽略對數(shù)據(jù)包進(jìn)行過濾，從而確定哪些數(shù)將被忽略對數(shù)據(jù)包進(jìn)行過濾，從而確定哪些數(shù)據(jù)包可以接收，哪些數(shù)據(jù)包需要拒絕。據(jù)包可以接收，

7、哪些數(shù)據(jù)包需要拒絕。 第一部分：訪問控制列表概述第一部分：訪問控制列表概述四、訪問控制列表的功能四、訪問控制列表的功能 （1 1）、數(shù)據(jù)包過濾）、數(shù)據(jù)包過濾 （2 2）、限制網(wǎng)絡(luò)流量）、限制網(wǎng)絡(luò)流量 （3 3）、提高網(wǎng)絡(luò)性能）、提高網(wǎng)絡(luò)性能 （4 4）、提高網(wǎng)絡(luò)安全）、提高網(wǎng)絡(luò)安全 由于由于ACLACL訪問控制列表是使用包過濾技術(shù)來實(shí)訪問控制列表是使用包過濾技術(shù)來實(shí)現(xiàn)的，過濾的依據(jù)又僅僅只是第三層和第四層包現(xiàn)的，過濾的依據(jù)又僅僅只是第三層和第四層包頭中的部分信息，這種技術(shù)具有一些固有的局限頭中的部分信息，這種技術(shù)具有一些固有的局限性，如無法識別到具體的人，無法識別到應(yīng)用內(nèi)性，如無法識別到具體的

8、人，無法識別到應(yīng)用內(nèi)部的權(quán)限級別等。因此，要達(dá)到端到端的權(quán)限控部的權(quán)限級別等。因此，要達(dá)到端到端的權(quán)限控制目的，需要和系統(tǒng)級及應(yīng)用級的訪問權(quán)限控制制目的，需要和系統(tǒng)級及應(yīng)用級的訪問權(quán)限控制結(jié)合使用。結(jié)合使用。 第一部分：訪問控制列表概述第一部分：訪問控制列表概述五、訪問控制列表的分類：主要分為標(biāo)準(zhǔn)訪問控五、訪問控制列表的分類：主要分為標(biāo)準(zhǔn)訪問控制列表和擴(kuò)展訪問控制列表。制列表和擴(kuò)展訪問控制列表。 第一部分：訪問控制列表概述第一部分：訪問控制列表概述六、訪問控制列表工作過程分析六、訪問控制列表工作過程分析 第二部分：標(biāo)準(zhǔn)訪問控制列表第二部分：標(biāo)準(zhǔn)訪問控制列表一、定義標(biāo)準(zhǔn)一、定義標(biāo)準(zhǔn)IPIP訪問控

9、制列表訪問控制列表（1 1語法：語法：Router(config)# access-list Router(config)# access-list list list numberpermit|denyhost/anysourcesournumberpermit|denyhost/anysourcesource-wildcardmaskLogce-wildcardmaskLog（2 2功能：只能根據(jù)數(shù)據(jù)幀的源地址進(jìn)行過濾，功能：只能根據(jù)數(shù)據(jù)幀的源地址進(jìn)行過濾，而不能根據(jù)數(shù)據(jù)幀的目的地址進(jìn)行數(shù)據(jù)過濾；只而不能根據(jù)數(shù)據(jù)幀的目的地址進(jìn)行數(shù)據(jù)過濾；只能拒絕或允許整個(gè)協(xié)議族的數(shù)據(jù)包，而不能根據(jù)能拒絕或

10、允許整個(gè)協(xié)議族的數(shù)據(jù)包，而不能根據(jù)具體的協(xié)議對數(shù)據(jù)包進(jìn)行過濾。具體的協(xié)議對數(shù)據(jù)包進(jìn)行過濾。（3 3位置：由于不能根據(jù)數(shù)據(jù)幀的目標(biāo)地址進(jìn)行位置：由于不能根據(jù)數(shù)據(jù)幀的目標(biāo)地址進(jìn)行過濾，而只能根據(jù)數(shù)據(jù)幀的源地址進(jìn)行過濾，因過濾，而只能根據(jù)數(shù)據(jù)幀的源地址進(jìn)行過濾，因此最好將標(biāo)準(zhǔn)訪問控制列表放置離目標(biāo)主機(jī)或此最好將標(biāo)準(zhǔn)訪問控制列表放置離目標(biāo)主機(jī)或目標(biāo)網(wǎng)絡(luò)最近的位置。目標(biāo)網(wǎng)絡(luò)最近的位置。 第二部分：標(biāo)準(zhǔn)訪問控制列表第二部分：標(biāo)準(zhǔn)訪問控制列表（4參數(shù)說明：定義訪問控制列表必須在路由器的全局配置模式下進(jìn)行l(wèi)ist number：訪問控制列表號的范圍，標(biāo)準(zhǔn)IP訪問控制列表的列表號標(biāo)識是從 1 到 99 。per

11、mit/deny ：關(guān)鍵字 permit 和 deny 用來表示滿足訪問列表項(xiàng)的報(bào)文是允許通過接口，還是要過濾掉。permit 表示允許“滿足訪問列表項(xiàng)的報(bào)文通過接口 deny 表示禁止“滿足訪問列表項(xiàng)的報(bào)文通過接口 source：源地址，對于標(biāo)準(zhǔn)的IP訪問控制列表，源地址可以是：host、any、具體主機(jī)IP地址或具體網(wǎng)絡(luò)地址host 用于指定某個(gè)具體主機(jī)。any 用于指定所有主機(jī)。source-wi1dcardmask ：源地址通配符屏蔽碼 第二部分：標(biāo)準(zhǔn)訪問控制列表第二部分：標(biāo)準(zhǔn)訪問控制列表二、二、hosthost參數(shù)講解參數(shù)講解 host host表示一種精確的匹配，其屏蔽碼為表示一種

12、精確的匹配，其屏蔽碼為 host host 是是 0.0.0.O 0.0.0.O 通配符屏蔽碼的簡通配符屏蔽碼的簡寫）。寫）。 例如，假定我們希望允許從例如，假定我們希望允許從 5 5 來的報(bào)文，則應(yīng)該制定如下標(biāo)準(zhǔn)來的報(bào)文，則應(yīng)該制定如下標(biāo)準(zhǔn)IPIP訪問控制列表訪問控制列表語句：語句： access-list 44 permit 5 access-list 44 permit 5 如果采用關(guān)鍵字如果采用關(guān)鍵字 host host，則也可以用下面的語，

13、則也可以用下面的語句來代替：句來代替： access-list 44 permit host 5 access-list 44 permit host 5 第二部分：標(biāo)準(zhǔn)訪問控制列表第二部分：標(biāo)準(zhǔn)訪問控制列表三、三、anyany參數(shù)講解參數(shù)講解 any any 是源地證通配符屏蔽碼是源地證通配符屏蔽碼 “0.O.O.O “0.O.O.O 55” 55” 的簡寫。的簡寫。 假定我們要拒絕從源地址假定我們要拒絕從源地址 5 5 來來的報(bào)文，并且要允許從其他源地

14、址來的報(bào)文，則的報(bào)文，并且要允許從其他源地址來的報(bào)文，則應(yīng)制定如下標(biāo)準(zhǔn)應(yīng)制定如下標(biāo)準(zhǔn)IPIP訪問控制列表語句：訪問控制列表語句： access-list 55 deny host 5 access-list 55 deny host 5 access-list 55 permit access-list 55 permit 5555 上述命令可以進(jìn)行如下簡寫：上述命令可以進(jìn)行如下簡寫： access-list 55 deny host 5 acc

15、ess-list 55 deny host 5 access-list 55 permit any access-list 55 permit any 第二部分：標(biāo)準(zhǔn)訪問控制列表第二部分：標(biāo)準(zhǔn)訪問控制列表四、標(biāo)準(zhǔn)訪問控制列表常見錯(cuò)誤分析四、標(biāo)準(zhǔn)訪問控制列表常見錯(cuò)誤分析（1 1）、標(biāo)準(zhǔn)訪問控制列表中語句順序錯(cuò)誤：）、標(biāo)準(zhǔn)訪問控制列表中語句順序錯(cuò)誤：access-list 66 permit anyaccess-list 66 permit anyaccess-list 66 deny host 5access-list 66 deny host 192

16、.168.5.25（2 2）、標(biāo)準(zhǔn)訪問控制列表中列表號錯(cuò)誤）、標(biāo)準(zhǔn)訪問控制列表中列表號錯(cuò)誤access-list 166 deny host 5access-list 166 deny host 5access-list 166 permit anyaccess-list 166 permit any（3 3不需要在標(biāo)準(zhǔn)訪問控制列表的最后添加不需要在標(biāo)準(zhǔn)訪問控制列表的最后添加“deny any ”“deny any ”語句語句access-list 66 permit host 5access-list 66 permit ho

17、st 5access-list 66 deny anyaccess-list 66 deny any（4 4）、忘記在標(biāo)準(zhǔn)訪問控制列表的最后添加）、忘記在標(biāo)準(zhǔn)訪問控制列表的最后添加“permit any ”“permit any ”語句語句access-list 66 deny host 5access-list 66 deny host 5 第二部分：標(biāo)準(zhǔn)訪問控制列表第二部分：標(biāo)準(zhǔn)訪問控制列表五、五、permit permit 和和 deny deny 應(yīng)用的規(guī)則應(yīng)用的規(guī)則（1 1最終目標(biāo)是盡量讓訪問控制中的條目少一些。最終目

18、標(biāo)是盡量讓訪問控制中的條目少一些。另外，訪問控制列表是自上而下逐條對比，所以另外，訪問控制列表是自上而下逐條對比，所以一定要把條件嚴(yán)格的列表項(xiàng)語句放在上面，然后一定要把條件嚴(yán)格的列表項(xiàng)語句放在上面，然后再將條件稍嚴(yán)格的列表選項(xiàng)放在其下面，最后放再將條件稍嚴(yán)格的列表選項(xiàng)放在其下面，最后放置條件寬松的列表選項(xiàng)，還要注意，一般情況下，置條件寬松的列表選項(xiàng)，還要注意，一般情況下，拒絕應(yīng)放在允許上面。拒絕應(yīng)放在允許上面。（2 2如果拒絕的條目少一些，這樣可以用如果拒絕的條目少一些，這樣可以用 DENY DENY，但一定要在最后一條加上允許其它通過，否則所但一定要在最后一條加上允許其它通過，否則所有的數(shù)據(jù)

19、包將不能通過。有的數(shù)據(jù)包將不能通過。（3 3如果允許的條目少一些，這樣可以用如果允許的條目少一些，這樣可以用 PERMITPERMIT，后面不用加拒絕其它系統(tǒng)默認(rèn)會添加，后面不用加拒絕其它系統(tǒng)默認(rèn)會添加 deny anydeny any）。）。（4 4最后，用戶可以根據(jù)實(shí)際情況，靈活應(yīng)用最后，用戶可以根據(jù)實(shí)際情況，靈活應(yīng)用 deny deny 和和 permit permit 語句?？傊?dāng)訪問控制列表中語句?？傊?dāng)訪問控制列表中有拒絕條目時(shí)，在最后面一定要有允許，因?yàn)橛芯芙^條目時(shí)，在最后面一定要有允許，因?yàn)锳CLACL中系統(tǒng)默認(rèn)最后一條是拒絕所有。中系統(tǒng)默認(rèn)最后一條是拒絕所有。 第二部分：

20、標(biāo)準(zhǔn)訪問控制列表第二部分：標(biāo)準(zhǔn)訪問控制列表六、應(yīng)用標(biāo)準(zhǔn)訪問控制列表六、應(yīng)用標(biāo)準(zhǔn)訪問控制列表 在定義了訪問控制列表后，還必須將訪問控在定義了訪問控制列表后，還必須將訪問控制列表應(yīng)用到路由器的某一個(gè)接口中。制列表應(yīng)用到路由器的某一個(gè)接口中。（1 1語法格式語法格式 Router(config-if)# ip access-group Router(config-if)# ip access-group access-list-number in | out access-list-number in | out （2 2參數(shù)說明參數(shù)說明必須先進(jìn)入路由器的某一個(gè)接口，再使用必須先進(jìn)入路由器的某一個(gè)接

21、口，再使用“ip “ip access-groupaccess-group命令，將指定的訪問控制列表應(yīng)命令，將指定的訪問控制列表應(yīng)用到當(dāng)前路由器接口中。用到當(dāng)前路由器接口中。參數(shù)參數(shù) in in 和和 out out 表示訪問控制列表作用在接口上表示訪問控制列表作用在接口上的方向。（這里的的方向。（這里的 in in 和和 out out 是以當(dāng)前路由器本是以當(dāng)前路由器本身為參照點(diǎn)的，控制數(shù)據(jù)包由外向內(nèi)進(jìn)入當(dāng)前路身為參照點(diǎn)的，控制數(shù)據(jù)包由外向內(nèi)進(jìn)入當(dāng)前路由器指定接口為由器指定接口為 “in” “in”；控制數(shù)據(jù)包由內(nèi)向外流；控制數(shù)據(jù)包由內(nèi)向外流出當(dāng)前路由器指定接口為出當(dāng)前路由器指定接口為 “o

22、ut” “out”）。）。 第二部分：標(biāo)準(zhǔn)訪問控制列表第二部分：標(biāo)準(zhǔn)訪問控制列表七、標(biāo)準(zhǔn)訪問控制列表例題一：七、標(biāo)準(zhǔn)訪問控制列表例題一：inin方向控制方向控制Router(config)# access-list 66 deny host Router(config)# access-list 66 deny host 55Router(config)# access-list 66 permit anyRouter(config)# access-list 66 permit anyRouter(config)# interface ethern

23、et 0/0Router(config)# interface ethernet 0/0Router(config-if)# ip access-group 66 inRouter(config-if)# ip access-group 66 in 第二部分：標(biāo)準(zhǔn)訪問控制列表第二部分：標(biāo)準(zhǔn)訪問控制列表八、標(biāo)準(zhǔn)訪問控制列表例題二：八、標(biāo)準(zhǔn)訪問控制列表例題二：outout方向控制方向控制Router(config)# access-list 77 deny host Router(config)# access-list 77 deny host 55R

24、outer(config)# access-list 77 deny Router(config)# access-list 77 deny 55 55 Router(config)# access-list 77 permit anyRouter(config)# access-list 77 permit anyRouter(config)# interface ethernet 0/1Router(config)# interface ethernet 0/1Router(config-if)# ip acces

25、s-group 77 outRouter(config-if)# ip access-group 77 out 第二部分：標(biāo)準(zhǔn)訪問控制列表第二部分：標(biāo)準(zhǔn)訪問控制列表九、下面圖示中，誰可以與主機(jī)九、下面圖示中，誰可以與主機(jī)A A通信？通信？ 第二部分：標(biāo)準(zhǔn)訪問控制列表第二部分：標(biāo)準(zhǔn)訪問控制列表十、虛擬終端訪問控制十、虛擬終端訪問控制 標(biāo)準(zhǔn)訪問列表和控制訪問列表不會拒絕來自標(biāo)準(zhǔn)訪問列表和控制訪問列表不會拒絕來自路由器虛擬終端的訪問，基于安全考慮，對路由路由器虛擬終端的訪問，基于安全考慮，對路由器虛擬終端的訪問和來自路由器虛擬終端的訪問器虛擬終端的訪問和來自路由器虛擬終端的訪問都應(yīng)該被拒絕，以下設(shè)置

26、：只允許都應(yīng)該被拒絕，以下設(shè)置：只允許 網(wǎng)段內(nèi)的主機(jī)訪問路由器的虛擬端口。網(wǎng)段內(nèi)的主機(jī)訪問路由器的虛擬端口。 第三部分：擴(kuò)展訪問控制列表第三部分：擴(kuò)展訪問控制列表一、擴(kuò)展訪問控制列表簡介一、擴(kuò)展訪問控制列表簡介 顧名思義，擴(kuò)展的顧名思義，擴(kuò)展的IPIP訪問控制列表用于擴(kuò)展訪問控制列表用于擴(kuò)展報(bào)文過濾能力。一個(gè)擴(kuò)展的報(bào)文過濾能力。一個(gè)擴(kuò)展的IPIP訪問控制列表允許訪問控制列表允許用戶根據(jù)如下內(nèi)容過濾報(bào)文用戶根據(jù)如下內(nèi)容過濾報(bào)文: :源地址、目的地址、源地址、目的地址、協(xié)議類型、源端口、目的端口以及在特定報(bào)文字協(xié)議類型、源端口、目的端口以及在特定報(bào)文

27、字段中允許進(jìn)行特殊位比較等等。例如，通過擴(kuò)展段中允許進(jìn)行特殊位比較等等。例如，通過擴(kuò)展IPIP訪問控制列表用戶可以實(shí)現(xiàn)：允許外部訪問控制列表用戶可以實(shí)現(xiàn)：允許外部WEBWEB通信通信量通過，而拒絕外來的量通過，而拒絕外來的FTPFTP和和TelnetTelnet通信量。通信量。 擴(kuò)展擴(kuò)展ACLACL既檢查數(shù)據(jù)包的源地址，也檢查數(shù)據(jù)既檢查數(shù)據(jù)包的源地址，也檢查數(shù)據(jù)包的目的地址。此外，還可以檢查數(shù)據(jù)包特定的包的目的地址。此外，還可以檢查數(shù)據(jù)包特定的協(xié)議類型、端口號等。這種擴(kuò)展后的特性給管理協(xié)議類型、端口號等。這種擴(kuò)展后的特性給管理員帶來了更大的靈活性，可以靈活多變地設(shè)置員帶來了更大的靈活性，可以靈

28、活多變地設(shè)置ACLACL的測試條件。數(shù)據(jù)包是否被允許通過出口，既可的測試條件。數(shù)據(jù)包是否被允許通過出口，既可以基于它的源地址，也可以基于它的目的地址。以基于它的源地址，也可以基于它的目的地址。 第三部分：擴(kuò)展訪問控制列表第三部分：擴(kuò)展訪問控制列表二、擴(kuò)展訪問控制列表的定義二、擴(kuò)展訪問控制列表的定義（1 1語法格式：語法格式：Router(config)# access-list Router(config)# access-list access-list-number | permit |deny | access-list-number | permit |deny | protocol

29、source source-wildcardmask protocol source source-wildcardmask destination desitination-wildcardmask destination desitination-wildcardmask operator portoperator port（2 2參數(shù)說明參數(shù)說明list numberlist number：擴(kuò)展：擴(kuò)展IPIP訪問控制列表的表號標(biāo)識從訪問控制列表的表號標(biāo)識從l00l00到到199 199 。protocolprotocol：定義了需要被過濾的協(xié)議，例如：定義了需要被過濾的協(xié)議，例如IPIP

30、、TCPTCP、UDPUDP、ICMP.ICMP.源端口號和目的端口號：源端口號可以用幾種不源端口號和目的端口號：源端口號可以用幾種不同的方法來指定。它可以顯式地指定，使用一個(gè)同的方法來指定。它可以顯式地指定，使用一個(gè)數(shù)字或者使用一個(gè)可識別的助記符。例如，我們數(shù)字或者使用一個(gè)可識別的助記符。例如，我們可以使用可以使用8080或者或者h(yuǎn)ttphttp來指定來指定WebWeb的超文本傳輸協(xié)議。的超文本傳輸協(xié)議。目的端口號的指定方法與源端口號的指定方法相目的端口號的指定方法與源端口號的指定方法相同。同。 第三部分：擴(kuò)展訪問控制列表第三部分：擴(kuò)展訪問控制列表三、常用的服務(wù)端口號三、常用的服務(wù)端口號文件

31、傳輸服務(wù)（文件傳輸服務(wù)（ FTP FTP ）使用的默認(rèn)端口號為）使用的默認(rèn)端口號為 20 20、2121其中數(shù)據(jù)傳輸使用端口其中數(shù)據(jù)傳輸使用端口 20 20 、控制命令的傳、控制命令的傳輸使用端口輸使用端口 21 21） Telnet Telnet 遠(yuǎn)程登錄服務(wù)使用的默認(rèn)端口號為遠(yuǎn)程登錄服務(wù)使用的默認(rèn)端口號為 23 23 簡單郵件服務(wù)（簡單郵件服務(wù)（ SMTP SMTP ）使用的默認(rèn)端口號為）使用的默認(rèn)端口號為 25 25 簡單文件傳輸服務(wù)（簡單文件傳輸服務(wù)（ TFTP TFTP ）使用的默認(rèn)端口號）使用的默認(rèn)端口號為為 69 69 域名服務(wù)（域名服務(wù)（ DNS DNS ）使用的默認(rèn)端口號為）

32、使用的默認(rèn)端口號為 53 53 WEBWEB服務(wù)（服務(wù)（ ）使用的默認(rèn)端口號為）使用的默認(rèn)端口號為 80 80 第三部分：擴(kuò)展訪問控制列表第三部分：擴(kuò)展訪問控制列表四、擴(kuò)展訪問控制列表應(yīng)用一：四、擴(kuò)展訪問控制列表應(yīng)用一：Router(config)# access-list 116 deny ip Router(config)# access-list 116 deny ip host 1 55host 1 55Router(config)# access-list 116

33、permit ip Router(config)# access-list 116 permit ip any anyany anyRouter(config)# interface ethernet 0/0Router(config)# interface ethernet 0/0Router(config-if)# ip access-group 116 inRouter(config-if)# ip access-group 116 in目的：拒絕主機(jī) 1 對 網(wǎng)絡(luò)內(nèi)任何主機(jī)的任何訪問。 由于可根據(jù)目標(biāo)IP地址對數(shù)據(jù)包進(jìn)行過濾，因此原則上擴(kuò)展

34、訪問控制列表應(yīng)放置離源主機(jī)最近的位置。這樣可減少無用數(shù)據(jù)飯的傳遞，從而減少網(wǎng)絡(luò)流量。 第三部分：擴(kuò)展訪問控制列表第三部分：擴(kuò)展訪問控制列表五、擴(kuò)展訪問控制列表應(yīng)用二：五、擴(kuò)展訪問控制列表應(yīng)用二：Router(config)# access-list 118 permit tcp Router(config)# access-list 118 permit tcp 55 any eq www 55 any eq wwwRouter(config)# access-list 118 permit tcp Router(con

35、fig)# access-list 118 permit tcp 55 any eq 21 55 any eq 21Router(config)# access-list 118 permit tcp Router(config)# access-list 118 permit tcp 55 any eq 20 55 any eq 20Router(config)# interface ethernet 0/0Router(config)# int

36、erface ethernet 0/0Router(config-if)# ip access-group 118 in Router(config-if)# ip access-group 118 in 目的：不允許目的：不允許網(wǎng)段的用戶訪問網(wǎng)絡(luò)網(wǎng)段的用戶訪問網(wǎng)絡(luò)內(nèi)除內(nèi)除WEBWEB、FTPFTP服務(wù)以外的其他服務(wù)。（由于默認(rèn)服務(wù)以外的其他服務(wù)。（由于默認(rèn)禁止了禁止了ICMPICMP數(shù)據(jù)包，因此，雖然數(shù)據(jù)包，因此，雖然網(wǎng)網(wǎng)絡(luò)內(nèi)的主機(jī)可以絡(luò)內(nèi)的主機(jī)可以WEBWEB、FTPFTP方式訪問指定的主機(jī)，方式訪問指

37、定的主機(jī)，但無法但無法pingping通提供通提供WEBWEB、FTPFTP服務(wù)的主機(jī)：服務(wù)的主機(jī)：、） 第三部分：擴(kuò)展訪問控制列表第三部分：擴(kuò)展訪問控制列表六、擴(kuò)展訪問控制列表應(yīng)用三：六、擴(kuò)展訪問控制列表應(yīng)用三：Router(config)# access-list 128 permit tcp any Router(config)# access-list 128 permit tcp any host eq wwwhost eq wwwRouter(co

38、nfig)# access-list 128 permit tcp any Router(config)# access-list 128 permit tcp any host eq 21host eq 21Router(config)# access-list 128 permit tcp any Router(config)# access-list 128 permit tcp any host eq 20host eq 20Router(config)# interface etherne

39、t 0/1Router(config)# interface ethernet 0/1Router(config-if)# ip access-group 128 outRouter(config-if)# ip access-group 128 out目的：只允許所有主機(jī)訪問目的：只允許所有主機(jī)訪問 服務(wù)器提供的服務(wù)器提供的WEBWEB和和 FTP FTP服務(wù)。服務(wù)。 第三部分：擴(kuò)展訪問控制列表第三部分：擴(kuò)展訪問控制列表七、擴(kuò)展訪問控制列表應(yīng)用四：七、擴(kuò)展訪問控制列表應(yīng)用四：Router(config)# access-list 101 deny

40、tcp Router(config)# access-list 101 deny tcp 55 55 eq 55 55 eq 2121Router(config)# access-list 101 permit ip any Router(config)# access-list 101 permit ip any anyanyRouter(config)# interface ethernet 0Router(config)# interface e

41、thernet 0Router(config-if)# ip access-group 101 outRouter(config-if)# ip access-group 101 out目的：目的：（1 1拒絕網(wǎng)絡(luò)拒絕網(wǎng)絡(luò) 的的FTPFTP通通信流量通過信流量通過e0e0E0E1/24/24/243 第三部分：擴(kuò)展訪問控制列表第三部分：擴(kuò)展訪問控制列表八、擴(kuò)展訪問控制列表應(yīng)用五：八、擴(kuò)展訪問控制列表應(yīng)用五：Router(config)# access-list 101 pe

42、rmit tcp any Router(config)# access-list 101 permit tcp any 55 eq 25 55 eq 25Router(config)# interface ethernet 1Router(config)# interface ethernet 1Router(config-if)# ip access-group 101 outRouter(config-if)# ip access-group 101 out目的：目的：（1 1只允許外部網(wǎng)絡(luò)的只允許外部網(wǎng)絡(luò)的SMTPSM

43、TP通信流量通過通信流量通過e1 e1 E0E1/24/24/243 第四部分：命名訪問控制列表第四部分：命名訪問控制列表一、命名訪問控制列表簡介一、命名訪問控制列表簡介 命名命名ACLACL允許在標(biāo)準(zhǔn)允許在標(biāo)準(zhǔn)ACLACL和擴(kuò)展和擴(kuò)展ACLACL中使用一個(gè)中使用一個(gè)字母數(shù)字組合的字符串來替代前面所使用的數(shù)字字母數(shù)字組合的字符串來替代前面所使用的數(shù)字來表示來表示ACLACL表號。表號。 在使用列表號表示的在使用列表號表示的“標(biāo)準(zhǔn)標(biāo)準(zhǔn)IPIP訪問控制列表訪問控制列表和和“擴(kuò)展擴(kuò)

44、展IPIP訪問控制列表訪問控制列表中，如果輸入的語中，如果輸入的語句出現(xiàn)錯(cuò)誤，用戶不能方便地進(jìn)行修改，而必須句出現(xiàn)錯(cuò)誤，用戶不能方便地進(jìn)行修改，而必須先將整個(gè)先將整個(gè)ACLACL列表刪除后，再重新創(chuàng)建。而在使用列表刪除后，再重新創(chuàng)建。而在使用名字表示的名字表示的“標(biāo)準(zhǔn)標(biāo)準(zhǔn)IPIP訪問控制列表訪問控制列表和和“擴(kuò)展擴(kuò)展IPIP訪問控制列表訪問控制列表中，用戶可以方便地對中，用戶可以方便地對ACLACL語句進(jìn)語句進(jìn)行修改。行修改。 另外，在設(shè)計(jì)命名的控制列表時(shí)，應(yīng)該注意：另外，在設(shè)計(jì)命名的控制列表時(shí)，應(yīng)該注意：（1 1）、）、11.2 11.2 以前的版本的以前的版本的 Cisco IOS Cis

45、co IOS 不支持命不支持命名的名的 ACL ACL。（2 2）、不能以同一個(gè)名字來命名多個(gè)）、不能以同一個(gè)名字來命名多個(gè) ACL ACL 。 第四部分：命名訪問控制列表第四部分：命名訪問控制列表二、定義和應(yīng)用命名標(biāo)準(zhǔn)訪問控制列表二、定義和應(yīng)用命名標(biāo)準(zhǔn)訪問控制列表（1 1定義標(biāo)準(zhǔn)命名訪問控制列表名稱：定義標(biāo)準(zhǔn)命名訪問控制列表名稱：Router(config)# ip access-list standard Router(config)# ip access-list standard access-list-nameaccess-list-name（2 2應(yīng)用標(biāo)準(zhǔn)命名訪問控制列表到路由器指

46、定端口應(yīng)用標(biāo)準(zhǔn)命名訪問控制列表到路由器指定端口的指定方向上的指定方向上Router(config-if)# ip access-group access-Router(config-if)# ip access-group access-list-name in | out list-name in | out 三、定義和應(yīng)用命名擴(kuò)展訪問控制列表三、定義和應(yīng)用命名擴(kuò)展訪問控制列表（1 1定義擴(kuò)展命名訪問控制列表名稱：定義擴(kuò)展命名訪問控制列表名稱：Router(config)# ip access-list extended Router(config)# ip access-list exte

47、nded access-list-name access-list-name （2 2應(yīng)用擴(kuò)展命名訪問控制列表到路由器指定端口應(yīng)用擴(kuò)展命名訪問控制列表到路由器指定端口的指定方向上的指定方向上Router(config-if)# ip access-group access-Router(config-if)# ip access-group access-list-name in | out list-name in | out 第四部分：命名訪問控制列表第四部分：命名訪問控制列表四、命名標(biāo)準(zhǔn)訪問控制列表實(shí)例四、命名標(biāo)準(zhǔn)訪問控制列表實(shí)例（1 1功能實(shí)現(xiàn)：禁止源地址為功能實(shí)現(xiàn)：禁止源地址為 19

48、5 5 的數(shù)的數(shù)據(jù)包流入路由器的據(jù)包流入路由器的 E 0/0 E 0/0 接口，其實(shí)就是禁止了接口，其實(shí)就是禁止了 5 5 主機(jī)的對外訪問。主機(jī)的對外訪問。（2 2拓樸結(jié)構(gòu)拓樸結(jié)構(gòu) 第四部分：命名訪問控制列表第四部分：命名訪問控制列表3、定義標(biāo)準(zhǔn)命名訪問控制列表Router(config)# ip access-list standard block25 Router(config-std-nacl)# deny host 5 Router(config-std-nacl)# permit

49、 any Router(config-std-nacl)# exit4、應(yīng)用標(biāo)準(zhǔn)命名訪問控制列表到路由器指定接口的指定方向上Router(config)# interface ethernet 0/0 Router(config-if)# ip access-group block25 in 第五部分：時(shí)間訪問控制列表第五部分：時(shí)間訪問控制列表一、基于時(shí)間的訪問控制列表一、基于時(shí)間的訪問控制列表 基于時(shí)間的訪問控制列表可以根據(jù)一天中的不同時(shí)間，或基于時(shí)間的訪問控制列表可以根據(jù)一天中的不同時(shí)間，或者根據(jù)一星期中的不同日期，或二者相結(jié)合來控制網(wǎng)絡(luò)數(shù)據(jù)包者根據(jù)一星期中的不同日期，或二者相結(jié)合來控制網(wǎng)

50、絡(luò)數(shù)據(jù)包的轉(zhuǎn)發(fā)。這種基于時(shí)間的訪問列表，就是在原來的標(biāo)準(zhǔn)訪問列的轉(zhuǎn)發(fā)。這種基于時(shí)間的訪問列表，就是在原來的標(biāo)準(zhǔn)訪問列表和擴(kuò)展訪問列表中，加入有效的時(shí)間范圍來更合理有效地控表和擴(kuò)展訪問列表中，加入有效的時(shí)間范圍來更合理有效地控制網(wǎng)絡(luò)。配置基于時(shí)間的訪問控制列表之前，必須正確配置路制網(wǎng)絡(luò)。配置基于時(shí)間的訪問控制列表之前，必須正確配置路由器的時(shí)間由器的時(shí)間: : 配置時(shí)間語法：配置時(shí)間語法：#clock set hh:mm:ss MONTH #clock set hh:mm:ss MONTH 第五部分：時(shí)間訪問控制列表第五部分：時(shí)間訪問控制列表二、定義時(shí)間名稱二、定義時(shí)間名稱Router(confi

51、g)# time-range time-range-name Router(config)# time-range time-range-name time-rangetime-range：用來定義時(shí)間范圍：用來定義時(shí)間范圍time-range-nametime-range-name：時(shí)間范圍名稱，以便在后面的訪問控制列表：時(shí)間范圍名稱，以便在后面的訪問控制列表中引用中引用三、定義時(shí)間名稱所指向的具體時(shí)間范圍三、定義時(shí)間名稱所指向的具體時(shí)間范圍（1 1定義絕對時(shí)間范圍定義絕對時(shí)間范圍Router(config-time-range)# absolute start hh:mm Router(c

52、onfig-time-range)# absolute start hh:mm MONTH end hh:mm month MONTH end hh:mm month 該命令用來指定絕對時(shí)間范圍。它后面緊跟該命令用來指定絕對時(shí)間范圍。它后面緊跟startstart和和 end end兩兩個(gè)關(guān)鍵字。在兩個(gè)關(guān)鍵字后面的時(shí)間要以個(gè)關(guān)鍵字。在兩個(gè)關(guān)鍵字后面的時(shí)間要以2424小時(shí)制和小時(shí)制和“hh: mm“hh: mm小時(shí)：分鐘）小時(shí)：分鐘）”表示，日期要按照表示，日期要按照“日日/ /月月/ /年年形式表示。形式表示。 第五部分：時(shí)間訪問控制列表第五部分：時(shí)間訪問控制列表（2 2定義相對時(shí)間范圍定義相

53、對時(shí)間范圍 Router(config-time-range)# periodic Router(config-time-range)# periodic 星期幾英文）星期幾英文） hh:mm to hh:mmhh:mm to hh:mm 主要以星期為參數(shù)來定義時(shí)間范圍。它的參數(shù)主要有主要以星期為參數(shù)來定義時(shí)間范圍。它的參數(shù)主要有MondayMonday、TuesdayTuesday、WednesdayWednesday、ThursdayThursday、FridayFriday、SaturdaySaturday、SundaySunday中的一個(gè)或者幾個(gè)的組合，也可以是中的一個(gè)或者幾個(gè)的組合，

54、也可以是dailydaily每天）、每天）、weekdayweekday周一到周五或者周一到周五或者weekendweekend周末）。周末）。 基于時(shí)間訪問列表的設(shè)計(jì)中，用基于時(shí)間訪問列表的設(shè)計(jì)中，用time-range time-range 命令來指定時(shí)命令來指定時(shí)間范圍的名稱，然后用間范圍的名稱，然后用 absolute absolute 命令，或者一個(gè)或多個(gè)命令，或者一個(gè)或多個(gè) periodic periodic 命令來具體定義時(shí)間范圍。但兩者不能同時(shí)使用，否命令來具體定義時(shí)間范圍。但兩者不能同時(shí)使用，否則配置會失效。則配置會失效。 第五部分：時(shí)間訪問控制列表第五部分：時(shí)間訪問控制列表

55、四、將時(shí)間范圍名稱作用到指定的訪問控制列表中四、將時(shí)間范圍名稱作用到指定的訪問控制列表中 Router(config)# access-list Router(config)# access-list 列表編號列表編號 deny|permit deny|permit ip ip 源源ip ip 源掩碼源掩碼 目標(biāo)目標(biāo)ip ip 目標(biāo)掩碼目標(biāo)掩碼 time-range time-range- time-range time-range-namename Router(config)# access-list as Router(config)# access-list permit any any permit any any五、將訪問控制列表添加到指定接口的指定方向五、將訪問控制列表添加到指定接口的指定方向Router(config)# interface fastethernet Router(config)# interface fastethernet 模塊模塊/ /接口接口Router(config-if)# ip access-gr