數(shù)據(jù)通信網(wǎng)絡(luò)組建與維護(hù)(項目式教學(xué)課件) 項目6 網(wǎng)絡(luò)的訪問控制實施

1、ACL網(wǎng)絡(luò)訪問控制網(wǎng)絡(luò)訪問控制項目六項目六教學(xué)目標(biāo)教學(xué)目標(biāo)知識內(nèi)容與要求知識內(nèi)容與要求了解訪問控制的基本原理；了解訪問控制的基本原理；掌握訪問控制列表的基本概念和作用掌握訪問控制列表的基本概念和作用; 掌握訪問控制列表的分類和工作原理；掌握訪問控制列表的分類和工作原理；掌握訪問控制列表使用的基本規(guī)則；掌握訪問控制列表使用的基本規(guī)則；掌握標(biāo)準(zhǔn)訪問控制列表與擴(kuò)展訪問控制列表的配置。掌握標(biāo)準(zhǔn)訪問控制列表與擴(kuò)展訪問控制列表的配置。技能目標(biāo)與要求技能目標(biāo)與要求能夠熟練進(jìn)行能夠熟練進(jìn)行ACL配置；配置；能夠運(yùn)用能夠運(yùn)用ACL解決實際問題；解決實際問題；能夠使用基于時間段的訪問控制列表進(jìn)行訪問控制。能夠使用

2、基于時間段的訪問控制列表進(jìn)行訪問控制。項目描述與分析項目描述與分析 項目背景項目背景 某重點中學(xué)的校園網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖如圖所示。校園網(wǎng)建成后，某重點中學(xué)的校園網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖如圖所示。校園網(wǎng)建成后，滿足了校區(qū)師生對信息化的需求，實現(xiàn)了校園網(wǎng)絡(luò)資源的共享滿足了校區(qū)師生對信息化的需求，實現(xiàn)了校園網(wǎng)絡(luò)資源的共享。但由于在建設(shè)初期僅僅實現(xiàn)了互聯(lián)互通，沒有對網(wǎng)絡(luò)進(jìn)行安。但由于在建設(shè)初期僅僅實現(xiàn)了互聯(lián)互通，沒有對網(wǎng)絡(luò)進(jìn)行安全加固，給網(wǎng)絡(luò)的使用和維護(hù)帶來了很多問題。例如，行政辦全加固，給網(wǎng)絡(luò)的使用和維護(hù)帶來了很多問題。例如，行政辦公子網(wǎng)被學(xué)生經(jīng)常訪問，有部分學(xué)生登錄到教務(wù)管理系統(tǒng)，也公子網(wǎng)被學(xué)生經(jīng)常訪問，有部分

3、學(xué)生登錄到教務(wù)管理系統(tǒng)，也有學(xué)生在上課期間登錄媒體服務(wù)器影響正常學(xué)習(xí)。為了保證校有學(xué)生在上課期間登錄媒體服務(wù)器影響正常學(xué)習(xí)。為了保證校園網(wǎng)的安全，必須對校園網(wǎng)重新進(jìn)行一系列的規(guī)劃，希望能夠園網(wǎng)的安全，必須對校園網(wǎng)重新進(jìn)行一系列的規(guī)劃，希望能夠達(dá)到以下功能：達(dá)到以下功能： 1）禁止學(xué)生子網(wǎng)訪問行政子網(wǎng)和教學(xué)子網(wǎng)；禁止學(xué)生子網(wǎng)訪問行政子網(wǎng)和教學(xué)子網(wǎng)； 2）禁止學(xué)生子網(wǎng)訪問財務(wù)系統(tǒng)和教務(wù)管理系統(tǒng)；禁止學(xué)生子網(wǎng)訪問財務(wù)系統(tǒng)和教務(wù)管理系統(tǒng)； 3）禁止學(xué)生子網(wǎng)在上課時間訪問媒體服務(wù)器；禁止學(xué)生子網(wǎng)在上課時間訪問媒體服務(wù)器； 4）教務(wù)管理系統(tǒng)僅允許教學(xué)管理人員和教師子網(wǎng)訪問；教務(wù)管理系統(tǒng)僅允許教學(xué)管理人員和

4、教師子網(wǎng)訪問； 5）財務(wù)系統(tǒng)僅允許行政子網(wǎng)訪問。財務(wù)系統(tǒng)僅允許行政子網(wǎng)訪問。 網(wǎng)絡(luò)拓?fù)湓O(shè)計與分析網(wǎng)絡(luò)拓?fù)湓O(shè)計與分析三層交換機(jī)三層交換機(jī)三層交換機(jī)三層交換機(jī)目錄目錄基礎(chǔ)知識：基礎(chǔ)知識：ACL原理及應(yīng)用原理及應(yīng)用n 要增強(qiáng)網(wǎng)絡(luò)安全性，網(wǎng)絡(luò)設(shè)備需要具備控制某些訪要增強(qiáng)網(wǎng)絡(luò)安全性，網(wǎng)絡(luò)設(shè)備需要具備控制某些訪問或某些數(shù)據(jù)的能力。問或某些數(shù)據(jù)的能力。n 包過濾技術(shù)是一種被廣泛使用的網(wǎng)絡(luò)安全技術(shù)。它包過濾技術(shù)是一種被廣泛使用的網(wǎng)絡(luò)安全技術(shù)。它使用使用ACL來（訪問控制列表）實現(xiàn)數(shù)據(jù)識別，并決來（訪問控制列表）實現(xiàn)數(shù)據(jù)識別，并決定是轉(zhuǎn)發(fā)還是丟棄這些數(shù)據(jù)包。定是轉(zhuǎn)發(fā)還是丟棄這些數(shù)據(jù)包。n 由由ACL定義的報文匹

5、配規(guī)則，還可以被其它需要對定義的報文匹配規(guī)則，還可以被其它需要對數(shù)據(jù)進(jìn)行區(qū)分的場合引用。數(shù)據(jù)進(jìn)行區(qū)分的場合引用。引入引入IP包過濾技術(shù)介紹包過濾技術(shù)介紹 對路由器需要轉(zhuǎn)發(fā)的數(shù)據(jù)包，先獲取包頭信息，然后和設(shè)定的規(guī)對路由器需要轉(zhuǎn)發(fā)的數(shù)據(jù)包，先獲取包頭信息，然后和設(shè)定的規(guī)則進(jìn)行比較，根據(jù)比較的結(jié)果對數(shù)據(jù)包進(jìn)行轉(zhuǎn)發(fā)或者丟棄。而實則進(jìn)行比較，根據(jù)比較的結(jié)果對數(shù)據(jù)包進(jìn)行轉(zhuǎn)發(fā)或者丟棄。而實現(xiàn)包過濾的核心技術(shù)是訪問控制列表?，F(xiàn)包過濾的核心技術(shù)是訪問控制列表。RInternet公司總部公司總部內(nèi)部網(wǎng)絡(luò)內(nèi)部網(wǎng)絡(luò)未授權(quán)用戶未授權(quán)用戶辦事處辦事處FDDITokenRingInt

6、ernet 訪問控制列表簡稱為訪問控制列表簡稱為ACL ACL （Access Control ListAccess Control List），），它是對數(shù)據(jù)包進(jìn)行管理和限制的方法。它是對數(shù)據(jù)包進(jìn)行管理和限制的方法。什么是訪問控制列表什么是訪問控制列表?哪些場合需要使用哪些場合需要使用ACLACL？允許或禁止對路由器或來自路由器的某些訪問允許或禁止對路由器或來自路由器的某些訪問QOSQOS與隊列技術(shù)與隊列技術(shù)策略路由策略路由數(shù)據(jù)速率限制數(shù)據(jù)速率限制端口流鏡像端口流鏡像NATNATACL的使用場合的使用場合目的目的IP地址地址源源IP地址地址協(xié)議號協(xié)議號目的端口目的端口段段(如如TCP報頭報頭

7、)數(shù)據(jù)數(shù)據(jù)數(shù)據(jù)包數(shù)據(jù)包(IP報頭報頭 )幀報頭幀報頭(如如HDLC) 使用使用ACL檢測數(shù)據(jù)包檢測數(shù)據(jù)包 拒絕拒絕允許允許ACL的判別依據(jù)五元組的判別依據(jù)五元組源端口源端口 標(biāo)準(zhǔn)標(biāo)準(zhǔn)ACL 僅以僅以作為過濾標(biāo)準(zhǔn)作為過濾標(biāo)準(zhǔn) 只能粗略的限制某一大類協(xié)議只能粗略的限制某一大類協(xié)議 擴(kuò)展擴(kuò)展ACL以以、作為過濾標(biāo)準(zhǔn)，可以精確的限制到某一種具體的協(xié)作為過濾標(biāo)準(zhǔn)，可以精確的限制到某一種具體的協(xié)議議 Inbound 或或 Outbound基于時間的基于時間的ACL 在標(biāo)準(zhǔn)和擴(kuò)展在標(biāo)準(zhǔn)和擴(kuò)展ACL基礎(chǔ)上加上時間限制?；A(chǔ)上加上時間限制。ACL的分類的分類數(shù)據(jù)包出接口數(shù)據(jù)包出接口數(shù)據(jù)包入接口數(shù)據(jù)包入接口 AC

8、L處理過程處理過程允許允許?源地址、源地址、目的地址目的地址協(xié)議協(xié)議標(biāo)準(zhǔn)標(biāo)準(zhǔn)ACL標(biāo)準(zhǔn)訪問控制列表只根據(jù)報文的標(biāo)準(zhǔn)訪問控制列表只根據(jù)報文的源源IPIP地址地址信息制定規(guī)則信息制定規(guī)則接口接口接口接口從從/24來的數(shù)據(jù)包來的數(shù)據(jù)包不能通過不能通過從從/28來的數(shù)據(jù)包來的數(shù)據(jù)包可以通過可以通過DA= SA=DA= SA=分組分組分組分組擴(kuò)展擴(kuò)展ACL 擴(kuò)展訪問控制列表根據(jù)報文的擴(kuò)展訪問控制列表根據(jù)報文的源源IPIP地址、目的地址、目的IPIP地址、地址、IPIP承載的協(xié)議類型、協(xié)議特性承載的協(xié)議類型、協(xié)議特性等三、

9、四層信息制定規(guī)則等三、四層信息制定規(guī)則接口接口接口接口從從/24來，到來，到的的TCP端口端口80去的數(shù)據(jù)包去的數(shù)據(jù)包不能不能通過通過從從/24來，到來，到的的TCP端口端口23去的數(shù)據(jù)包去的數(shù)據(jù)包可以可以通過通過DA=, SA=TCP, DP=80, SP=2032DA=, SA=TCP, DP=23, SP=3176分組分組分組分組ACL具有方向性具有方向性 在路由器中使用訪問控制列表時，訪問控制列表是在路由器中使用訪問控制列表時，訪問控制列表是部署在路由器的某個接口的某個方向上

10、。因此，對于部署在路由器的某個接口的某個方向上。因此，對于路由器來說存在入口方向（路由器來說存在入口方向（InboundInbound）和出口方向（）和出口方向（OutboundOutbound）兩個方向。）兩個方向。 否否是是丟棄處理丟棄處理選擇出接口選擇出接口否否ACL?路由表路由表?數(shù)據(jù)包出接口數(shù)據(jù)包出接口ACL如何工作如何工作 數(shù)據(jù)包入接口數(shù)據(jù)包入接口通信工程系 交換與路由技術(shù)精品課程數(shù)據(jù)包出接口數(shù)據(jù)包出接口否否是是丟棄處理丟棄處理選擇接口選擇接口路由表路由表?否否ACL匹配控制匹配控制允許允許?是是ACL如何工作如何工作ACL?是是數(shù)據(jù)包入接口數(shù)據(jù)包入接口數(shù)據(jù)包出接口數(shù)據(jù)包出接口否否

11、是是丟棄處理丟棄處理選擇接口選擇接口路由表路由表?否否ACL匹配控制匹配控制允許允許?是是ACL如何工作如何工作ACL?是是數(shù)據(jù)包入接口數(shù)據(jù)包入接口否否ACL的匹配順序的匹配順序ACL內(nèi)部處理具體過程：內(nèi)部處理具體過程：丟棄處理丟棄處理是是目的接口目的接口拒絕拒絕拒絕拒絕是是匹配匹配第一條規(guī)則第一條規(guī)則?允許允許ACL的匹配順序的匹配順序ACL內(nèi)部處理具體過程：內(nèi)部處理具體過程：丟棄處理丟棄處理是是目的接口目的接口是是匹配匹配第一條規(guī)則第一條規(guī)則?否否下一條下一條?是是是是拒絕拒絕拒絕拒絕拒絕拒絕允許允許允許允許ACL的匹配順序的匹配順序ACL內(nèi)部處理具體過程：內(nèi)部處理具體過程：丟棄處理丟棄處

12、理是是目的接口目的接口是是匹配匹配第一條規(guī)則第一條規(guī)則?否否匹配匹配下一條下一條?匹配匹配最后一條最后一條?是是是是否否是是是是拒絕拒絕拒絕拒絕拒絕拒絕拒絕拒絕允許允許允許允許允許允許ACL的匹配順序的匹配順序ACL內(nèi)部處理具體過程：內(nèi)部處理具體過程：丟棄處理丟棄處理是是目的接口目的接口是是匹配匹配第一條規(guī)則第一條規(guī)則?否否匹配匹配下一條下一條?匹配匹配最后一條最后一條?是是是是否否是是是是*說明：當(dāng)說明：當(dāng)ACL的最后一條的最后一條不匹配時，系統(tǒng)使用隱含不匹配時，系統(tǒng)使用隱含的的進(jìn)行處理！進(jìn)行處理！拒絕拒絕拒絕拒絕拒絕拒絕拒絕拒絕允許允許允許允許允許允許否否ACL的使用位置的使用位置p 對于

13、標(biāo)準(zhǔn)對于標(biāo)準(zhǔn)ACLACL，由于它只能過濾源，由于它只能過濾源IPIP。為了不影響源。為了不影響源主機(jī)的通信，一般我們將標(biāo)準(zhǔn)主機(jī)的通信，一般我們將標(biāo)準(zhǔn)ACLACL放在離目的端比較放在離目的端比較近的地方。近的地方。p 擴(kuò)展擴(kuò)展ACLACL可以精確的定位某一類的數(shù)據(jù)流。為了不讓可以精確的定位某一類的數(shù)據(jù)流。為了不讓無用的流量占據(jù)網(wǎng)絡(luò)帶寬，一般我們將擴(kuò)展無用的流量占據(jù)網(wǎng)絡(luò)帶寬，一般我們將擴(kuò)展ACLACL放在放在離源端比較近的地方。離源端比較近的地方。 ACL的規(guī)則總結(jié)的規(guī)則總結(jié)p 按照由按照由上到下的順序執(zhí)行上到下的順序執(zhí)行，找到第一個匹配后既執(zhí)行，找到第一個匹配后既執(zhí)行相應(yīng)的操作（相應(yīng)的操作（然后

14、跳出然后跳出ACLACL）p 每條每條ACLACL的末尾的末尾隱含一條隱含一條deny anydeny any 的規(guī)則的規(guī)則p ACLACL可應(yīng)用于某個具體的可應(yīng)用于某個具體的IPIP接口的接口的出方向出方向或或入方向入方向p 在引用在引用ACLACL之前，要首先創(chuàng)建好之前，要首先創(chuàng)建好ACLACL目錄目錄ALC配置步驟配置步驟1：創(chuàng)建：創(chuàng)建ACL列表列表2：設(shè)置：設(shè)置ACL規(guī)則規(guī)則ACL配置步驟配置步驟3：將：將ACL應(yīng)用到接口上應(yīng)用到接口上 目錄目錄標(biāo)準(zhǔn)訪問控制列表標(biāo)準(zhǔn)訪問控制列表配置配置標(biāo)準(zhǔn)訪問控制列表標(biāo)準(zhǔn)訪問控制列表 標(biāo)準(zhǔn)訪問控制列表：標(biāo)準(zhǔn)訪問控制列表：根據(jù)數(shù)據(jù)包的源根據(jù)數(shù)據(jù)包的源IP

15、地址來允許或拒絕數(shù)據(jù)包；地址來允許或拒絕數(shù)據(jù)包；訪問控制列表號從訪問控制列表號從1到到99。標(biāo)準(zhǔn)訪問控制列表標(biāo)準(zhǔn)訪問控制列表 標(biāo)準(zhǔn)訪問控制列表只使用源地址進(jìn)行過濾，標(biāo)準(zhǔn)訪問控制列表只使用源地址進(jìn)行過濾，表明是允許還是拒絕表明是允許還是拒絕 標(biāo)準(zhǔn)訪問控制列表標(biāo)準(zhǔn)訪問控制列表標(biāo)準(zhǔn)訪問控制列表的配置標(biāo)準(zhǔn)訪問控制列表的配置第一步，使用第一步，使用access-list命令創(chuàng)建訪問控制列表命令創(chuàng)建訪問控制列表第二步，使用第二步，使用ip access-group命令把訪問控制列表應(yīng)命令把訪問控制列表應(yīng)用到某接口用到某接口Router(config)#access-list access-list-num

16、ber permit | deny source source- wildcard logRouter(config-if)#ip access-group access-list-number in | out 第三步，測試第三步，測試1顯示所有或指定表號的顯示所有或指定表號的ACL 的內(nèi)容的內(nèi)容Show access-listsacl-number/name 2查看某物理端口是否應(yīng)用了查看某物理端口是否應(yīng)用了ACLshow ip interface任務(wù)一：標(biāo)準(zhǔn)任務(wù)一：標(biāo)準(zhǔn)ACL應(yīng)用應(yīng)用1（允許特定源的流量）（允許特定源的流量）F

17、a0/0Fa1/0S0 loopback3PC1PC2接口接口ip地址地址Router(config)# inte loopback 0Router(config-if)#ip addr Router(config-if)#no shutRouter(config)# inte fa0/0Router(config-if)#ip addr Router(config-if)#no shutRouter(config)#

18、 inte fa1/0Router(config-if)#ip addr Router(config-if)#no shut標(biāo)準(zhǔn)標(biāo)準(zhǔn)ACL應(yīng)用（允許特定源的流量）應(yīng)用（允許特定源的流量）第一步，創(chuàng)建允許來自第一步，創(chuàng)建允許來自的流量的的流量的ACL第二步，應(yīng)用到接口第二步，應(yīng)用到接口fa0/0和和fa1/0的出方向上的出方向上 Router(config)#access-list 1 permit 55Router(config)#interface fastethernet 0/

19、0Router(config-if)#ip access-group 1 outRouter(config)#interface fastethernet 1/0Router(config-if)#ip access-group 1 out測試測試p在路由器上在路由器上ping兩臺兩臺PC機(jī)。機(jī)。pPing pPing p均能均能ping 通通注意注意p取消訪問控制列表的應(yīng)用，兩個步驟取消訪問控制列表的應(yīng)用，兩個步驟p首先取消其應(yīng)用在某個端口，如：首先取消其應(yīng)用在某個端口，如：no ip access-group 1 outp其次，還可以刪除訪問控制列表

20、，如其次，還可以刪除訪問控制列表，如access-list 1 p可用命令可用命令Show access-listsshow ip interface進(jìn)行驗證配置的正確性進(jìn)行驗證配置的正確性任務(wù)二：任務(wù)二：標(biāo)準(zhǔn)標(biāo)準(zhǔn)ACL應(yīng)用（拒絕特定主機(jī)的通信流量）應(yīng)用（拒絕特定主機(jī)的通信流量）Fa0/0Fa1/0S0 loopback3PC1PC2標(biāo)準(zhǔn)標(biāo)準(zhǔn)ACL應(yīng)用：拒絕特定主機(jī)的通信流量應(yīng)用：拒絕特定主機(jī)的通信流量第一步，創(chuàng)建拒絕來自第一步，創(chuàng)建拒絕來自172.16

21、.4.13的流量的的流量的ACL第二步，應(yīng)用到接口第二步，應(yīng)用到接口fa1/0的入方向的入方向Router(config)#access-list 1 deny host 3 Router(config)#access-list 1 permit 55Router(config)#interface fastethernet 1/0Router(config-if)#ip access-group 1 in測試測試p在在PC2上測試上測試PC1與與FA0/0端口端口p不通不通任務(wù)三：任務(wù)三：標(biāo)準(zhǔn)標(biāo)準(zhǔn)ACL應(yīng)用（拒絕特定子網(wǎng)的流量）應(yīng)

22、用（拒絕特定子網(wǎng)的流量）Fa0/0Fa1/0S0 loopback3PC1PC2標(biāo)準(zhǔn)標(biāo)準(zhǔn)ACL應(yīng)用：拒絕特定子網(wǎng)的流量應(yīng)用：拒絕特定子網(wǎng)的流量第一步，創(chuàng)建拒絕來自子網(wǎng)第一步，創(chuàng)建拒絕來自子網(wǎng)的流量的的流量的ACL第二步，應(yīng)用到接口第二步，應(yīng)用到接口fa0/0的出方向的出方向Router(config)#access-list 1 deny 55Router(config)#accesslist 1

23、permit anyRouter(config)#interface fastethernet 0/0Router（config-if）#ip access-group 1 out測試測試p在在pc2上上ping fa0/0,pc1p能能ping 通通fa0/0,不能不能ping 通通pc1，為什么？為什么？p在在pc1上上ping fa1/0,pc2p能能ping 通通fa1/0,不能不能ping 通通pc2，為什么？為什么？目錄目錄擴(kuò)展訪問控制列表的配置擴(kuò)展訪問控制列表的配置擴(kuò)展訪問控制列表的配置擴(kuò)展訪問控制列表的配置p第一步，使用第一步，使用access-list命令創(chuàng)建擴(kuò)展訪問控命令創(chuàng)

24、建擴(kuò)展訪問控制列表制列表Router(config)#access-list access-list-number permit | deny protocol source source-wildcard destination destination-wildcard operator port established logeq portnumber等于端口號 portnumbergt portnumber大于端口號portnumberlt portnumber小于端口號portnumberneq portnumber不等于端口號portnumber擴(kuò)展訪問控制列表的配置擴(kuò)展訪問控制列表

25、的配置擴(kuò)展訪問控制列表的配置擴(kuò)展訪問控制列表的配置p第二步，使用第二步，使用ip access-group命令將擴(kuò)展訪命令將擴(kuò)展訪問控制列表應(yīng)用到某接口問控制列表應(yīng)用到某接口Router（config-if）#ip access-group access-list-number in | out 任務(wù)一：擴(kuò)展任務(wù)一：擴(kuò)展標(biāo)準(zhǔn)標(biāo)準(zhǔn)ACL應(yīng)用（拒絕特定源、目的子應(yīng)用（拒絕特定源、目的子網(wǎng)的網(wǎng)的ftp流量）流量）Fa0/0Fa1/0S0 loopback3PC

26、1PC2擴(kuò)展擴(kuò)展ACL應(yīng)用應(yīng)用1：拒絕：拒絕ftp流量通過流量通過E0p第一步，創(chuàng)建拒絕來自第一步，創(chuàng)建拒絕來自、去往、去往、ftp流量的流量的ACLp第二步，應(yīng)用到接口第二步，應(yīng)用到接口fa0/0的出方向的出方向Router(config)#access-list 101 deny tcp 55 55 eq 21Router(config)#access-list 101 permit ip any anyRouter(config)#interface fastthernet 0

27、/0Router（config-if）#ip access-group 101 out擴(kuò)展擴(kuò)展ACL應(yīng)用應(yīng)用2： 拒絕拒絕telnet流量通過流量通過E0p第一步，創(chuàng)建拒絕來自第一步，創(chuàng)建拒絕來自、去往、去往、telnet流量的流量的ACLp第二步，應(yīng)用到接口第二步，應(yīng)用到接口fa0/0的出方向上的出方向上Router(config)#access-list 101 deny tcp 55 55 eq 23Router(config)#access-list 101 permit i

28、p any anyRouter(config)#interface fastethernet 0/0Router（config-if）#ip access-group 101 outp思考：如何測試？思考：如何測試？p思考：架設(shè)思考：架設(shè)ftp服務(wù)器，在服務(wù)器，在PC機(jī)上，執(zhí)行機(jī)上，執(zhí)行命令：命令：FTP 服務(wù)器服務(wù)器IP地址即可。地址即可。命名的訪問控制列表命名的訪問控制列表p標(biāo)準(zhǔn)標(biāo)準(zhǔn)ACL和擴(kuò)展和擴(kuò)展ACL中可以使用一個字母數(shù)字中可以使用一個字母數(shù)字組合的字符串（名字）代替來表示組合的字符串（名字）代替來表示ACL的表號的表號 p命名命名IP訪問列表允許從指定的訪問列表刪除單訪問列表允許從

29、指定的訪問列表刪除單個條目個條目p如果添加一個條目到列表中，那么該條目被添如果添加一個條目到列表中，那么該條目被添加到列表末尾加到列表末尾 p不能以同一個名字命名多個不能以同一個名字命名多個ACLp在命名的訪問控制列表下在命名的訪問控制列表下 ，permit和和deny命命令的語法格式與前述有所不同令的語法格式與前述有所不同 命名的訪問控制列表命名的訪問控制列表p第一步，創(chuàng)建名為第一步，創(chuàng)建名為cisco的命名訪問控制列表的命名訪問控制列表p第二步，指定一個或多個第二步，指定一個或多個permit及及deny條件條件 p第三步，應(yīng)用到接口第三步，應(yīng)用到接口E0的出方向的出方向Router（co

30、nfig）#interface fastethernet 0/0Router（config-if）#ip access-group cisco outRouter(config)#ip access-list extended ciscoRouter（config-ext-nacl）# deny tcp 55 55 eq 23Router（config-ext-nacl）# permit ip any any查看訪問控制列表查看訪問控制列表Router#show ip interface fastethernet 0/0

31、FastEthernet0/0 is up, line protocol is up Internet address is /24 Broadcast address is 55 Address determined by setup command MTU is 1500 bytes Helper address is not set Directed broadcast forwarding is disabled Outgoing access list is cisco Inbound access list is not set Pro

32、xy ARP is enabled Local Proxy ARP is disabled Security level is default Split horizon is enabled ICMP redirects are always sent ICMP unreachables are always sent ICMP mask replies are never sent IP fast switching is enabled IP fast switching on the same interface is disabled 查看訪問控制列表查看訪問控制列表Router#s

33、how access-list Extended IP access list cisco 10 deny tcp 55 55 eq telnet 20 permit ip any anyZXR10(config)# acl standard number | name ZXR10(config-std-acl)# rule permit|deny |any time-range ZXR10(config)# IP 標(biāo)準(zhǔn)標(biāo)準(zhǔn)ACL使用列表號使用列表號 1 至至 99 缺省通配符為缺省通配符為 “no acl

34、 standard number ” 刪除整個刪除整個ACLv 在接口上應(yīng)用在接口上應(yīng)用ACLv 設(shè)置進(jìn)入或外出方向設(shè)置進(jìn)入或外出方向v “no ip access-group acl-number” 去掉接口上的去掉接口上的ACL設(shè)置設(shè)置ZXR10(config-if)#ip access-group acl-number in | out 配置標(biāo)準(zhǔn)配置標(biāo)準(zhǔn)ACL（中興中興）3S0Fei_1/1非非網(wǎng)段網(wǎng)段只允許兩邊的網(wǎng)絡(luò)互相訪問只允許兩邊的網(wǎng)絡(luò)互相訪問acl standard number 1rule 1 pe

35、rmit 55(rule 1 deny 55)隱含拒絕全部隱含拒絕全部acl standard number 2rule 1 permit 55interface Fei_1/2ip access-group 1 outinterface Fei_1/1ip access-group 2 outFei_1/2標(biāo)準(zhǔn)標(biāo)準(zhǔn)ACL配置示例配置示例1（中興中興）acl standard number 1rule 1 deny 3 rule 2 permit

36、 any(access-list 1 deny 55)隱含拒絕全部隱含拒絕全部interface fei_1/2ip access-group 1 outS0拒絕特定主機(jī)拒絕特定主機(jī)3對對網(wǎng)段的訪問網(wǎng)段的訪問非非網(wǎng)段網(wǎng)段Fei_1/1Fei_1/2標(biāo)準(zhǔn)標(biāo)準(zhǔn)ACL配置示例配置示例2（中興中興）3拒絕特定子網(wǎng)對拒絕特定子網(wǎng)對網(wǎng)段的訪問網(wǎng)段的訪問3S0非非172

37、.16.0.0網(wǎng)段網(wǎng)段acl standard number 1 rule 1 deny 55rule 2 permit any(access-list 1 deny 55)interface fei_1/2ip access-group 1 outFei_1/1Fei_1/2標(biāo)準(zhǔn)標(biāo)準(zhǔn)ACL配置示例配置示例3（中興中興）擴(kuò)展擴(kuò)展ACL的配置的配置（中興中興）ZXR10(config)#l 設(shè)置擴(kuò)展設(shè)置擴(kuò)展ACLZXR10(config)# acl extend number |name ZXR10(config-ex

38、t-acl)# rule permit|deny |any |any icmp-code ZXR10(config)# ip access-group acl-number in | out l 應(yīng)用到接口應(yīng)用到接口說明：說明：1）可以是關(guān)鍵字可以是關(guān)鍵字icmp，ip，tcp，udp 之一，或者代表之一，或者代表 IP 協(xié)議協(xié)議號的從號的從0 到到254 的一個整數(shù)；的一個整數(shù)；2）表示端口操作符，可以是表示端口操作符，可以是le（小于等于）、（小于等于）、ge（大于等于）、（大于等于）、eq（等于）之一，端口操作符只對（等于）之一，端口操作符只對TCP和和UDP協(xié)議有效；協(xié)議有效； acl

39、 extend number 101rule 1 deny tcp 55 55 eq 21rule 2 deny tcp 55 55 eq 20rule 3 permit ip any any interface fei_2/1ip access-group 101 out拒絕從子網(wǎng)拒絕從子網(wǎng) 到子網(wǎng)到子網(wǎng) 通過通過fei_ 2/1口出去的口出去的FTP訪問訪問 允許其他所有流量允許其他所有流量擴(kuò)展擴(kuò)展ACL

40、的配置實例的配置實例1（中興中興）3S0非非網(wǎng)段網(wǎng)段Fei_1/1Fei_2/1acl extend number 101rule 1 deny tcp 55 any eq 23rule 2 permit ip any anyinterface fei_ 2/1ip access-group 101 out擴(kuò)展擴(kuò)展ACL的配置實例的配置實例2（中興中興）3S0v僅拒絕從子網(wǎng)僅拒絕從子網(wǎng) 通過通過 fei_ 2/1口外出的口外出的Telnet v允許其他所有流量允許其他所有流量非非網(wǎng)段網(wǎng)段Fei_1/1Fei_2/1基于時間的基于時間的ACL配置配置（中興中興）（1 1）創(chuàng)建）創(chuàng)建time-rangetime-range列表列表 （2 2）設(shè)置時間段）設(shè)置時間段1 1）配置絕對時間段，）配置絕對時間段， 2 2）配置相對時間段）配置相對時間段ZXR10(config)#time