第8章 擴展訪問控制列表ACL

訪問控制列表（ACL）擴展ACL編輯ppt學(xué)習(xí)目標通過擴展ACL的學(xué)習(xí)，掌握ACL的應(yīng)用編輯ppt擴展訪問列表擴展ACL提供了比標準ACL更大范圍的控制，擴展ACL可以檢查源地址和目標地址，特定的協(xié)議，端口號，以及其它的參數(shù)。與標準ACL對比：只過濾源地址（如：E0和E1端口只允許來自于網(wǎng)絡(luò)的數(shù)據(jù)報被轉(zhuǎn)發(fā)，其余的將被阻止。）3E0S0E1Non-編輯ppt擴展ACL配置完全形式的access-list命令為：Router(config)#access-list

access_list_number

{permit|deny}

protocolsource[source_mask

destination

destination_maskoperatoroperand

[established]

Router(config-if)#{protocol}

access-group

access_list_number

{in|out}

編輯pptRouter(config)#access-list表號permit|deny協(xié)議源地址通配符掩碼目的地址通配符掩碼[運算符端口號]其中：協(xié)議有TCP、IP等運算符有：eq、lt（小于）、gt（大于）、neq（不等于）端口號有：20或21，表示ftp23，表示telnet25，表示smtp53，表示dns69，表示tftp80，表示www

Ipaccess-group表號{in|out}其中，in表示流入端口，out表示流出端口編輯ppt擴展ACL舉例以下圖的結(jié)構(gòu)為例，介紹擴展ACL的使用。實例1：在E0端口，禁止轉(zhuǎn)出來自子網(wǎng)的FTP數(shù)據(jù)流到子網(wǎng)，其它的數(shù)據(jù)流將被轉(zhuǎn)發(fā)。實例2：在E0端口，禁止轉(zhuǎn)出來自子網(wǎng)的Telnet數(shù)據(jù)流，其它的數(shù)據(jù)流將被轉(zhuǎn)發(fā)。3E0S0E1Non-編輯ppt實例1：禁止轉(zhuǎn)出FTP數(shù)據(jù)在E0端口，禁止轉(zhuǎn)出來自子網(wǎng)的FTP數(shù)據(jù)流到子網(wǎng)，其它的數(shù)據(jù)流將被轉(zhuǎn)發(fā)。第一個ACL命令用“deny”禁止來自子網(wǎng)的FTP-DATA（port=20）數(shù)據(jù)流到子網(wǎng)。第二個ACL命令用“deny”禁止來自子網(wǎng)的FTP（port=21）數(shù)據(jù)流到子網(wǎng)。第三個ACL命令表示允許任何的數(shù)據(jù)流。最后將此ACL101關(guān)聯(lián)到端口E0。access-list101denytcp5555eq21access-list101denytcp5555eq20access-list101permitipanyany(implicitdenyall)(access-list101denyip5555)interfaceethernet0ipaccess-group101out編輯ppt實例2：禁止轉(zhuǎn)出Telnet數(shù)據(jù)在E0端口，禁止轉(zhuǎn)出來自子網(wǎng)的Telnet數(shù)據(jù)流，其它的數(shù)據(jù)流將被轉(zhuǎn)發(fā)。第一個ACL命令用“deny”禁止來自子網(wǎng)的Telnet(port=23)數(shù)據(jù)流。第二個ACL命令表示允許任何的數(shù)據(jù)流。最后將此ACL101關(guān)聯(lián)到端口E0。access-list101denytcp55anyeq23access-list101permitipanyany(implicitdenyall)interfaceethernet0ipaccess-group101out編輯ppt編輯ppt訪問控制列表舉例

以我系實驗室為例

1、屏蔽網(wǎng)站

2、限制服務(wù)編輯ppt課外思考1、訪問控制列表的