标准ACL

中小企业网漳州职业技术学院计算机系标准访问控制列表中小企业网漳州职业技术学院计算机系任务•在上图所示路由器R1和R2上设置访问控制列表，使得网络10.1.3.0/24的数据能够到达网络10.1.1.0/24，但是10.1.4.0/24的数据到达不了10.1.1.0/24。F0/0.1s0/0.1F0/0.1F0/1.1s0/0.210.1.2.0/2410.1.1.0/2410.1.3.0/2410.1.4.0/24PC1:2PC2:2PC3:2R1R2中小企业网漳州职业技术学院计算机系R1上的配置•定义访问控制列表R2(config)#access-list1permit10.1.3.00.0.0.255R2(config)#access-list1deny10.1.4.00.0.0.255•将列表应用到某一接口上R2(config)#interfacef0/0//选择绑定的接口R2(config-if)#ipaccess-group1out中小企业网漳州职业技术学院计算机系access-list1permit10.1.3.00.0.0.255ipaccess-group1out1：access-list-number，访问控制列表编号Permit/deny：允许或拒绝10.1.3.00.0.0.255：匹配条件in/out：从路由器接口进/出中小企业网漳州职业技术学院计算机系配置IP访问列表•访问控制列表ACL（AccessControlList）•在路由器、三层交换机上进行网络安全属性配置，可以实现对进入到路由器、三层交换机的输入数据流进行过滤中小企业网漳州职业技术学院计算机系访问控制列表•访问控制列表（accesscontrollists），也称为访问列表（accesslists），在有的文档中还称之为包过滤（packet-filter），是通过定义一些准则对经过路由器接口上的数据报文进行控制：转发或丢弃。•基本访问控制列表–包括标准访问控制列表–和扩展访问控制列表•高级访问控制列表（动态访问控制列表）中小企业网漳州职业技术学院计算机系访问控制列表•为什么要配置访问列表–限制路由更新–限制网络访问•什么时候配置访问列表•访问列表编号–列表要指定一个唯一的名称或编号，以便在协议内部能够唯一标识每个访问列表–标准编号为：1-99–扩展编号为：100-199中小企业网漳州职业技术学院计算机系基本访问控制列表配置准则1基本准则•典型准则主要有以下：–源地址–目标地址–上层协议•标准IP访问列表（1－99）主要是根据源地址来进行转发或阻断分组的，扩展IP访问列表（100－199）使用以上三种组合来进行转发或阻断分组的。中小企业网漳州职业技术学院计算机系基本访问控制列表配置准则2、隐含“拒绝所有数据流”准则语句典型准则在每个访问列表的末尾隐含着一条“拒绝所有数据流”准则语句，因此如果分组与任何准则都不匹配，将被拒绝。3、输入准则语句的顺序–加入的每条准则都被追加到访问列表的最后，语句被创建以后，就无法单独删除它，而只能删除整个访问列表。所以访问列表语句的次序非常重要。路由器在决定转发还是阻断分组时，路由器按语句创建的次序将分组与语句进行比较，找到匹配的语句后，便不再检查其他准则语句。–假设创建了一条语句，它允许所有的数据流通过，则后面的语句将不被检查。中小企业网漳州职业技术学院计算机系垃圾桶中小企业网漳州职业技术学院计算机系ACL的类型1.IP标准访问控制列表（StandardIPACL）2.IP扩展访问控制列表（ExtendedIPACL）•主要动作为允许（Permit）和禁止（Deny）•主要应用方法是入栈（In）和出栈（Out）•ACL命令中的反掩码反掩码与子网掩码算法相似，但写法不同，区别是：反掩码中，0表示需要比较，1表示不需要比较。对于：0.0.0.255只比较前24位0.0.3.255只比较前22位中小企业网漳州职业技术学院计算机系IP标准访问控制列表StandardIPACLAccess-listlist-number{permit|deny}address[wildcard–mask]•其中：list-number是规则序号，标准访问控制列表（StandardIPACL）的规则序号范围是1-99；•Permit和deny表示允许或禁止满足该规则的数据包通过；•Address是源地址IP；•wildcard–mask是源地址IP的通配符掩码，也称反掩码。中小企业网漳州职业技术学院计算机系IP标准访问控制列表例如：(config)#access-list1permit172.16.0.00.0.255.255(config)#access-list2deny0.0.0.0255.255.255.255源地址TCP/UDP数据IP中小企业网漳州职业技术学院计算机系任务•在上图所示路由器R1和R2上设置访问控制列表，使得PC2的数据能够到达PC1，但是PC3的数据到达不了PC1。F0/0.1s0/0.1F0/0.1s0/0.210.1.2.0/2410.1.1.0/2410.1.3.0/24PC1:2PC2:2PC3:3R1R2中小企业网漳州职业技术学院计算机系R1上的配置•定义访问控制列表R2(config)#access-list1permit10.1.3.20.0.0.0R2(config)#access-list1deny10.1.3.30.0.0.0•将列表应用到某一接口上R2(config)#interfacef0/0//选择绑定的接口R2(config-if)#ipaccess-group1out0.0.0.0:通配符为全0时表示,IP地址32位要完全匹配,即表示某一台主机。可以用以下命令来代替access-list1permithost10.1.3.2中小企业网漳州职业技术学院计算机系任务•在上图所示路由器R1和R2上设置访问控制列表，使得任意网络的数据都能到达网络10.1.1.0/24。F0/0.1s0/0.1F0/0.1s0/0.210.1.2.0/2410.1.1.0/2410.1.3.0/24PC1:2PC2:2PC3:3R1R2中小企业网漳州职业技术学院计算机系R1上的配置•定义访问控制列表R2(config)#access-list1permit0.0.0.0255.255.255.255•将列表应用到某一接口上R2(config)#interfacef0/0//选择绑定的接口R2(config-if)#ipaccess-group1out255.255.255.255:通配符为全1时表示,IP地址32位d都不需要匹配,即表示任意数据。可以用以下命令来代替access-list1permitany