搜索
第九章ACL列表及其实现2011-11提纲•访问控制列表的工作原理•访问控制列表的分类和语法格式•实现访问控制访问控制列表的工作原理•允许Vlan10Vlan20允许VLAN10网段通过不允许VLAN20网段通过标准列表1引用列表1,在数据进入设备时检查1、数据包从VLAN10端口进入等待转发2、比较数据的源IP地址是否落在列表中Vlan10网段。。。3、根据匹配项对应的动作处理数据访问控制列表的工作原理•拒绝Vlan10Vlan20允许VLAN10网段通过不允许VLAN20网段通过标准列表1引用列表1,在数据进入设备时检查1、数据包从VLAN20端口进入等待转发2、比较数据的源IP地址是否落在列表中3、根据匹配项对应的动作处理数据Vlan20网段。。。访问控制列表流程路由表中有路由?选择出接口访问列表?查询访问列表条目允许?YYYNNN标准访问列表帧头IP头TCP头数据依序察看数据包源地址与标准列表项是否匹配YN允许?拒绝?下一个到最后一条仍无匹配项则按默认动作执行地址3允许地址1允许地址2允许地址3允许地址4不允许地址5不允许地址6不允许地址7默认拒绝所有地址7地址8课堂实验——标准列表甲10.1.1.10乙10.1.2.10丙10.1.2.10交换机的ACL只能在物理接口的入口方向实施此例中如想控制甲乙之间的访问,其他访问不控制能否实现?如何实现?如果只想控制甲,而对甲所在网段其他地址不予控制,能否实现,如何实现?常见操作任务•标准列表定义•标准列表实施–全局启用firewall功能–设置默认动作–接口引用已定义列表扩展访问列表帧头IP头TCP/UDP头数据依序察看数据包源和目的地址以及协议号、源和目的端口与扩展列表项是否匹配YN允许?拒绝?下一个到最后一条仍无匹配项则按默认动作执行扩展访问列表查询匹配过程地址3允许地址1到所有目的的访问允许地址2到所有目的的访问允许地址3—地址7的tcp80访问不允许地址3—所有目的的访问允许地址4到所有目的地的访问不允许地址5所有目的地的访问不允许地址6所有目的地的访问不允许地址7—地址n的80访问允许地址7—所有目的地的访问默认拒绝所有地址7地址8地址7地址3地址7TCP80TCP23地址nTCP80。。。。。。课堂实验——扩展列表甲10.1.1.10乙10.1.2.10丙10.1.2.10此例中如想控制甲乙之间的访问,其他访问不控制能否实现?如何实现?课堂实验——单向控制•单向访问控制–在PC1与PC2可互通的前提下,在交换机中定义一个访问控制列表,内容是不允许PC1到PC2的ICMPecho报文通过,其他所有报文都可以通过,将它应用到PC1端交换机逻辑端口的入方向,可以实现怎样的单向访问控制?PC1PC2思考与练习–上述列表还可以放在哪个端口的什么方向上实现相同的目标?–删除原来的列表,在交换机中再定义一个扩展访问控制列表,内容是不允许PC1到PC2的ICMPecho-reply报文通过,其他所有报文都可以通过,将它应用到PC1端交换机端口的入方向,可以实现怎样的单向访问控制?–这个列表还可以放在哪个端口的什么方向上实现相同的目标?–还可以怎样定义列表和应用列表实现上面的两种单向访问控制?注意点•需要注意的是:–列表的顺序是相当重要的–注意列表的相互影响–默认每个列表后都由一个“denyall”–将访问控制列表应用到接口上–指明在接口上是OUT还是IN方向本章小结•标准访问控制列表•扩展访问控制列表•单向访问控制的实施思路如何?•交换机逻辑端口的ACL实现