路由交换技术与应用项目化教程 教学课件 作者 孙秀英 ACL原理及配置.ppt

《路由交换技术与应用项目化教程 教学课件 作者 孙秀英 ACL原理及配置.ppt》由会员上传分享，免费在线阅读，更多相关内容在教育资源-天天文库。

1、访问控制列表ACL本章学习目标经过本章的学习，你可以获得：理解ACL的概念及其作用掌握ACL的工作原理和过程掌握ACL的基本配置，实现对数据流的控制231ACL基本原理内容提要45ACL的配置ACL的概念与作用ACL的分类ACL的规则ACL（访问控制列表）定义：ACL是一种对经过路由器的数据进行判断、分类的方法。常见的ACL的应用是将ACL应用到接口上。其主要作用是根据数据包与数据段的特征来进行判断，决定是否允许数据包通过路由器转发，其主要目的是对数据流量进行管理和控制。如果不使用ACL，路由器无法对流量

2、进行限制。ACL可以作为一个通用的数据流量的判别标准被应用在不同场合。一、ACL的概念与作用ACL可以限制网络流量，提高网络性能ACL提供对通信流量的控制手段ACL是提供网络安全访问的基本手段ACL可以在端口处决定哪种类型的通信流量被转发或阻塞ACL的作用132ACL基本原理内容提要45ACL的配置ACL的概念与作用ACL的分类ACL的规则二、ACL工作原理ACL应用于接口时，方向：IN：进入接口，当访问控制列表被用于检测从接口输入的数据包时，包在进入路由器之前要经过访问控制列表的处理。OUT：外出接口，

3、当访问控制列表被用于检测从接口输出的数据包，包在从该路由器端口输出之前要经过访问控制列表的处理。1、ACL的方向对每个接口，同一方向只能应用一个ACL否是丢弃处理选择出接口否ACL?路由表?数据包出接口2、ACL工作流程（出端口为例）数据包入接口数据包出接口否是丢弃处理选择接口路由表?否ACL匹配控制允许?是2、ACL工作流程（出端口为例）续ACL?是数据包入接口数据包出接口否是丢弃处理选择接口路由表?否ACL匹配控制允许?是2、ACL工作流程（出端口为例）续ACL?是数据包入接口否3、ACL语句内部处理

4、过程ACL内部处理具体过程：丢弃处理是目的接口拒绝拒绝是匹配第一条规则?允许3、ACL语句内部处理过程（续）ACL内部处理具体过程：丢弃处理是目的接口是匹配第一条规则?否下一条?是是拒绝拒绝拒绝允许允许3、ACL语句内部处理过程（续）ACL内部处理具体过程：丢弃处理是目的接口是匹配第一条规则?否匹配下一条?匹配最后一条?是是否是是拒绝拒绝拒绝拒绝允许允许允许3、ACL语句内部处理过程（续）ACL内部处理具体过程：丢弃处理是目的接口是匹配第一条规则?否匹配下一条?匹配最后一条?是是否是是**说明：当ACL的

5、最后一条不匹配时，系统使用隐含的“丢弃全部”进行处理！拒绝拒绝拒绝拒绝允许允许允许否123ACL基本原理内容提要45ACL的配置ACL的概念与作用ACL的分类ACL的规则标准ACL仅以源IP地址作为过滤标准只能粗略的限制某一大类协议标识：1~99扩展ACL以源IP地址、目的IP地址、源端口号、目的端口号、协议号作为过滤标准，可以精确的限制到某一种具体的协议标识：100~199三、ACL的分类标准与扩展ACL的比较标准ACL扩展ACL基于源地址过滤.允许/拒绝整个TCP/IP协簇.指定特定的IP协议和协议号

6、范围从100到199.范围从1到99基于五元组过滤.目的IP地址源IP地址协议号目的端口段(如TCP报头)数据数据包(IP报头)帧报头(如HDLC)使用ACL检测数据包拒绝允许ACL的判别依据－五元组源端口134内容提要25ACL的配置ACL的概念与作用ACL的分类ACL的规则ACL基本原理四、ACL的规则总结按照由上到下的顺序执行，找到第一个匹配后既执行相应的操作（然后跳出ACL）每条ACL的末尾隐含一条denyany的规则ACL可应用于某个具体的IP接口的出方向或入方向ACL可应用于系统的某种特定的服

7、务（如针对设备的TELNET）在引用ACL之前，要首先创建好ACL对于一个协议，一个接口的一个方向上同一时间内只能设置一个ACL135内容提要42ACL的配置ACL的概念与作用ACL的分类ACL的规则ACL基本原理1:设置判断标准语句(一个ACL可由多个语句组成)ACL配置步骤2:将ACL应用到接口上号码范围IPACL类型1-99100-199StandardExtended标准ACL(1to99)根据源IP地址对数据包进行控制扩展ACL(100to199)判别依据包括源/目的地址,协议类型,源/目的端口

8、号ACL号码范围通配符的作用0代表对应位必须与前面的地址相应位一致1代表对应位可以是任意值忽略所有比特位=001111111286432168421=00000000=00001111=11111100=11111111忽略最后六个比特位匹配所有比特位忽略最后四个比特位匹配最后两个比特位例子匹配条件:匹配所有32位地址----主机地址172.30.16.290.0.0.0(匹配所有32位)通配符:匹配特定主机地址？0.0.0.