访问控制列表.pptx

访问控制列表 学习完本课程,您应该能够:理解访问控制列表的基本原理学习目标 IP包过滤技术介绍对路由器需要转发的数据包,先获取包头信息,然后和设定的规则进行比较,依照比较的结果对数据包进行转发或者丢弃。而实现包过滤的核心技术是访问控制列表。Internet公司总部内部网络未授权用户办事处 访问控制列表的作用访问控制列表能够用于防火墙;访问控制列表能够用于Qos(Quality of Service),对数据流量进行控制;在DCC中,访问控制列表还可用来规定触发拨号的条件;访问控制列表还能够用于地址转换;在配置路由策略时,能够利用访问控制列表来作路由信息的过滤。 访问控制列表是什么？一个IP数据包如下图所示(图中IP所承载的上层协议为TCP/UDP):IP报头TCP/UDP报头数据协议号源地址目的地址源端口目的端口对于TCP/UDP来说，这5个元素组成了一个TCP/UDP相关，访问控制列表就是利用这些元素定义的规则 如何标识访问控制列表？利用数字标识访问控制列表利用数字范围标识访问控制列表的种类列表的种类数字标识的范围IP standard list2000-2999IP extended list3000-3999 标准访问控制列表标准访问控制列表只使用源地址描述数据,表明是允许依然拒绝。从/24来的数据包可以通过！从/24来的数据包不能通过！路由器 标准访问控制列表的配置配置标准访问列表的命令格式如下:acl acl-number [ match-order auto | config ]rule { normal | special }{ permit | deny } [source source-addr source-wildcard | any ]如何利用 IP 地址 和 反掩码wildcard-mask 来表示一个网段? 如何使用反掩码反掩码和子网掩码相似,但写法不同:0表示需要比较1表示忽略比较反掩码和IP地址结合使用,能够描述一个地址范围。000255只比较前24位003255只比较前22位0255255255只比较前8位 扩展访问控制列表扩展访问控制列表使用除源地址外更多的信息描述数据包,表明是允许依然拒绝。从/24来的,到0的，使用TCP协议，利用HTTP访问的数据包可以通过！路由器 扩展访问控制列表的配置命令配置TCP/UDP协议的扩展访问列表:rule { normal | special }{ permit | deny } { tcp | udp } [source source-addr source-wildcard | any ] [source-port operator port1 [ port2 ] ] [ destination dest-addr dest- wildcard | any ] [destination-port operator port1 [ port2 ] ] [logging]配置ICMP协议的扩展访问列表:rule { normal | special }{ permit | deny } icmp [source source-addr source-wildcard | any ] [ destination dest-addr dest- wildcard | any ] [icmp-type icmp-type icmp-code] [logging]配置其它协议的扩展访问列表:rule { normal | special }{ permit | deny } { ip | ospf | igmp | gre } [source source-addr source-wildcard | any ] [ destination dest-addr dest- wildcard | any ] [logging] 扩展访问控制列表操作符的含义操作符及语法意义equal portnumber等于端口号 portnumbergreater-than portnumber大于端口号portnumberless-than portnumber小于端口号portnumbernot-equal portnumber不等于端口号portnumber rangeportnumber1 portnumber2介于端口号portnumber1 和portnumber2之间 扩展访问控制列表举例rule deny icmp source 10、1、0、0 0、0、255、255 destination any icmp-type host-redirectrule deny tcp source 129、9、0、0