CCNA 使用访问控制列表过滤流量

©2006CiscoSystems,Inc.Allrightsreserved.CiscoPublicITEIChapter61使用访问控制列表过滤流量介绍企业中的路由和交换–第8章©2006CiscoSystems,Inc.Allrightsreserved.CiscoPublicITE1Chapter62章节目标描述传输过滤并解释访问控制列表（ACL）是如何在路由器接口上过滤传输的.分析通配符掩码的使用.配置并实施ACL.创建并应用ACL控制特定类型的流量.使用日志记录ACL行为，并结合ACL最佳作法.©2006CiscoSystems,Inc.Allrightsreserved.CiscoPublicITE1Chapter63章节索引8.1使用访问控制列表8.2使用通配符掩码8.3配置访问控制列表8.4允许和拒绝指定类型的流量8.5使用访问控制列表控制流量©2006CiscoSystems,Inc.Allrightsreserved.CiscoPublicITEIChapter648.1使用访问控制列表介绍企业中的路由和交换–第8章©2006CiscoSystems,Inc.Allrightsreserved.CiscoPublicITE1Chapter658.1.1流量过滤分析数据包内容允许或拒绝数据包基于源IP，目的IP，MAC地址，协议和应用类型©2006CiscoSystems,Inc.Allrightsreserved.CiscoPublicITE1Chapter668.1.1流量过滤常用流量过滤设备:集成路由器内置的防火墙专用的安全设备服务器©2006CiscoSystems,Inc.Allrightsreserved.CiscoPublicITE1Chapter678.1.2访问控制列表ACL的用途:指定用于执行NAT的内部主机分类流量以便实现QoS功能限制路由更新的内容控制调试输出控制虚拟终端对路由器的访问©2006CiscoSystems,Inc.Allrightsreserved.CiscoPublicITE1Chapter688.1.2访问控制列表使用ACL可能会带来一些问题:路由器上产生额外开销可能导致网络终端放置位置不当可能会引起未知后果©2006CiscoSystems,Inc.Allrightsreserved.CiscoPublicITE1Chapter698.1.3ACL的类型与用法标准ACL标准ACL是三种类型中最简单的一类。创建标准的IPACL时，ACL根据数据包的源IP地址过滤数据包。标准ACL对流量的允许或拒绝是基于整个协议（例如IP）的。因此，如果某台主机设备被标准ACL拒绝访问，则该主机提供的所有服务也会被拒绝访问。.对于允许或拒绝IP流量的访问列表，标识号的范围是1到99和1300到1999.©2006CiscoSystems,Inc.Allrightsreserved.CiscoPublicITE1Chapter6108.1.3ACL的类型与用法扩展ACL扩展ACL不仅可以根据源IP地址过滤，也可根据目的IP地址、协议和端口号过滤流量.扩展ACL的编号范围是100到199和2000到2699.©2006CiscoSystems,Inc.Allrightsreserved.CiscoPublicITE1Chapter6118.1.3ACL的类型与用法命名ACL命名ACL(NACL)是通过描述性名称（而非数字）引用的访问列表，命名ACL既可以是标准格式，也可以是扩展格式。配置命名ACL时，路由器的IOS会使用NACL子命令模式.©2006CiscoSystems,Inc.Allrightsreserved.CiscoPublicITE1Chapter6128.1.4ACL处理方法访问控制列表由一条或多条语句组成至少有一条允许语句ACL的最后一条语句都是隐式拒绝语句在创建访问控制列表之后，必须将其应用到某个接口才可开始生效©2006CiscoSystems,Inc.Allrightsreserved.CiscoPublicITE1Chapter6138.1.4ACL处理方法ACL可以应用为入站或出战方向是相对路由器来说的应用到接口出站方向的ACL不会影响该接口的入站流量.路由器的每个接口的每个协议在每个方向（入站和出站）上都可设置一个ACL©2006CiscoSystems,Inc.Allrightsreserved.CiscoPublicITEIChapter6148.2使用通配符掩码介绍企业中的路由和交换–第8章©2006CiscoSystems,Inc.Allrightsreserved.CiscoPublicITE1Chapter6158.2.1ACL通配符掩码的用途和结构通配符掩码可以通过一条语句阻止某个范围内的地址乃至整个网络通配符掩码使用0表示IP地址中必须完全匹配的部分用1表示IP地址中不必与指定数字匹配的部分©2006CiscoSystems,Inc.Allrightsreserved.CiscoPublicITE1Chapter6168.2.1ACL通配符掩码的用途和结构使用参数host代替通配符掩码0.0.0.0使用参数any代替通配符掩码255.255.255.255©2006CiscoSystems,Inc.Allrightsreserved.CiscoPublicITE1Chapter617所有其它数据包均被ACL隐含的denyany语句拒绝。.8.2.1ACL通配符掩码的用途和结构©2006CiscoSystems,Inc.Allrightsreserved.CiscoPublicITE1Chapter6188.2.2分析通配符掩码的作用在创建ACL时，可以使用两个特殊参数代替通配符掩码，这两个参数分别是：host和any.Host参数要过滤某个特定的主机，请在IP地址后面使用通配符掩码0.0.0.0或者在IP地址前面使用host参数.Any参数要过滤所有主机，可将参数的所有位都设为1，即将通配符掩码配置为255.255.255.255。使用通配符掩码255.255.255.255时，所有比特位均视为匹配，因此，其IP地址通常表示为0.0.0.0。另一种过滤所有主机的方法是使用any参数.©2006CiscoSystems,Inc.Allrightsreserved.CiscoPublicITE1Chapter6198.2.2分析通配符掩码的作用R1(config)#access-list9deny192.168.15.990.0.0.0Isthesameas:R1(config)#access-list9denyhost192.168.15.99R1(config)#access-list9permit0.0.0.0255.255.255.255Isthesameas:R1(config)#access-list9permitany©2006CiscoSystems,Inc.Allrightsreserved.CiscoPublicITE1Chapter6208.2.2分析通配符掩码的作用©2006CiscoSystems,Inc.Allrightsreserved.CiscoPublicITEIChapter6218.3配置访问控制列表介绍企业中的路由和交换–第8章©2006CiscoSystems,Inc.Allrightsreserved.CiscoPublicITE1Chapter6228.3.1标准和扩展ACL的放置步骤1:确定流量过滤需求步骤2:确定使用哪种类型ACL标准ACL只能根据源地址过滤流量，不能根据流量的类型或目的地址过滤流量。在多网络环境中，如果标准ACL离源地址太近，则可能会意外地阻止本应允许的流量。因此，务必将标准ACL尽量靠近目的地址.©2006CiscoSystems,Inc.Allrightsreserved.CiscoPublicITE1Chapter6238.3.1标准和扩展ACL的放置扩展ACL能够提供更强大的控制功能。扩展ACL可以根据源地址和目的地址过滤流量。如有必要，它们还可根据网络层协议、传输层协议和端口号过滤.扩展ACL应靠近源地址放置。©2006CiscoSystems,Inc.Allrightsreserved.CiscoPublicITE1Chapter6248.3.1标准和扩展ACL的放置步骤3:确定要应用ACL的路由器和接口步骤4:确定要过滤的流量方向入站流量是指从外部进入路由器接口的流量。路由器会在路由表中查询目的网络之前先将传入数据包与ACL进行比较。此时丢弃数据包可以节约路由查询的开销。因此，对路由器来说，入站访问控制列表的效率比出站访问列表更高。.出站流量系指路由器内部通过某个接口离开路由器的流量。对于出站数据包，路由器已经完成路由表查询并且已将数据包转发到正确的接口中。因此，只需在数据包离开路由器之前将其与ACL进行比较。©2006CiscoSystems,Inc.Allrightsreserved.CiscoPublicITE1Chapter6258.3.2基本的ACL配置过程每个ACL都需要有一个唯一的标识符。该标识符可以是一个数字，也可以是一个描述性名称.在用数字标识的访问控制列表中，数字标识所建ACL的类型:标准IPACL:1-99,1300-1999.扩展IPACL:100-199,2000-2699.©2006CiscoSystems,Inc.Allrightsreserved.CiscoPublicITE1Chapter6268.3.2基本的ACL配置过程访问控制列表的配置分两步：创建和应用.ACL的创建标准ACL语句的语法如下:access-list[access-list-number][deny|permit][sourceaddress][source-wildcard][log]使用remark命令记录ACL中每段或每条语句的功能:access-list[listnumber]remark[text]要删除ACL，请使用以下命令:noaccess-list[listnumber]©2006CiscoSystems,Inc.Allrightsreserved.CiscoPublicITE1Chapter6278.3.3配置采用数字编号的标准ACLACL的应用将ACL指派到一个或多个接口，指定是入站流量还是出站流量。尽可能靠近目的地址应用标准ACL.R2(config-if)#ipaccess-groupaccesslistnumber[in|out]ACL应用到接口上的默认方向是出站.要从接口中删除ACL而不破坏ACL，请使用noipaccess-groupinterface命令.©2006CiscoSystems,Inc.Allrightsreserved.CiscoPublicITE1Chapter6288.3.3配置采用数字编号的标准ACLshowipinterface©2006CiscoSystems,Inc.Allrightsreserved.CiscoPublicITE1Chapter6298.3.3配置采用数字编号的标准ACLshowaccess-list[accesslistnumber]showrunning-config©2006CiscoSystems,Inc.Allrightsreserved.CiscoPublicITE1Chapter6308.3.4配置采用数字编号的扩展ACL使用access-list命令键入语句所有语句使用同一个数字数字范围:100-199,2000-2699确定要允许或拒绝的协议尽可能靠近源放置©2006CiscoSystems,Inc.Allri