桥接课程-网络方向-chap05-v1.0

BENET3.0第二学期课程第五章访问控制列表（ACL）——理论部分本资料由-大学生创业|创业|创业网提供资料在线代理|网页代理|代理网页|减肥药排行榜|淘宝最好的减肥药|什么减肥药效果最好|减肥瘦身药|的区别？HSRP的工作原理？HSRP中占先权与端口跟踪的含义？2本资料由-大学生创业|创业|创业网提供资料在线代理|网页代理|代理网页|减肥药排行榜|淘宝最好的减肥药|什么减肥药效果最好|减肥瘦身药|本资料由-大学生创业|创业|创业网提供资料在线代理|网页代理|代理网页|减肥药排行榜|淘宝最好的减肥药|什么减肥药效果最好|减肥瘦身药|访问控制列表概述访问控制列表（ACL）读取第三层、第四层包头信息根据预先定义好的规则对包进行过滤IP报头TCP报头数据源地址目的地址源端口目的端口访问控制列表利用这4个元素定义的规则5访问控制列表的工作原理访问控制列表在接口应用的方向访问控制列表的处理过程拒绝允许允许允许到达访问控制组接口的数据包匹配第一条目的接口隐含的拒绝丢弃YYYYYYNNN匹配下一条拒绝拒绝拒绝匹配下一条6访问控制列表类型标准访问控制列表扩展访问控制列表命名访问控制列表定时访问控制列表7标准访问控制列表配置3-1创建ACLRouter(config)#access-listaccess-list-number{permit|deny}source[source-wildcard]删除ACLRouter(config)#noaccess-listaccess-list-number允许数据包通过应用了访问控制列表的接口拒绝数据包通过8标准访问控制列表配置3-2应用实例Router(config)#access-list1permit192.168.1.00.0.0.255Router(config)#access-list1permit192.168.2.20.0.0.0允许192.168.1.0/24和主机192.168.2.2的流量通过隐含的拒绝语句Router(config)#access-list1deny0.0.0.0255.255.255.255关键字hostany9标准访问控制列表配置3-3将ACL应用于接口Router(config-if)#ipaccess-groupaccess-list-number{in|out}在接口上取消ACL的应用Router(config-if)#noipaccess-groupaccess-list-number{in|out}10标准访问控制列表配置实例需求描述禁止主机PC1与主机PC2互访，允许所有其他的流量在哪个接口应用标准ACL应用在入方向还是出方向应用在哪台路由器192.168.1.1/24.192.168.3.1/24R1PC1F0/0F0/0F0/0R2R3PC2192.168.2.0/24R3(config)#access-list1denyhost192.168.1.1R3(config)#access-list1permitanyR3(config)#intf0/0R3(config-if)#ipaccess-group1inR3#showaccess-listsStandardIPaccesslist110deny192.168.1.120permitany教员演示操作过程11扩展访问控制列表配置2-1创建ACLRouter(config)#access-listaccess-list-number{permit|deny}protocol{sourcesource-wildcarddestinationdestination-wildcard}[operatoroperan]删除ACLRouter(config)#noaccess-listaccess-list-number将ACL应用于接口Router(config-if)#ipaccess-groupaccess-list-number{in|out}在接口上取消ACL的应用Router(config-if)#noipaccess-groupaccess-list-number{in|out}12扩展访问控制列表配置2-2应用实例1Router(config)#access-list101permitip192.168.1.00.0.0.255192.168.2.00.0.0.255Router(config)#access-list101denyipanyany应用实例2Router(config)#access-list101denytcp192.168.1.00.0.0.255host192.168.2.2eq21Router(config)#access-list101permitipanyany应用实例3Router(config)#access-list101denyicmp192.168.1.00.0.0.255host192.168.2.2echoRouter(config)#access-list101permitipanyany13扩展访问控制列表配置实例需求描述允许PC1访问Web服务器的教员演示操作过程14命名访问控制列表配置5-1创建ACLRouter(config)#ipaccess-list{standard|extended}access-list-name配置标准命名ACLRouter(config-std-nacl)#[Sequence-Number]{permit|deny}source[source-wildcard]配置扩展命名ACLRouter(config-ext-nacl)#[Sequence-Number]{permit|deny}protocol{sourcesource-wildcarddestinationdestination-wildcard}[operatoroperan]标准命名ACL扩展命名ACLSequence-Number决定ACL语句在ACL列表中的位置15命名访问控制列表配置5-2标准命名ACL应用实例查看ACL配置信息Router#showaccess-listsStandardIPaccesslistcisco10permit192.168.1.120denyanyRouter(config)#ipaccess-liststandardciscoRouter(config-std-nacl)#permithost192.168.1.1Router(config-std-nacl)#denyany允许来自主机192.168.1.1/24的流量通过更改ACL,又允许来自主机192.168.2.1/24的流量通过Router(config)#ipaccess-liststandardciscoRouter(config-std-nacl)#15permithost192.168.2.1Router#showaccess-listsStandardIPaccesslistcisco10permit192.168.1.115permit192.168.2.120denyany添加序列号为15的ACL语句ACL语句添加到了指定的ACL列表位置教员演示操作过程16命名访问控制列表配置5-3扩展命名ACL应用实例Router(config)#ipaccess-listextendedciscoRouter(config-ext-nacl)#denytcp192.168.1.00.0.0.255host192.168.2.2eq21Router(config-ext-nacl)#permitipanyany17命名访问控制列表配置5-4删除整组ACLRouter(config)#noipaccess-list{standard|extended}access-list-name删除组中单一ACL语句noSequence-NumbernoACL语句创建ACLRouter(config)#ipaccess-liststandardciscoRouter(config-std-nacl)#permithost192.168.1.1Router(config-std-nacl)#endRouter#showaccess-listsStandardIPaccesslistcisco10permit192.168.1.1删除组中单一ACL语句Router(config-std-nacl)#no10或Router(config-std-nacl)#nopermithost192.168.1.118命名访问控制列表配置5-5将ACL应用于接口Router(config-if)#ipaccess-groupaccess-list-name{in|out}在接口上取消ACL的应用Router(config-if)#noipaccess-groupaccess-list-name{in|out}19命名访问控制列表配置实例公司添加服务器，要求如下192.168.1.4～192.168.1.7可以访问服务器192.168.1.0/24中除上述地址外都不能访问服务器其他公司网段都可以访问服务器公司人员调整，更改服务器访问权限不允许192.168.1.5和192.168.1.7主机访问服务器允许192.168.1.10主机访问服务器教员演示操作过程20定义时间范围定义时间范围的名称Router(config)#time-rangetime-range-name指定该时间范围何时生效定义一个时间周期Router(config-time-range)#periodicdays-of-the-weekhh:mmto[days-of-the-week]hh:mm定义一个绝对时间Router(config-time-range)#absolute[starthh:mmdaymonthyear][endhh:mmdaymonthyear]参数days-of-the-week的取值取值说明Monday星期一Tuesday星期二Wednesday星期三Thursday星期四Friday星期五Saturday星期六Sunday星期日daily每天weekdays在平日(指星期一至星期五)weekend周末（指星期六和星期日）21定时访问控制列表配置2-1扩展ACL中引入时间范围Router(config)#access-listaccess-list-number{permit|deny}protocol{sourcesource-wildcarddestinationdestination-wildcard}[operatoroperan]time-rangetime-range-name将ACL应用于接口Router(config-if)#ipac