2015内蒙古职校交换机、路由器配置与管理课件：第7章 访问控制列表01.ppt

第7章访问列表
访问列表概述
访问列表由一系列语句组成,这些语句主要包括匹配条件和采取的动作(允许或禁止)两个部分
访问列表应用在路由器的接口上,通过匹配数据包信息与访问列表参数来决定允许还是拒绝数据包通过某个接口。
数据包是通过还是拒绝,主要通过数据包中的源地址、目的地址、源端口、目的端口、协议等信息来决定。
访问列表的功能
控制网络流量,提高网络性能
控制用户网络行为
控制网络病毒的传播
访问列表类型
访问列表可分为标准IP访问列表和扩展IP访问列表。
标准访问列表:其只检查数据包的源地址,从而允许或拒绝基于网络、子网或主机的IP地址的所有通信流量通过路由器的出口。
扩展IP访问列表:它不仅检查数据包的源地址,还要检查数据包的目的地址、特定协议类型、源端口号、目的端口号等
ACL的相关特性
每一个接口可以在进入(inbound)和离开(outbound)两个方向上分别应用一个ACL,且每个方向上只能应用一个ACL。
ACL语句包括两个动作:拒绝(deny)和允许(permit)
数据包进入路由器时,进入方向(In方向)的ACL起作用。
数据包离开路由器时,出方向(Out方向)的ACL起作用
每个ACL列表结尾有一个隐含的“拒绝的所有数据包(deny any)”的语句
ACL转发的过程
IP地址与通配符掩码的作用规
32位的IP地址与32位的通配符掩码逐位进行比较,通配符掩码为0的位要求IP地址的对应位必须匹配,通配符掩码为1的位所对应的IP地址位不必匹配
例:
IP地址为 ,:
11000000 10101000 00000001 00000000
00000000 00000000 00000000 11111111
检查的地址范围为:~
通配符掩码示例
通配符掩码掩码的两种特殊形式
host表示一台主机,

any表示所有主机,

访问列表配置步骤
第一步是配置访问列表语句
第二步是把配置好的访问列表应用到某个端口上