網(wǎng)絡(luò)設(shè)備配置與調(diào)試項(xiàng)目實(shí)訓(xùn)項(xiàng)目8.2標(biāo)準(zhǔn)ACL配置課件

1、項(xiàng)目八 局域網(wǎng)安全與管理 模塊8.2 標(biāo)準(zhǔn)ACL配置模塊8.2 標(biāo)準(zhǔn)ACL配置內(nèi)容簡(jiǎn)介描述標(biāo)準(zhǔn)ACL的相關(guān)知識(shí)和技能訓(xùn)練，重點(diǎn)是ACL工作原理及配置步驟等。23知識(shí)目標(biāo)、技能點(diǎn)能夠描述標(biāo)準(zhǔn)ACL特性及工作過程；掌握標(biāo)準(zhǔn)ACL配置技能。模塊8.2 標(biāo)準(zhǔn)ACL配置48.2.1 問題提出 作為網(wǎng)絡(luò)管理員，一方面要做好網(wǎng)絡(luò)的日常維護(hù)工作，保證網(wǎng)絡(luò)時(shí)刻暢通；另一方面還要確保網(wǎng)絡(luò)安全。網(wǎng)絡(luò)安全除了要考慮接入安全外，還要考慮如何實(shí)行部門之間的安全訪問，使一些部門之間可以訪問，另一些部門之間不能訪問。模塊8.2 標(biāo)準(zhǔn)ACL配置8.2.2 相關(guān)知識(shí)1ACL概述 1）ACL定義 ACL（Access Contro

2、l Lists）是指應(yīng)用到路由器或三層交換機(jī)接口上的指令列表，通常稱為訪問控制列表ACL。ACL根據(jù)定義的一系列規(guī)則過濾數(shù)據(jù)報(bào)，即允許或拒絕數(shù)據(jù)報(bào)通過接口。5模塊8.2 標(biāo)準(zhǔn)ACL配置6模塊8.2 標(biāo)準(zhǔn)ACL配置7模塊8.2 標(biāo)準(zhǔn)ACL配置2）ACL工作流程 ACL是由一系列規(guī)則語句構(gòu)成，其中每條規(guī)則語句都包含條件及執(zhí)行的操作。ACL從第1條語句開始比較，如果條件符合，按指定操作執(zhí)行；如果條件不符合，查詢下一條。 如果所有語句都不符合條件，則拒絕數(shù)據(jù)報(bào)通過。8模塊8.2 標(biāo)準(zhǔn)ACL配置93）ACL應(yīng)用（1）輸入端口應(yīng)用ACL（2）輸出端口應(yīng)用ACL模塊8.2 標(biāo)準(zhǔn)ACL配置10模塊8.2 標(biāo)準(zhǔn)

3、ACL配置入口ACL工作流程11模塊8.2 標(biāo)準(zhǔn)ACL配置出口ACL工作流程122標(biāo)準(zhǔn)ACL概述 1）標(biāo)準(zhǔn)ACL定義標(biāo)準(zhǔn)ACL是指根據(jù)數(shù)據(jù)包中的源IP地址定義一系列規(guī)則來過濾數(shù)據(jù)包的ACL。模塊8.2 標(biāo)準(zhǔn)ACL配置132）標(biāo)準(zhǔn)ACL規(guī)則（1）依據(jù)源IP地址進(jìn)行過濾標(biāo)準(zhǔn)ACL是通過定義數(shù)據(jù)報(bào)中的源IP地址范圍，在范圍內(nèi)的數(shù)據(jù)包允許或拒絕通過，實(shí)現(xiàn)對(duì)數(shù)據(jù)包的過濾。模塊8.2 標(biāo)準(zhǔn)ACL配置14模塊8.2 標(biāo)準(zhǔn)ACL配置15（2）從上至下的檢測(cè)順序 執(zhí)行ACL時(shí)從上至下開始，上面第1條語句最先檢測(cè)，下面最后一條語句最后檢測(cè)。當(dāng)某一條語句符合檢測(cè)條件時(shí)，則執(zhí)行該語句的操作（允許或拒絕），不再檢測(cè)后續(xù)

4、語句；不符合條件時(shí)則繼續(xù)檢測(cè)下一條語句，直到最后一條語句。 若最后一條語句也不符合條件則丟棄該數(shù)據(jù)報(bào)。模塊8.2 標(biāo)準(zhǔn)ACL配置16模塊8.2 標(biāo)準(zhǔn)ACL配置17模塊8.2 標(biāo)準(zhǔn)ACL配置（3）最后隱藏一條拒絕所有數(shù)據(jù)報(bào)的語句 當(dāng)檢測(cè)ACL最后一個(gè)語句也不符合時(shí)，路由器就將該數(shù)據(jù)報(bào)丟棄。也就相當(dāng)于在ACL規(guī)則定義中最后隱含一條拒絕所有數(shù)據(jù)報(bào)的語句。18模塊8.2 標(biāo)準(zhǔn)ACL配置3標(biāo)準(zhǔn)ACL配置（1）創(chuàng)建編號(hào)標(biāo)準(zhǔn)ACL19模塊8.2 標(biāo)準(zhǔn)ACL配置 用no access-list access-list number命令刪除指定的訪問控制列表，如要?jiǎng)h除ACL1，用命令ruijie (config

5、)#no access-list 1。 any=通配屏蔽碼255.255.255.255 host=通配屏蔽碼0.0.0.0。20模塊8.2 標(biāo)準(zhǔn)ACL配置例1：允許源地址為192.168.1.1-192.168.1.254的數(shù)據(jù)包通過，拒絕其他數(shù)據(jù)包通過。ruijie(config)#access-list 10 permit 192.168.1.0 0.0.0.25521模塊8.2 標(biāo)準(zhǔn)ACL配置例2：只允許源主機(jī)為192.168.1.10的報(bào)文通過，其他主機(jī)報(bào)文拒絕通過。ruijie(config)#access-list 1 permit host 192.168.1.1022模塊8.

6、2 標(biāo)準(zhǔn)ACL配置例3：除源主機(jī)為192.168.2.10的報(bào)文不允許通過外，其他主機(jī)報(bào)文都允許通過。ruijie(config)#access-list 2 deny host 192.168.2.10ruijie(config)#access-list 2 permit any例4：刪除已定義的ACL10ruijie(config)#no access-list 1023模塊8.2 標(biāo)準(zhǔn)ACL配置（2）應(yīng)用編號(hào)標(biāo)準(zhǔn)ACL 應(yīng)用標(biāo)準(zhǔn)ACL就是將已經(jīng)定義好的ACL應(yīng)用到某端口上。每個(gè)端口的每個(gè)方向（進(jìn)入方向IN或出去方向OUT）只能應(yīng)用一個(gè)ACL。24模塊8.2 標(biāo)準(zhǔn)ACL配置25模塊8.2

7、標(biāo)準(zhǔn)ACL配置用no ip access-group access-list- number in |out命令取消訪問列表與端口的關(guān)聯(lián)，如ruijie(config-if)#no ip access-group 2 out 取消ACL 2與端口的關(guān)聯(lián)。例1：在路由器的Fastethernet 0/1端口上應(yīng)用訪問控制列表10，對(duì)進(jìn)入的數(shù)據(jù)包進(jìn)行過濾。ruijie(config)#interface fastethernet 0/1ruijie(config-if)#ip access-group 10 in26模塊8.2 標(biāo)準(zhǔn)ACL配置例2：取消在路由器的Fastethernet 0/1端口

8、上應(yīng)用訪問控制列表10。ruijie(config)#interface fastethernet 0/1ruijie(config-if)#no ip access-group 10 in27模塊8.2 標(biāo)準(zhǔn)ACL配置（3）查看編號(hào)標(biāo)準(zhǔn)ACL信息28模塊8.2 標(biāo)準(zhǔn)ACL配置（4）應(yīng)用實(shí)例 在下圖所示網(wǎng)絡(luò)中，通過配置編號(hào)標(biāo)準(zhǔn)ACL，實(shí)現(xiàn)允許HostA及HostB訪問HostD，不允許其他主機(jī)訪問HostD。29模塊8.2 標(biāo)準(zhǔn)ACL配置30模塊8.2 標(biāo)準(zhǔn)ACL配置第1步：定義ACL規(guī)則ruijie(config)#access-list 10 pernit host 192.168.1.10ruijie(config)#access-list 10 pernit host 192.168.1.1131模塊8.2 標(biāo)準(zhǔn)ACL配置第2步：將定義的ACL規(guī)則應(yīng)用到Fa0/1端口輸出方向上ruijie(config)#interface fastehernet 0/1ruijie(config-if)#ip address 200.1.1.1 255.255.255.0ruijie(config