专业务实
学以致用
将标准 ACLs 应用到接口
Example1: 允许单个网络的 ACL 示例.
Example2: 查看拒绝特定主机的 ACL 示例.
Example3: 查看拒绝特定子网的 ACL 示例.
专业务实
学以致用
将标准 ACLs 应用到接口
使用 ACL 控制 VTY 访问：(把定义的规则用到相应的vty进程下）
设置扩展ACL并应用
Y_R(config)#ip access-list extended xiuxitime Y_R(config-ext-nac1)#deny ip host 10.1.1.1 any time-range noworkshangwang Y_R(config-ext-nac1)#permit ip any any
专业务实
学以致用
标准命名ACL
(config)#ip access-list standard abc (config)#deny 1.1.1.1 0.0.0.0
(config)#permit any
专业务实
学以致用
扩展命名ACL
(config)#ip access-list extended abc (config)#deny tcp 1.1.1.1 0.0.0.0 2.2.2.0 0.0.0.255 eq 80
access-class 命令的语法是:
access-class access-list-number {in [vrf-also] | out}
专业务实
学以致用
编辑编号 ACLs
对 ACL 添加注释：
专业务实
学以致用
监控和检验 ACLs
show access-lists
专业务实
学以致用
– TCP/UDP 源端口
–TCP/UDP 目的端口
专业务实 学以致用
数据包过滤
专业务实
学以致用
ACL 工作原理
ACL 工作原理 隐含的“拒绝所有流量”条件语句
ACL 要么配置用于入站流量，要么用于出站流量. •入站 ACL 传入数据包经过处理之后才会被路由 到出站接口。入站 ACL 非常高效，如果数据包 被丢弃，则节省了执行路由查找的开销。当测试 表明应允许该数据包后，路由器才会处理路由工 作. • 出站 ACL 传入数据包路由到出站接口后，由出 站 ACL 进行处理.
专业务实
学以致用
几种配置实例
实验1：配置TELNET的访问控制列表
定义一个访问扩展控制列表TELNET的 Y_R(config)#access-list 11 permit 192.168.104.0 0.0.0.255
Y_R(config)#access-list 11 permit 192.168.105.0 0.0.0.255
专业务实
学以致用
几种配置实例
实验2：配置基于时间的访问控制列表
定义当前时间及一个时间段 Y_R#clock set 20:02:00 1 apr 2013 Y_R(config)#time-range noworkshangwang Y_R(config-time-range)#absolute start 8:00 1 jan 2013 end 16:20 31 dec 2030 Y_R(config-time-range)#periodic daily 16:21 to 23:59 Y_R(config-time-range)#periodic daily 00:00 to 07:59
专业务实
学以致用
配置扩展 ACLs
举例：
专业务实
学以致用
将扩展 ACL 应用于接口
专业务实
学以致用
4、配置命名 ACLs
专业务实
学以致用
问题
无论是标准还是扩展 ACL,删除一句就会删除所有的 ,也就是几乎不能 修改? 命名ACL是创建标准或扩展ACL的另一中方法 可以删除任一句
专业务实
3、配置扩展 ACLs
专业务实
学以致用
扩展 ACLs
为了更加精确地控制流量过滤，您可以使用编号在 100 到 199 之 间以及 2000 到 2699 之间的扩展 ACL（最多可使用 800 个扩展 A CL）。您也可以对扩展 ACL 命名.
专业务实
学以致用
扩展ACLs
测试端口和服务
允许和拒绝完整的
TCP/IP协议 编号范围 1 到 99 1300-1999
指定TCP/IP的特定协议
和端口号 编号范围 100 到 199 2000-2699
专业务实
学以致用
2、配置标准 ACLs
专业务实
学以致用
输入条件语句
值得注意: 您应该将最频繁使用的 ACL 条目放
在列表顶部.
您必须在 ACL 中至少包含一条 per mit 语句，否则所有流量都会被阻止.
For example,图中的两个 ACL （101 和 102）具有相同的效果.
专业务实
学以致用
配置标准 ACL
在图中，路由器会检查进入 Fa0/0 的数据包的源地址:
–access-list 2 deny 192.168.10.1
–access-list 2 permit 192.168.10.0 0.0.0.255
Y_R(config-ext-nac1)#exit
Y_R(config)#interface fastethernet 0/1 Y_R(config-if)#ip access-group xiuxitime in
专业务实
学以致用
谢谢
谢谢您的收看！
请多提宝贵意见！
专业务实
学以致用
–access-list 2 deny 192.168.0.0 0.0.255.255 –access-list 2 permit 192.0.0.0 0.255.255.255
专业务实
学以致用
ACL 通配符掩码
通配符掩码使用以下规则 匹配二进制 1 和 0: 通配符掩码位 0 — 匹配地址 中对应位的值 通配符掩码位 1 — 忽略地址 中对应位的值
专业务实
学以致用
访问列表配置准则
–访问列表中限制语句的位置是至关重要的
–将限制条件严格的语句放在访问列表的最上面
–使用 no access-list number 命令删除完整的访问列表 –隐含声明 deny all • 在设置的访问列表中要有一句 permit any
专业务实
学以致用
ACLs的放置位置
学以致用
创建命名扩展 ACLs
怎样建立命名扩展 ACLs:
Step 1.进入全局配置模式，使用 i p access-list extendedname 命令创建命名 ACL. Step 2.在命名 ACL 配置模式中 ，指定您希望允许或拒绝的条件. Step 3.返回特权执行模式，并使 用 show access-lists [number | name] 命令检验 ACL. Step 4. （可选）建议您使用 co py running-config startup-conf ig 命令将条目保存在配置文件中.
172.16.0.0
Token Ring
FDDI
Internet
172.17Βιβλιοθήκη 0.0–管理网络中逐步增长的 IP 数据
–当数据通过路由器时进行过滤
专业务实 学以致用
访问列表的应用
端口上的数据传输
虚拟会话 (IP)
–允许、拒绝数据包通过路由器
–允许、拒绝Telnet会话的建立 –没有设置访问列表时，所有的数据包都会在网络上传输
Y_R(config)#access-list 11 permit 192.168.107.0 0.0.0.255 Y_R (config)#line vty 0 4 Y_R (config-line)#access-class 11 in Y_R (config-line)#password cisco Y_R (config-line)#login Y_R (config-line)#exit Y_R (config)#enable password cisco Y_R (config)#service password-encryption
计算机网络安全技术与实施
学习情境3：实训任务3.1补充 CISCO访问控制列表ACL
专业务实
学以致用
内容介绍
1 2 3 4
为什么要使用访问列表
配置标准 ACLs
配置扩展 ACLs
配置命名 ACLs
5
ACL配置注意点
6
几种配置实例
专业务实
学以致用
1、为什么要使用访问列表
专业务实
学以致用
为什么要使用访问列表
专业务实 学以致用
Cisco ACLs的类型
有两类 Cisco ACLs, 标准的和扩展的. – 标准 ACLs:标准 ACL 根据源 IP 地址允许或拒绝流量. – 扩展 ACLs:扩展 ACL 根据多种属性.
专业务实
学以致用
标准访问列表和扩展访问列表比较
标准
基于源地址
扩展
基于源地址和目标地址
专业务实
学以致用
ACL通配符掩码

any 和 host 关键字
专业务实
学以致用
将标准 ACLs 应用到接口
配置标准 ACL 之后，可以使用 ip access-group 命令将其关联到接口: Router(config-if)#ip access-group {access-list-number | access-list-name} {in | out}