网络实用技术路由技术（三）1本堂课任务1、不允许外部网络访问行政网络 2、不允许PC0所在子网内PC访问行政网络FTP服务器 2本堂课任务 如何配置路由器，只允许部分IP地址的 数据包能通过本路由器？ 如何配置路由器，使内部网络的用户只 能访问外部web服务器？ 解决方法 w 配置访问控制列表（ACL） 学习并掌握标准ACL、扩展ACL以及命 名ACL的配置方法3访问控制列表ACL概要 访问控制列表（ACL）是一种包过滤技 术，是应用在路由器接口的指令列表。 w ACL告诉路由器哪些数据报可以允许、哪些 需要拒绝。至于是允许还是拒绝，可以由类 似源地址、目的地址、端口号等条件来作过 滤决定。 ACL可以用来：限制网络流量、提高网 络性能，同时ACL也是网络访问控制的 基本安全手段。4访问控制列表的应用允许或拒绝数据包通过路由器 允许或拒绝vty访问进入或离开路由器如果没有访问控制列表，所有数据包都可以传输到你的网 络Virtual terminal line access (IP)Transmission of packets on an interface5访问控制列表w 标准访问控制列表 检查源地址 通常允许或拒绝整个协议簇Outgoing PacketE0S0Incoming PacketAccess List ProcessesPermit?Source6访问控制列表w 标准访问控制列表 检查源地址 通常允许或拒绝整个协议簇 w 扩展访问控制列表 检查源和目的地址 允许或拒绝特定的协议Outgoing PacketE0S0Incoming PacketAccess List ProcessesPermit?Source and DestinationProtocol7访问控制列表w 标准访问控制列表 检查源地址 通常允许或拒绝整个协议簇 w 扩展访问控制列表 检查源和目的地址 允许或拒绝特定的协议 入站或出站均可进行控制 Outgoing PacketE0S0Incoming PacketAccess List ProcessesPermit?Source and DestinationProtocol8出站访问控制列表Inbound Interface PacketsNYPacket Discard BucketChoose InterfaceNAccess List ?Routing Table Entry ?YOutbound InterfacesPacketS09出站访问控制列表Outbound InterfacesPacketNYPacket Discard BucketChoose InterfaceRouting Table Entry ?NPacketTest Access List StatementsPermit ?YAccess List ?YS0E0Inbound Interface Packets10出站访问控制列表Notify Sender如果没有访问控制列表相匹配则丢弃报文 NYPacket Discard BucketChoose InterfaceRouting Table Entry ?NYTest Access List StatementsPermit ?YAccess List ?Discard PacketNOutbound InterfacesPacketPacketS0E0Inbound Interface Packets11列表测试: 拒绝或允许Packets to interfaces in the access groupPacket Discard BucketYInterface(s)DestinationDenyDenyYMatch First Test ?Permit12列表测试: 拒绝或允许Packets to Interface(s) in the Access GroupPacket Discard BucketYInterface(s)DestinationDenyDenyYMatch First Test ?PermitNDenyPermitMatch Next Test(s) ?YY13列表测试: 拒绝或允许Packets to Interface(s) in the Access GroupPacket Discard BucketYInterface(s)DestinationDenyDenyYMatch First Test ?PermitNDenyPermitMatch Next Test(s) ?DenyMatch Last Test ?YYNYYPermit14列表测试: 拒绝或允许Packets to Interface(s) in the Access GroupPacket Discard BucketYInterface(s)DestinationDenyYMatch First Test ?PermitNDenyPermitMatch Next Test(s) ?DenyMatch Last Test ?YYNYYPermitImplicit Deny If no match deny allDenyN15访问控制列表命令概要步骤1: 使用下列命令定义访问控制列表ACL:access-list access-list-number permit | deny test conditions Router(config)#16访问控制列表命令概要步骤1: 使用下列命令定义访问控制列表ACL:Router(config)#步骤2: 使用access-group命令把该访问控制列表应用到 某一接口上。 protocol access-group access-list-number in | out Router(config-if)#IP 访问控制列表的标号范围为 1-99 或 100-199access-list access-list-number permit | deny test conditions 17为ACL分配表号Number Range/IdentifierAccess List TypeIP 1-99 或 1300-1999Standardw 标准IP列表 (1 to 99) 测试IP报文中的源地址18为ACL分配表号Number Range/IdentifierAccess List TypeIP 1-99 或 1300-1999 100-199 或 2000-2699Standard Extendedw 标准IP列表 (1 to 99) 测试IP报文中的源地址 w 扩展IP列表 (100 to 199) 能测试源和目的地址、特定的TCP/IP协议、以及目的 端口19为ACL分配表号Number Range/IdentifierIP 1-99 或 1300-1999 100-199 或 2000-2699 Name (Cisco IOS 11.2 and later)800-899 900-999Standard ExtendedStandard Extended NamedAccess List TypeIPX标准IP列表 (1 to 99) 测试IP报文中的源地址 扩展IP列表 (100 to 199) 能测试源和目的地址、特定的TCP/IP协议、以及目的端 口 其它访问控制列表表号范围测试其它网络协议 20标准访问控制列表报文测试Source AddressSegment (for example, TCP header)DataPacket (IP header)Frame Header (for example, HDLC)DenyPermitUse accesslist statements 1-99 21扩展访问控制列表报文测试Destination AddressSource AddressProtocolPort NumberSegment (for example, TCP header)DataPacket (IP header)Frame Header (for example, HDLC)Use accesslist statements 100-199 to test the packet DenyPermitTCP/IP报文举例22如何使用通配符掩码位0 表示检查相应地址位的值 1 表示忽略相应地址位的值不检查地址 (忽略所有)=001111111286432168421=00000000=00001111=11111100=11111111忽略后6位地址位检查所有地址位 (匹配所有)忽略后4位地址位检查后2位地址位23通配符掩码位匹配特定的IP主 机地址172.30.16.29 0.0.0.0 检查所有地址位 可以使用在地址前加缩写词host来表达上面的测试条件 (host 172.30.16.29)测试条件：检查所有的地址位 (全部匹配)172.30.16.290.0.0.0 (检查所有位)例如：一个IP主机地址:通配符掩码:24通配符掩码位匹配任意IP地址接受任意地址: 0.0.0.0 255.255.255.255 可以使用缩写字 any 表达上面的测试条件测试条件:忽略所有的地址位0.0.0.0255.255.255.255 (全部忽略)Any IP address通配符掩码:25通配符掩码位匹配IP子网检查IP子网 172.30.16.0/24 to 172.30.31.0/24Network Network .host 172.30.16172.30.16.00 00 00 01 10000 通配符掩码: 0 0 0 0 1 1 1 1|0 0 0 1 0 0 0 0 = 160 0 0 1 0 0 0 1 =170 0 0 1 0 0 1 0 =18 : :0 0 0 1 1 1 1 1 =31地址和通配符掩码: 172.30.16.0 0.0.15.25526标准ACL配置access-list access-list-number permit|deny source maskRouter(config)# 为此列表条目设置参数Sets parameters for this list entry IP标准访问列表使用 1 到 99 缺省通配符掩码 = 0.0.0.0 “no access-list access-list-number” 删除整个访问列表27标准ACL配置access-list access-list-number permit|deny source maskRouter(config)#在一个接口上激活此列表 设置入站或出站测试 缺省 = 出站 “no ip access-group access-list-number” 删除此接口的访问列表Router(config-if)#ip access-group access-list-number in | out 为此列表条目设置参数Sets parameters fo