第8章 扩展访问控制列表ACL

扩展ACL举例
• 以下图的结构为例，介绍扩展ACL的使用。 – 实例1：在E0端口，禁止转出来自172.16.4.0子网的FTP 数据流到172.16.3.0子网，其它的数据流将被转发。 – 实例2：在E0端口，禁止转出来自172.16.4.0子网的 Telnet 数据流，其它的数据流将被转发。
172.16.3.0
访问控制列表（ACL）
扩展ACL
学习目标
• 通过扩展ACL的学习，掌握ACL的应用
扩展访问列表
• 扩展ACL提供了比标准ACL更大范围的控制，扩展ACL可 • 以检查源地址和目标地址，特定的协议，端口号，以及其 它的参数。 • 与标准ACL对比：只过滤源地址（如：E0和E1端口只允许 来自于网络172.16.0.0的数据报被转发，其余的将被阻止。）
access-list 101 deny tcp 172.16.4.0 0.0.0.255 any eq 23 access-list 101 permit ip any any (implicit deny all) interface ethernet 0 ip access-group 101 out
实例2：禁止转出Telnet 数据
• 在E0端口，禁止转出来自172.16.4.0子网的 Telnet 数据流，其它的数据流将被转发。
– 第一个ACL命令用“deny”禁止来自172.16.4.0子网 的Telnet(port=23)数据流。 – 第二个ACL命令表示允许任何的数据流。 – 最后将此ACL101关联到端口E0。
Non172.16.0.0
172.16.4.0 172.16.4.13
S0 E0 E1
实例1：禁止转出FTP数据
• 在E0端口，禁止转出来自172.16.4.0子网的FTP数据流到 172.16.3.0子网，其它的数据流将被转发。
– 第一个ACL命令用“deny”禁止来自17ຫໍສະໝຸດ Baidu.16.4.0子网的FTP-DATA （port=20）数据流到172.16.3.0子网。 – 第二个ACL命令用“deny”禁止来自172.16.4.0子网的FTP（port=21） 数据流到172.16.3.0子网。 – 第三个ACL命令表示允许任何的数据流。 ACL – 最后将此ACL101关联到端口E0。 access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 21 access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 20 access-list 101 permit ip any any (implicit deny all) (access-list 101 deny ip 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255) interface ethernet 0 ip access-group 101 out
172.16.3.0
Non172.16.0.0
172.16.4.0 172.16.4.13
S0 E0 E1
扩展ACL配置
• 完全形式的access-list命令为： Router(config)# access-list access_list_number {permit|deny} protocol source [source_mask destination destination_mask operator operand [established]
Router(config-if)# {protocol} access-group access_list_number {in|out}
• Router(config)# access-list 表号 permit| deny 协议 源地址 通配符掩码 目的地址 通配符掩码 [ 运算符 端口号 ] • 其中：协议有TCP、IP等 • 运算符有：eq、lt（小于）、gt（大于）、neq（不 等于） • 端口号有：20或21，表示ftp • 23，表示telnet • 25，表示smtp • 53，表示dns • 69，表示tftp • 80，表示www • • Ip access-group 表号{in|out} • 其中，in表示流入端口，out 表示流出端口
访问控制列表举例
以我系实验室为例 1、屏蔽网站 2、限制服务
课外思考
1、访问控制列表的功能是什么？ 2、ACL有哪些类型？各有什么区别？ 3、应用ACL时，如何区分in和out的方向？ 4、标准ACL和扩展ACL的表号范围分别是多 少？ • 5、什么情况下需用命名ACL？ • • • •