《网络互联技术》第07章：访问控制列表

第七章 访问控制列表(理论课时长：6节)

主讲教师：赵怀明

江西工业职业技术学院

第七章：访问控制列表 【教学目的】:通过本章的学习，让学生知道访问控 制列表的功能和实现机制、访问控制列表的分类、命 名访问控制列表的配置和应用、基于时间的访问控制 列表的使用；掌握访问控制列表的定义和应用、标准 访问控制列表的配置、扩展访问控制列表的配置、访 问控制列表的工作过程。能为简单的网络根据用户的 要求设置访问控制列表来实现公司网络的内部管理、 流量控制和安全控制。 【重点难点】 –重点：标准访问控制列表的配置和应用；扩展访问 控制列表的配置和应用。 –难点：基于时间的访问控制列表的理解和配置

第七章：访问控制列表 【教学内容】– 访问控制列表定义 – 访问控制列表功能 – 访问控制列表实现机制 – 访问控制列表的工作过程分析 – 访问控制列表的分类 – 标准访问控制列表的配置和应用 – 扩展访问控制列表的配置和应用 – 命名访问控制列表的配置和应用 – 基于时间的访问控制列瑶的配置和应用

第七章：访问控制列表 【教学方法】 –教学方式：多媒体教学 –教学方法：案例分析+视频教学 通过对比分析让学生彻底掌握标准访问控制列表和扩 展访问控制列表的区别。 利用视频教学资料，使学生在任何时间和地点能重温 教学内容，尽一步掌握标准(扩展)访问控制列表的 配置和实际应用。 通过上机实验让学生在boson模拟器的支持下完成标准 访问控制列表和扩展访问控制列表的配置和应用。

第一部分：访问控制列表概述一、数据包过滤技术数据包过滤是指路由器对需要转发的数据包，先获取 报头信息，然后将其和设定的规则进行比较，根据比较的 结果对数据包进行转发或丢弃。实现包过滤的核心技术是 访问控制列表(Access Control List,简称ACL)。外部网络

Internet

内部网络

第一部分：访问控制列表概述二、访问控制列表的定义访问控制列表(Access Control List,ACL)是用于控制 和过滤通过路由器的不同接口去往不同方向的信息流的一种机 制，这种机制允许用户使用访问控制列表来管理信息流，以制 作公司内部网络的相关策略。 ACL根据指定的条件来检测通过路由器的每个数据包，从 而决定是转发还是丢弃该数据包。ACL中的条件，既可以是数 据包的源地址，也可以是目的地址，还可以是上层协议或其他 因素。 通过灵活地增加访问控制列表,可以把ACL当作一种网络控 制的有利工具,用来过滤流入、流出路由器接口的数据包。

第一部分：访问控制列表概

述三、访问控制列表的实现机制(1)首先根据用户需求定义一组用于控制和过滤数据包 的访问控制列表。 (2)然后再将其应用在路由器的不同接口的不同方向 上。 (3)如果指定接口(该接口已应用指定的访问控制列 表)指定方向(该方向上已应用指定的访问控制列表)上 有数据包通过时，路由器将根据设定的访问控制列表的规 则(逐条进行匹配，如果规则中上一条语句匹配，则下面 所有的语句将被忽略)对数据包进行过滤，从而确定哪些 数据包可以接收，哪些数据包需要拒绝。

第一部分：访问控制列表概述四、访问控制列表的功能(1)、数据包过滤 (2)、限制网络流量 (3)、提高网络性能 (4)、提高网络安全 由于ACL访问控制列表是使用包过滤技术来实现的，过 滤的依据又仅仅只是第三层和第四层包头中的部分信息， 这种技术具有一些固有的局限性，如无法识别到具体的人， 无法识别到应用内部的权限级别等。因此，要达到端到端 的权限控制目的，需要和系统级及应用级的访问权限控制 结合使用。

第一部分：访问控制列表概述五、访问控制列表的分类：主要分为标准访问控 制列表和扩展访问控制列表。

第一部分：访问控制列表概述六、访问控制列表工作过程分析

第二部分：标准访问控制列表一、定义标准IP访问控制列表(1)语法：Router(config)# access-list [list number][permit|deny][host/any][source][sourcewildcardmask][Log] (2)功能：只能根据数据帧的源地址进行过滤，而不能根 据数据帧的目的地址进行数据过滤；只能拒绝或允许整个 协议族的数据包，而不能根据具体的协议对数据包进行过 滤。 (3)位置：由于不能根据数据帧的目标地址进行过滤，而 只能根据数据帧的源地址进行过滤，因此最好将标准访问 控制列表放置离目标主机(或目标网络)最近的位置。

第二部分：标准访问控制列表(4)参数说明： 定义访问控制列表必须在路由器的全局配置模式下进行 list number:访问控制列表号的范围，标准IP访问控制列表的列 表号标识是从 1 到 99 。 permit/deny :关键字 permit 和 deny 用来表示满足访问列表 项的报文是允许通过接口，还是要过滤掉。 permit 表示允许“满足访问列表项”的报文通过接口 deny 表示禁止“满足访问列表项”的报文通过接口 source:源地址，对于标准的IP访问控制列表，源地址可以是： host、any、具体主机IP地址或具体网络地址 host 用于指定某个具体主机。 any 用于指定所有主机。 source-wi1dcardmask :源地址通配符屏蔽码

第二部分：标准访问控制列表二、host参数讲解host表示一种

精确的匹配，其屏蔽码为 0.0.0.0 (host 是 0.0.0.O 通配符屏蔽码的简写)。 例如，假定我们希望允许从 192.168.5.25 来的报文， 则应该制定如下标准IP访问控制列表语句： access-list 44 permit 192.168.5.25 0.0.0.0 如果采用关键字 host,则也可以用下面的语句来代替： access-list 44 permit host 192.168.5.25

第二部分：标准访问控制列表三、any参数讲解any 是源地证通配符屏蔽码 “0.O.O.O 255.255.255.255” 的简写。 假定我们要拒绝从源地址 192.168.5.25 来的报文， 并且要允许从其他源地址来的报文，则应制定如下标准IP 访问控制列表语句： access-list 55 deny host 192.168.5.25 access-list 55 permit 0.0.0.0 255.255.255.255 上述命令可以进行如下简写： access-list 55 deny host 192.168.5.25 access-list 55 permit any

第二部分：标准访问控制列表四、标准访问控制列表常见错误分析(1)、标准访问控制列表中语句顺序错误： access-list 66 permit any access-list 66 deny host 192.168.5.25 (2)、标准访问控制列表中列表号错误 access-list 166 deny host 192.168.5.25 access-list 166 permit any (3)不需要在标准访问控制列表的最后添加“deny any ”语句 access-list 66 permit host 192.168.5.25 access-list 66 deny any (4)、忘记在标准访问控制列表的最后添加“permit any ”语 句 access-list 66 deny host 192.168.5.25

第二部分：标准访问控制列表五、permit 和 deny 应用的规则(1)最终目标是尽量让访问控制中的条目少一些。另外，访问控制列 表是自上而下逐条对比，所以一定要把条件严格的列表项语句放在上 面，然后再将条件稍严格的列表选项放在其下面，最后放置条件宽松 的列表选项，还要注意，一般情况下，拒绝应放在允许上面。 (2)如果拒绝的条目少一些，这样可以用 DENY,但一定要在最后一 条加上允许其它通过，否则所有的数据包将不能通过。 (3)如果允许的条目少一些，这样可以用 PERMIT,后面不用加拒绝 其它(系统默认会添加 deny any)。 (4)最后，用户可以根据实际情况，灵活应用 deny 和 permit 语句。 总之，当访问控制列表中有拒绝条目时，在最后面一定要有允许，因 为ACL中系统默认最后一条是拒绝所有。