【课件-数据通信技术】7-01：ACL技术的应用(1).pptx

数/据/通/信/技/术,第七章 常用网络技术的 研究 第一节 ACL技术的应用,二、理解ACL的工作原理和工作过程,一、掌握ACL的基本概念和作用,三、掌握标准ACL和扩展ACL的区别和应用场景,二、ACL的工作原理,一、ACL概述,三、ACL的工作过程,四、ACL的分类,一、ACL概述,访问控制列表（ACL） 应用于路由器接口的指令列表 ，用于指定哪些数据包可以接收转发，哪些数据包需要拒绝 ACL的工作原理 读取第三层及第四层包头中的信息 根据预先定义好的规则对包进行过滤,一、ACL概述,提供网络访问的基本安全手段 可用于QoS，控制数据流量 控制通信量,一、ACL概述,主机A,主机B,人力资源网络,研发网络,使用ACL阻止某指定网络访问另一指定网络,二、ACL的工作原理,实现访问控制列表的核心技术是包过滤,Internet,公司总部,内部网络,未授权用户,办事处,访问控制列表,二、ACL的工作原理,通过分析IP数据包包头信息，进行判断（这里IP所承载的上层协议为TCP）,三、ACL的工作过程,匹配 下一步,拒绝,允许,允许,允许,到达访问控制组接口的数据包,匹配 第一步,目的接口,隐含的拒绝,丢弃,Y,Y,Y,Y,Y,Y,N,N,N,匹配 下一步,拒绝,拒绝,拒绝,三、ACL的工作过程,使用命令ip access-group将ACL应用到某一个接口上 在接口的一个方向上，只能应用一个access-list,Router(config-if)#ip access-group access-list-number in|out,三、ACL的工作过程,进入数据包,源地址 匹配吗？,有更多 条目吗？,应用条件,拒绝,允许,路由到接口,查找路由表,是,是,否,是,否,Icmp消息,转发数据包,接口上有访问 控制列表吗？,列表中的 下一个条目,否,访问控制列表入与出,三、ACL的工作过程,外出数据包,查找路由表,接口上有访问 控制列表吗？,源地址匹配吗？,拒绝,允许,列表中的 下一个条目,是,是,转发数据包,Icmp消息,否,否,否,有更多条目吗？,应用条件,是,访问控制列表入与出,三、ACL的工作过程,rule permit | deny |any time-range ,允许数据包通过应用了访问控制列表的接口,拒绝数据包通过,三、ACL的工作过程,ACL的规则总结,按照由上到下的顺序执行，找到第一个匹配后既执行相应的操作（然后跳出ACL） 每条ACL的末尾隐含一条deny any 的规则 ACL可应用于某个具体的IP接口的出方向或入方向 ACL可应用于系统的某种特定的服务（如针对设备的TELNET） 在引用ACL之前，要首先创建好ACL 对于一个协议，一个接口的一个方向上同一时间内只能设置一个ACL,四、ACL的分类,ACL的访问表号,每个ACL都有一个用以识别的访问表号，它是一个数字，不同类型ACL的访问表号范围如下： 标准ACL：199 扩展ACL：100199 二层ACL：200299 混合ACL：300349 每个ACL中的规则最多为100条，规则号范围1100。

四、ACL的分类,标准访问控制列表只使用源地址进行过滤，表明是允许还是拒绝,路由器,四、ACL的分类,如果在访问控制列表中有的话,应用条件,拒绝,允许,更多条目？,列表中的下一个条目,否,有访问控制列表吗？,源地址,不匹配,是,匹配,是,否,Icmp消息,转发数据包,标准ACL,四、ACL的分类,扩展访问控制列表使用更多的信息描述数据包，表明是允许还是拒绝,路由器,四、ACL的分类,扩展ACL,有访问控制列表吗？,源地址,目的地址,协议,协议任选项,应用条件,拒绝,允许,更多条目？,列表中的下一个条目,不匹配,否,是,匹配,匹配,匹配,匹配,是,否,Icmp消息,转发数据包,不匹配,不匹配,不匹配,2、ACL的工作原理 ：读取第三层及第四层包头中的信息，根据预先定义好的规则对包进行过滤 1、访问控制列表（ACL）：应用于路由器接口的指令列表 ，用于指定哪些数据包可以接收转发，哪些数据包需要拒绝3、标准访问控制列表：只使用源地址进行过滤，表明是允许还是拒绝4、扩展访问控制列表：使用更多的信息描述数据包，表明是允许还是拒绝。