1、項目八 局域網安全與管理 模塊8.2 標準ACL配置模塊8.2 標準ACL配置內容簡介描述標準ACL的相關知識和技能訓練，重點是ACL工作原理及配置步驟等。23知識目標、技能點能夠描述標準ACL特性及工作過程；掌握標準ACL配置技能。模塊8.2 標準ACL配置48.2.1 問題提出 作為網絡管理員，一方面要做好網絡的日常維護工作，保證網絡時刻暢通；另一方面還要確保網絡安全。網絡安全除了要考慮接入安全外，還要考慮如何實行部門之間的安全訪問，使一些部門之間可以訪問，另一些部門之間不能訪問。模塊8.2 標準ACL配置8.2.2 相關知識1ACL概述 1）ACL定義 ACL（Access Contro

2、l Lists）是指應用到路由器或三層交換機接口上的指令列表，通常稱為訪問控制列表ACL。ACL根據定義的一系列規則過濾數據報，即允許或拒絕數據報通過接口。5模塊8.2 標準ACL配置6模塊8.2 標準ACL配置7模塊8.2 標準ACL配置2）ACL工作流程 ACL是由一系列規則語句構成，其中每條規則語句都包含條件及執行的操作。ACL從第1條語句開始比較，如果條件符合，按指定操作執行；如果條件不符合，查詢下一條。 如果所有語句都不符合條件，則拒絕數據報通過。8模塊8.2 標準ACL配置93）ACL應用（1）輸入端口應用ACL（2）輸出端口應用ACL模塊8.2 標準ACL配置10模塊8.2 標準

3、ACL配置入口ACL工作流程11模塊8.2 標準ACL配置出口ACL工作流程122標準ACL概述 1）標準ACL定義標準ACL是指根據數據包中的源IP地址定義一系列規則來過濾數據包的ACL。模塊8.2 標準ACL配置132）標準ACL規則（1）依據源IP地址進行過濾標準ACL是通過定義數據報中的源IP地址范圍，在范圍內的數據包允許或拒絕通過，實現對數據包的過濾。模塊8.2 標準ACL配置14模塊8.2 標準ACL配置15（2）從上至下的檢測順序 執行ACL時從上至下開始，上面第1條語句最先檢測，下面最后一條語句最后檢測。當某一條語句符合檢測條件時，則執行該語句的操作（允許或拒絕），不再檢測后續

4、語句；不符合條件時則繼續檢測下一條語句，直到最后一條語句。 若最后一條語句也不符合條件則丟棄該數據報。模塊8.2 標準ACL配置16模塊8.2 標準ACL配置17模塊8.2 標準ACL配置（3）最后隱藏一條拒絕所有數據報的語句 當檢測ACL最后一個語句也不符合時，路由器就將該數據報丟棄。也就相當于在ACL規則定義中最后隱含一條拒絕所有數據報的語句。18模塊8.2 標準ACL配置3標準ACL配置（1）創建編號標準ACL19模塊8.2 標準ACL配置 用no access-list access-list number命令刪除指定的訪問控制列表，如要刪除ACL1，用命令ruijie (config

5、)#no access-list 1。 any=通配屏蔽碼255.255.255.255 host=通配屏蔽碼0.0.0.0。20模塊8.2 標準ACL配置例1：允許源地址為192.168.1.1-192.168.1.254的數據包通過，拒絕其他數據包通過。ruijie(config)#access-list 10 permit 192.168.1.0 0.0.0.25521模塊8.2 標準ACL配置例2：只允許源主機為192.168.1.10的報文通過，其他主機報文拒絕通過。ruijie(config)#access-list 1 permit host 192.168.1.1022模塊8.

6、2 標準ACL配置例3：除源主機為192.168.2.10的報文不允許通過外，其他主機報文都允許通過。ruijie(config)#access-list 2 deny host 192.168.2.10ruijie(config)#access-list 2 permit any例4：刪除已定義的ACL10ruijie(config)#no access-list 1023模塊8.2 標準ACL配置（2）應用編號標準ACL 應用標準ACL就是將已經定義好的ACL應用到某端口上。每個端口的每個方向（進入方向IN或出去方向OUT）只能應用一個ACL。24模塊8.2 標準ACL配置25模塊8.2

7、標準ACL配置用no ip access-group access-list- number in |out命令取消訪問列表與端口的關聯，如ruijie(config-if)#no ip access-group 2 out 取消ACL 2與端口的關聯。例1：在路由器的Fastethernet 0/1端口上應用訪問控制列表10，對進入的數據包進行過濾。ruijie(config)#interface fastethernet 0/1ruijie(config-if)#ip access-group 10 in26模塊8.2 標準ACL配置例2：取消在路由器的Fastethernet 0/1端口

8、上應用訪問控制列表10。ruijie(config)#interface fastethernet 0/1ruijie(config-if)#no ip access-group 10 in27模塊8.2 標準ACL配置（3）查看編號標準ACL信息28模塊8.2 標準ACL配置（4）應用實例 在下圖所示網絡中，通過配置編號標準ACL，實現允許HostA及HostB訪問HostD，不允許其他主機訪問HostD。29模塊8.2 標準ACL配置30模塊8.2 標準ACL配置第1步：定義ACL規則ruijie(config)#access-list 10 pernit host 192.168.1.10ruijie(config)#access-list 10 pernit host 192.168.1.1131模塊8.2 標準ACL配置第2步：將定義的ACL規則應用到Fa0/1端口輸出方向上ruijie(config)#interface fastehernet 0/1ruijie(config-if)#ip address 200.1.1.1 255.255.255.0ruijie(config