計算機硬件與網絡DCNTSACL應用2ACL的應用ACL定義ACL功能ACL配置步驟ACLACL與其它廠家的對比3ACL的定義ACL(AccessControlLists)是交換機實現的一種數據包過濾機制，通過允許或拒絕特定的數據包進出網絡，交換機可以對網絡訪問進行控制，有效保證網絡的安全運行。4標準檢查源地址允許或禁止所有的協議OutgoingPacketE0S0IncomingPacketAccessListProcessesPermit?SourceACL的定義5

標準檢查源地址允許或禁止所有的協議擴展檢查目的地址允許或禁止特定的協議OutgoingPacketE0S0IncomingPacketAccessListProcessesPermit?Sourceand

DestinationProtocolACL的定義6

標準檢查源地址允許或禁止所有的協議擴展檢查目的地址允許或禁止特定的協議InboundorOutbound

OutgoingPacketE0S0IncomingPacketAccessListProcessesPermit?Sourceand

DestinationProtocolACL的定義7Internet管理隨網絡擴張而增長的網絡流量過濾通過交換機和路由器的數據包為什么使用訪問控制列表？8Interface(s)DestinationPacketstointerfacesintheaccessgroupPacket

DiscardBucketYDenyDenyYMatchFirstTest?Permit列表的檢測-允許或禁止9PacketstoInterface(s)intheAccessGroupPacket

DiscardBucketYInterface(s)DestinationDenyDenyYMatchFirstTest?PermitNDenyPermitMatchNextTest(s)?YY列表的檢測-允許或禁止10PacketstoInterface(s)intheAccessGroupPacket

DiscardBucketYInterface(s)DestinationDenyDenyYMatchFirstTest?PermitNDenyPermitMatchNextTest(s)?DenyMatchLastTest

?YYNYYPermit列表的檢測-允許或禁止11PacketstoInterface(s)intheAccessGroupPacket

DiscardBucketYInterface(s)DestinationDenyYMatchFirstTest?PermitNDenyPermitMatchNextTest(s)?DenyMatchLastTest

?YYNYYPermitImplicitDeny如果沒有匹配DenyDenyN列表的檢測-允許或禁止12NumberRange/IdentifierAccessListTypeIP

1-99Standard標準IP列表(1to99)檢查所有包的源地址怎樣定義訪問控制列表？13NumberRange/IdentifierAccessListTypeIP

1-99100-199StandardExtended標準IP列表(1to99)檢查所有包的源地址擴展IP列表(100to199)能夠檢查源地址和目的地址，特定的TCP/IP協議,，和目的端口怎樣定義訪問控制列表？14NumberRange/IdentifierIP

1-99100-199,1300-1999,2000-2699Name(CiscoIOS11.2andlater)800-899900-9991000-1099Name(CiscoIOS11.2.Fandlater)StandardExtendedSAPfiltersNamedStandardExtendedNamedAccessListTypeIPX標準IP列表(1to99)檢查所有包的源地址擴展IP列表(100to199)能夠檢查源地址和目的地址，特定的TCP/IP協議,，和目的端口其它的訪問列表號對應其他的網絡協議怎樣定義訪問控制列表？15SourceAddressSegment(forexample,

TCPheader)DataPacket(IPheader)FrameHeader(forexample,

HDLC)DenyPermitUseaccessliststatements1-99標準列表檢查過程16DestinationAddressSourceAddressProtocolPortNumberSegment(forexample,

TCPheader)DataPacket(IPheader)FrameHeader(forexample,

HDLC)Useaccessliststatements1-99or100-199to

testthepacketDenyPermit擴展列表檢查過程17二、ACL功能1、拒絕特定的數據包進/出端口。2、允許特定的數據包進端口。3、和Qos配合，特定的數據包限制流量進入網絡。問題1：如何描述“特定”？問題2：如何與Qos配合？18問題1：“特定”？特定：用戶通過規則（rule）來定義自己的需求，Rule包含的信息可以包括源MAC、目的MAC、源IP、目的IP、IP協議號、tcp端口等條件的有效組合，我們當前的規則分為3大類：

1、MAC規則

2、IP規則

3、MAC-IP規則注意：過濾功能若使能，則每個端口都還有一個規則：1、默認規則191、MAC規則1、MAC規則：包含源/目的MAC地址，幀類型，802.1Q的tag（cos和vlanid），上層報文類型。命令舉例：

[no]{deny|permit}{any-source-mac|{host-source-mac<host_smac>}|{<smac><smac-mask>}}{any-destination-mac|{host-destination-mac<host_dmac>}|{<dmac><dmac-mask>}}[tagged-eth2[cos<cos-val>[<cos-bitmask>]][vlanId<vid-value>[<vid-mask>]][ethertype<protocol>[<protocol-mask>]]]

功能：創建一條匹配tagged以太網2幀類型的MAC訪問規則(rule)；no操作為刪除此命名擴展MAC訪問規則（rule）20MAC規則舉例用戶有如下配置需求：交換機的10端口連接的網段的MAC地址是00-12-11-23-XX-XX，并且不允許的數據報文發出。配置步驟：1、

創建相應的MACACL2、

配置過濾默認動作（默認動作：沒有定義規則的報文動作）3、

綁定ACL到端口配置舉例如下：

Switch(Config)#firewallenableSwitch(Config)#firewalldefaultpermitSwitch(Config)#interfaceethernet0/0/10Switch(Config-Ethernet0/0/10)#ipaccess-group1100in212、IP規則包含源/目的IP地址，協議類型（IP，TCP/UDP（源/目的tcp/udp端口號），ICMP（icmp包類型），Igmp（igmp包類型），和其它任意協議類型，precedence和tos（服務類型）。命令舉例：[no]{deny|permit}udp{{<sIpAddr>

<sMask>}|any-source|{host-source<sIpAddr>}}[sPort<sPort>]{{<dIpAddr>

<dMask>}|any-destination|{host-destination<dIpAddr>}}[dPort<dPort>][precedence<prec>][tos<tos>]功能：創建一條udp命名擴展IP訪問規則（rule）；本命令的no操作為刪除此命名擴展IP訪問規則（rule）。

22IP規則舉例用戶有如下配置需求：交換機的10端口連接網段，管理員不希望用戶使用ftp，也不允許外網ping此網段的任何一臺主機。配置步驟：1．

創建相應的IPACL2．

配置過濾默認動作（默認動作：沒有定義規則的報文動作）3．

綁定ACL到端口配置舉例如下：

Switch(Config)#access-list110denytcp55any-destinationd-port21Switch(Config)#firewallenableSwitch(Config)#firewalldefaultpermitSwitch(Config)#interfaceethernet0/0/10Switch(Config-Ethernet0/0/10)#ipaccess-group110inSwitch(Config-Ethernet0/0/10)#ipaccess-group120out233、MAC-IP規則包含源/目的MAC地址，源/目的IP地址，協議類型（IP，TCP/UDP（源/目的tcp/udp端口號），ICMP（icmp包類型），Igmp（igmp包類型），和其它任意協議類型，precedence和tos（服務類型）。命令舉例：{deny|permit}{any-source-mac|{host-source-mac<host_smac>}|{<smac><smac-mask>}}{any-destination-mac|{host-destination-mac<host_dmac>}|{<dmac><dmac-mask>}}udp{{<source><source-wildcard>}|any-source|{host-source<source-host-ip>}}[s-port<port1>]{{<destination><destination-wildcard>}|any-destination|{host-destination<destination-host-ip>}}[d-port<port3>][precedence<precedence>][tos<tos>]功能：創建一條tcp命名擴展MAC-IP訪問規則（rule）；本命令的no操作為刪除此命名擴展IP訪問規則（rule）。

24MAC-IP規則舉例用戶有如下配置需求：交換機的10端口連接的網段的MAC地址是00-12-11-23-XX-XX，并且IP為網段，管理員不希望用戶使用ftp，也不允許外網ping此網段的任何一臺主機。配置步驟：1、

創建相應的MAC-IPACL2、

配置過濾默認動作（默認動作：沒有定義規則的報文動作）3、

綁定ACL到端口配置舉例如下：Switch(Config)#access-list3110deny00-12-11-23-00-0000-00-00-00-FF-FFanytcp55any-destinationd-port21Switch(Config)#firewallenableSwitch(Config)#firewalldefaultpermitSwitch(Config)#interfaceethernet0/0/10Switch(Config-Ethernet0/0/10)#mac-ipaccess-group3110inSwitch(Config-Ethernet0/0/10)#mac-ipaccess-group3120out25默認規則默認規則：匹配所有的IP報文，但是優先級最低，所以當數據包同時匹配用戶規則和默認