第8周接入网网络设备互联无线局域网电子教案Word格式文档下载.doc

第8周接入网网络设备互联无线局域网电子教案Word格式文档下载.doc

《第8周接入网网络设备互联无线局域网电子教案Word格式文档下载.doc》由会员分享，可在线阅读，更多相关《第8周接入网网络设备互联无线局域网电子教案Word格式文档下载.doc（4页珍藏版）》请在冰点文库上搜索。

掌握扩展的访问控制列表配置

教学难点：

无

课时安排：

2课时

教学方法：

案例教学

教学过程：

一、访问列表概述

访问列表是由一系列语句组成的列表，这些语句主要包括匹配条件和采取的动作（允许或禁止）两个内容;

访问列表应用在路由器的接口上，通过匹配数据包信息与访问表参数来决定允许数据包通过还是拒绝数据包通过某个接口;

数据包是通过还是拒绝，主要通过数据包中的源地址、目的地址、源端口、目的端口、协议等信息来决定;

访问控制列表可以限制网络流量，提高网络性能，控制网络通信流量等，同时ACL也是网络访问控制的基本安全手段。

二、IP访问列表

1.标准IP访问列表：

其只检查数据包的源地址，从而允许或拒绝基于网络、子网或主机的IP地址的所有通信流量通过路由器的出口。

2.扩展IP访问列表：

它不仅检查数据包的源地址，还要检查数据包的目的地址、特定协议类型、源端口号、目的端口号等

3.命名的IP访问列表所谓命名的IP访问控制列表是以列表名代替列表编号来定义IP访问控制列表，同样包括标准和扩展两种列表，定义过滤的语句与编号方式中相似。

l命名IP访问列表通过一个名称而不是一个编号来引用的。

l命名的访问列表可用于标准的和扩展的访问表中。

l名称的使用是区分大小写的，并且必须以字母开头。

在名称的中间可以包含任何字母数字混合使用的字符，也可以在其中包含[，]、{，}、_、-、+、/、\、.、&

、$、#、@、!

以及?

等特殊字符

l名称的最大长度为100个字符

4.编号IP访问列表和命名IP访问列表的区别

l名字能更直观地反映出访问列表完成的功能

l命名访问列表突破了99个标准访问列表和100个扩展访问列表的数目限制，能够定义更多的访问列表。

l命名IP访问列表允许删除个别语句，而编号访问列表只能删除整个访问列表

l单个路由器上命名访问列表的名称在所有协议和类型的命名访问列表中必须是唯一的，而不同路由器上的命名访问列表名称可以相同。

三、ACL转发的过程

四、访问列表配置步骤

第一步是配置访问列表语句

第二步是把配置好的访问列表应用到某个端口上

访问列表注意事项

o注意访问列表中语句的次序，尽量把作用范围小的语句放在前面。

o新的表项只能被添加到访问表的末尾，这意味着不可能改变已有访问表的功能。

如果必须要改变，只有先删除已存在的访问列表，然后创建一个新访问列表、然后将新访问列表用到相应的接口上。

o标准的IP访问列表只匹配源地址，一般都使用扩展的IP访问列表以达到精确的要求。

o标准的访问列表尽量靠近目的，由于标准访问表只使用源地址，因此将其靠近源会阻止报文流向其他端口。

扩展的访问列表尽量靠近过滤源的位置上，以免访问列表影响其他接口上的数据流。

o在应用访问列表时，要特别注意过滤的方向

五、扩展IP访问列表的配置命令

1、配置扩展访问列表

n（config）#access-listaccess-list-numberpermit|denyprotocolsource-addresssource-wildcardsource-portdestinaitonaddressdestination-wildcarddestination-portlogoptions

naccess-list-number：

编号范围为100～199。

nPermit：

通过；

deny：

禁止通过

nProtocol：

需要被过滤的协议的类型，如IP、TCP、UDP、ICMP、EIGRP等。

nsource-address：

源IP地址

nsource-wildcard：

源通配符掩码

nsource-port：

可以是单一的某个端口，也可以是一个端口范围

ndestination-address：

目的IP地址

ndestination-wildcard：

目的地址通配符掩码

ndestination-port：

目的端口号，指定方法与源端口号的指定方法相同

2、应用访问列表到接口

nipaccess-groupaccess-list-numberin|out

nIn：

通过接口进入路由器的报文

nOut：

通过接口离开路由器的报文

3、显示所有协议的访问列表配置细节

nshowaccess-lists[access-list-number]

4、扩展IP访问列表配置举例

要求允许LAN3的所有主机能登录Internet，但只能浏览WWW、FTP、SMTP、POP3协议的通信。

LAN2中的主机192.168.2.1向Internet提供WWW服务，主机192.168.2.2向Internet提供FTP服务，主机192.168.2.3向Internet提供SMTP服务，其余主机不能被Internet访问。

LAN1中的主机不能访问Internet，但可以访问LAN2和LAN3

orouter#configureterminal

orouter（config）#access-list101permittcp192.168.3.00.0.0.255anyeqwww

orouter（config）#access-list101permittcp192.168.3.00.0.0.255anyeqftp

orouter（config）#access-list101permittcp192.168.3.00.0.0.255anyeqsmtp

orouter（config）#access-list101permittcp192.168.3.00.0.0.255anyeqpop3

orouter（config）#access-list101denyipany192.168.1.00.0.0.255

orouter（config）#access-list102permittcpanyhost192.168.2.1eqwww

orouter（config）#access-list102permittcpanyhost192.168.2.2eqftp

orouter（config）#access-list102permittcpanyhost192.168.2.3eqsmtp

orouter（config）#interfaceserial1

orouter（config-if）#ipaccess-group101out

orouter（config-if）#interfaceethernet0

orouter（config-if）#ipaccess-group102out

课堂总结：

本次课通过扩展访问控制列表的学习，学生对访问控制列表有更深入的认识。

掌握了网络安全防范的新知识。

4

网络工程系内部教学档案2009年上半年