网络技术培训PPTDA000023 访问控制列表课件.ppt 20页

'DA000023访问控制列表基本配置1.0 学习目标访问控制列表的分类访问控制列表基本配置学习完本课程，您应该能够： 课程内容第一章访问控制列的分类第二章访问控制列表基本配置 访问控制列表的分类基本的访问控制列表（basicacl）高级的访问控制列表（advancedacl）基于接口的访问控制列表（interface-basedacl）列表种类数字标识范围basicacl1～99advancedacl100～199interface-basedacl1000～1999当使用名字型的访问控制列表的时候，需要指定该访问控制列表的使用类型 课程内容第一章访问控制列的分类第二章访问控制列表配置 基本访问控制列表从202.110.10.0/24来的数据包可以通过！从192.110.10.0/24来的数据包不能通过！路由器标准访问控制列表只使用源地址描述数据，表明是允许还是拒绝。 基本访问控制列表创建基本访问控制列表，可以是名字方式，也可以是数字方式acl{numberacl-number|nameacl-namebasic}[match-order{config|auto}]注意：number范围：1－99match-order方式：config和auto两种Config：指按照配置的顺序执行Auto：指按照深度优先的方式执行 基本访问控制列表在基本访问控制列表视图下，配置ACL规则rule[rule-id]{permit|deny}[sourcesource-addrsource-wildcard|any][time-rangetime-name][logging][fragment]在基本访问控制列表视图下，取消ACL规则undorulerule-id[source][time-range][logging][fragment]注意：rule-id：ACL的规则编号，范围为0～127source：指定ACL规则的源地址信息time-range：对应的ACL规则在规定时间生效的设置logging：对应的ACL规则对符合条件的数据包做日志的设置fragment：对应的ACL规则仅对非首片分片报文有效的设置 基本访问控制列表配置举例举例：路由器允许源地址为202.110.10.0/24网段数据通过，拒绝源地址192.110.10.0/24网段数据通过。[Quidway]aclnumber10[Quidway-acl-basic-10]rule1permitsource202.110.10.00.0.0.255[Quidway-acl-basic-10]rule2denysource192.110.10.00.0.0.255 高级访问控制列表高级访问控制列表使用除源地址外更多的信息描述数据包，表明是允许还是拒绝。从202.110.10.0/24来的,到179.100.17.10的，使用TCP协议，利用HTTP访问的数据包可以通过！路由器OK 高级访问控制列表创建高级访问控制列表，可以是名字方式，也可以是数字方式acl{numberacl-number|nameacl-nameadvanced}[match-order{config|auto}]注意：number范围：100－199advanced:代表高级访问控制列表match-order方式：config和auto两种config：指按照配置的顺序执行auto：指按照深度优先的方式执行 高级访问控制列表在高级访问控制列表视图下，配置ACL规则rule[rule-id]{permit|deny}protocol[sourcesource-addrsource-wildcard|any][destinationdest-addrdest-mask|any][soure-portoperatorport1[port2]][destination-portoperatorport1[port2]][icmp-typeicmp-typeicmp-code][precedenceprecedence][tostos][time-rangetime-name][logging][fragment] 高级访问控制列表在高级访问控制列表视图下，取消ACL规则undorulerule-id[source][destination][soure-port][destination-port][icmp-type][precedence][tos][time-range][logging][fragment]注意：source-port：指定UDP或者TCP报文的源端口信息destiation-port：指定UDP或者TCP报文的目的端口信息icmp-type：指定ICMP报文的类型和消息码信息tos：对应的ACL规则的tos的相关设置 高级访问控制列表配置举例举例：路由器允许源地址为202.110.10.0/24，目的地址为179.100.17.10/32，协议类型为HTTP的报文通过[Quidway]aclnumber101[Quidway-acl-adv-101]rule1permittcpsource202.110.10.00.0.0.255destination179.100.17.100destination-porteqwww 基于接口的访问控制列表基于端口的访问控制列表是利用接收报文的接口确定接受还是拒绝报文通过端口Ethernet2/0/0拒绝接受任何报文 基于接口的访问控制列表创建一个基于接口的访问控制列表，可以是名字方式，也可以是数字方式acl{numberacl-number|nameacl-nameinterface}[match-order{config|auto}]在基于接口的访问控制列表视图下，配置ACL规则rule{permit|deny}[interfaceinterface-name][time-rangetime-name][logging]在基于接口的访问控制列表视图下，取消ACL规则undorulerule-id注意：acl-number：1000-1999 基于接口的访问控制列表配置实例举例：端口Ethernet2/0/0拒绝接受任何报文[Quidway]aclnumber1001[Quidway]ruledenyinterfaceethernet2/0/0 问题访问控制列分为哪几类？基本访问控制列和高级访问控制列有什么区别？ 小结本章主要介绍了访问控制列的分类和三种访问控制列表的基本配置。 课程结束谢谢'