第8周56接入网网络设备互联无线局域网电子教案.docx

课题名称：扩展访问限制列表课的类型：新课教学目的：理解扩展访问限制列表的作用；驾驭扩展访问限制列表配置教学重点：驾驭扩展的访问限制列表配置教学难点：无 课时支配：2课时教学方法：案例教学教学过程：一、访问列表概述访问列表是由一系列语句组成的列表，这些语句主要包括匹配条件和实行的动作（允许或制止）两个内容;访问列表应用在路由器的接口上，通过匹配数据包信息及访问表参数来确定允许数据包通过还是回绝数据包通过某个接口;数据包是通过还是回绝，主要通过数据包中的源地址、目的地址、源端口、目的端口、协议等信息来确定;访问限制列表可以限制网络流量，进步网络性能，限制网络通信流量等，同时ACL也是网络访问限制的根本平安手段。二、IP访问列表1. 标准IP 访问列表：其只检查数据包的源地址，从而允许或回绝基于网络、子网或主机的IP 地址的全部通信流量通过路由器的出口。 2. 扩展IP访问列表：它不仅检查数据包的源地址，还要检查数据包的目的地址、特定协议类型、源端口号、目的端口号等3. 命名的IP访问列表 所谓命名的IP访问限制列表是以列表名代替列表编号来定义IP访问限制列表，同样包括标准和扩展两种列表，定义过滤的语句及编号方式中相像。l 命名IP访问列表通过一个名称而不是一个编号来引用的。l 命名的访问列表可用于标准的和扩展的访问表中。l 名称的运用是区分大小写的，并且必需以字母开头。在名称的中间可以包含任何字母数字混合运用的字符，也可以在其中包含，、，、_、-、+、/、.、&、$、#、!以及?等特殊字符l 名称的最大长度为1 0 0个字符4. 编号IP访问列表和命名IP访问列表的区分l 名字能更直观地反映出访问列表完成的功能l 命名访问列表打破了99个标准访问列表和100个扩展访问列表的数目限制，可以定义更多的访问列表。l 命名IP访问列表允许删除个别语句，而编号访问列表只能删除整个访问列表l 单个路由器上命名访问列表的名称在全部协议和类型的命名访问列表中必需是唯一的，而不同路由器上的命名访问列表名称可以一样。三、ACL转发的过程四、访问列表配置步骤第一步是配置访问列表语句第二步是把配置好的访问列表应用到某个端口上访问列表留意事项o 留意访问列表中语句的次序，尽量把作用范围小的语句放在前面。o 新的表项只能被添加到访问表的末尾，这意味着不行能变更已有访问表的功能。假如必需要变更，只有先删除已存在的访问列表，然后创立一个新访问列表、然后将新访问列表用到相应的接口上。o 标准的IP访问列表只匹配源地址，一般都运用扩展的IP访问列表以到达准确的要求。o 标准的访问列表尽量靠近目的，由于标准访问表只运用源地址，因此将其靠近源会阻挡报文流向其他端口。扩展的访问列表尽量靠近过滤源的位置上，以免访问列表影响其他接口上的数据流。o 在应用访问列表时，要特殊留意过滤的方向五、扩展IP访问列表的配置吩咐1、配置扩展访问列表n （config）#access-list access-list-number permit|deny protocol source-address source-wildcard source-port destinaiton address destination-wildcard destination-port log optionsn access-list-number：编号范围为100199。n Permit：通过；deny：制止通过n Protocol：需要被过滤的协议的类型，如IP、TCP、UDP、ICMP、EIGRP等。n source-address ：源IP地址n source-wildcard：源通配符掩码n source-port：可以是单一的某个端口，也可以是一个端口范围n destination-address：目的IP地址n destination-wildcard：目的地址通配符掩码n destination-port：目的端口号，指定方法及源端口号的指定方法一样2、应用访问列表到接口n ip access-group access-list-number in|outn In：通过接口进入路由器的报文n Out：通过接口分开路由器的报文3、显示全部协议的访问列表配置细微环节n show access-lists access-list-number4、扩展IP访问列表配置举例要求允许LAN3的全部主机能登录Internet，但只能阅读、SMTP、POP3协议的通信。LAN2中的主机192.168.2.1向Internet供应WWW效劳，主机192.168.2.2向Internet供应FTP效劳，主机192.168.2.3向Internet供应SMTP效劳，其余主机不能被Internet访问。LAN1中的主机不能访问Internet，但可以访问LAN2和LAN3o router# configure terminalo router(config)#access-list 101 permit tcp 192.168.3.0 0.0.0.255 any eq wwwo router(config)#access-list 101 permit tcp 192.168.3.0 0.0.0.255 any eq ftpo router(config)#access-list 101 permit tcp 192.168.3.0 0.0.0.255 any eq smtpo router(config)#access-list 101 permit tcp 192.168.3.0 0.0.0.255 any eq pop3o router(config)#access-list 101 deny ip any 192.168.1.0 0.0.0.255o router(config)#access-list 102 permit tcp any host 192.168.2.1 eq wwwo router(config)#access-list 102 permit tcp any host 192.168.2.2 eq ftpo router(config)#access-list 102 permit tcp any host 192.168.2.3 eq smtpo router(config)# interface serial 1o router(config-if)# ip access-group 101 outo router(config-if)#interface ethernet 0o router(config-if)#ip access-group 102 out课堂总结：本次课通过扩展访问限制列表的学习，学生对访问限制列表有更深化的相识。驾驭了网络平安防范的新学问。