实训 11-1 标准 IP 访问控制列表的配置【实训目的 】(1)理解 IP 访问控制列表的原理及功能;(2)掌握编号的标准IP 访问控制列表的配置方法;【实训技术原理 】IP ACL(IP 访问控制列表或 IP 访问列表)是实现对流经路由器或交换机的数据包根据一定的规则进行过滤,从而提高网络可管理性和安全性;IP ACL分为两种:标准 IP 访问列表和扩展 IP 访问列表,编号范围分别为1~99、1300~1999,100~199、2000~2699;标准 IP 访问列表可以根据数据包的源IP 地址定义规则,进行数据包的过滤;扩展 IP 访问列表可以根据数据包的源IP、目的 IP 、源端口、目的端口、协议来定义规则,进行数据包的过滤;IP ACL 基于接口进行规则的应用,分为:入栈应用和出栈应用;^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^ 1.什么是访问控制列表ACLs 的全称为接入控制列表(Access Control Lists),也称为访问列表(Access Lists),俗称为防火墙,在有的文档中还称之为包过滤。ACLs 通过定义一些规则对网络设备接口上的数据报文进行控制:允许通过或丢弃。 按照其使用的范围,可以分为安全ACLs 和 QoS ACLs。对数据流进行过滤可以限制网络中的通讯数据的类型,限制网络的使用者或使用的设备。安全ACLs 在数据流通过网络设备时对其进行分类过滤,并对从指定接口输入或者输出的数据流进行检查,根据匹配条件 (Conditions)决定是允许其通过 (Permit)还是丢弃 (Deny)。总的来说,安全ACLs 用于控制哪些数据流允许从网络设备通过,Qos 策略对这些数据流进行优先级分类和处理。ACLs 由一系列的表项组成,我们称之为接入控制列表表项(Access Control Entry:ACE) 。每个接入控制列表表项都申明了满足该表项的匹配条件及行为。访问列表规则可以针对数据流的源地址、目标地址、 上层协议, 时间区域等信息。访问控制列表语句的执行必须严格按照表中语句的顺序,从第一条语句开始比较,一旦一个数据包的报头跟表中的某个条件判断语句相匹配,那么后面的语句就将被忽略,不再进行检查。2.基本 IP 访问控制列表创建访问列表时, 定义的规则将应用于设备上所有的分组报文,设备通过判断分组是否与规则匹配来决定是否转发或阻断分组报文。基本访问列表包括标准访问列表和扩展访问列表,访问列表中定义的典型规则主要有以下:源地址目标地址上层协议时间区域标准 IP 访问列表(编号为1 - 99,1300 - ...
