ACL访问控制列表的应用.docVIP

ACL的作用 　　ACL可以限制网络流量、提高网络性能。例如，ACL可以根据数据包的协议，指定数据包的优先级。 　　ACL提供对通信流量的控制手段。例如，ACL可以限定或简化路由更新信息的长度，从而限制通过路由器某一网段的通信流量。 　　ACL是提供网络安全访问的基本手段。ACL允许主机A访问人力资源网络，而拒绝主机B访问。 　　ACL可以在路由器端口处决定哪种类型的通信流量被转发或被阻塞。例如，用户可以允许E-mail通信流量被路由，拒绝所有的Telnet通信流量。 　　例如：某部门要求只能使用 WWW 这个功能，就可以通过ACL实现； 又例如，为了某部门的必威体育官网网址性，不允许其访问外网，也不允许外网访问它，就可以通过ACL实现。 ACL应用在路由接口上（进方向、出方向），一个接口，一个方向，一个协议只能应用一种ACL，并且ACL不能过滤自己产生的数据。 ACL的执行过程 　　一个端口执行哪条ACL，这需要按照列表中的条件语句执行顺序来判断。如果一个数据包的报头跟表中某个条件判断语句相匹配，那么后面的语句就将被忽略，不再进行检查。 　　数据包只有在跟第一个判断条件不匹配时，它才被交给ACL中的下一个条件判断语句进行比较。如果匹配（假设为允许发送），则不管是第一条还是最后一条语句，数据都会立即发送到目的接口。如果所有的ACL判断语句都检测完毕，仍没有匹配的语句出口，则该数据包将视为被拒绝而被丢弃。这里要注意，ACL不能对本路由器产生的数据包进行控制。ACL中应至少包含一条允许语句。 ACL的分类 　　目前有两种主要的ACL:标准ACL和扩展ACL。 　　标准的ACL使用 1 ~ 99 以及1300~1999之间的数字作为表号扩展的ACL使用 100 ~ 199以及2000~2699之间的数字作为表号　　标准ACL可以阻止来自某一网络的所有通信流量，或者允许来自某一特定网络的所有通信流量，或者拒绝某一协议簇（比如IP）的所有通信流量。 　　扩展ACL比标准ACL提供了更广泛的控制范围。例如，网络管理员如果希望做到“允许外来的Web通信流量通过，拒绝外来的FTP和Telnet等通信流量”，那么，他可以使用扩展ACL来达到目的，标准ACL不能控制这么精确。 　　在标准与扩展访问控制列表中均要使用表号，而在命名访问控制列表中使用一个字母或数字组合的字符串来代替前面所使用的数字。使用命名访问控制列表可以用来删除某一条特定的控制条目，这样可以让我们在使用过程中方便地进行修改。 在使用命名访问控制列表时，要求路由器的IOS在11.2以上的版本，并且不能以同一名字命名多个ACL，不同类型的ACL也不能使用相同的名字。 　　随着网络的发展和用户要求的变化，从IOS 12.0开始，思科（CISCO）路由器新增加了一种基于时间的访问列表。通过它，可以根据一天中的不同时间，或者根据一星期中的不同日期，或二者相结合来控制网络数据包的转发。这种基于时间的访问列表，就是在原来的标准访问列表和扩展访问列表中，加入有效的时间范围来更合理有效地控制网络。首先定义一个时间范围，然后在原来的各种访问列表的基础上应用它。 基于时间访问列表的设计中，用time-range 命令来指定时间范围的名称，然后用absolute命令，或者一个或多个periodic命令来具体定义时间范围。 标准访问控制列表: 检查源地址，允许、拒绝的是完整的协议。命令 Router(config)#access-list access-list-number {permit|deny} source mask Router(config-if)#ip access-group access-list-number { in | out } Router(config)#access-list 编号 策略 源地址通配符掩码编号: 标准访问控制列表范围.策略: permit允许 | deny 拒绝源地址:要严格检查的地址(源地址很关键) IP+通配符掩码 通配符掩码-----是用来限定特定的地址范围?????????? 用0 表示严格匹配?????????? 用1 表示不检查（为了确定一个具体的主机地址是否匹配条件。路由器必须检查IP地址的每一位 32 比特。路由器是怎么知道要检查比特位是多少------通配符掩码）定义了我们要检查IP地址的位数。 例如:对于主机???? 通配符掩码 .0.0.0 32位都要检查??对于主网 /16 通配符掩码 55? 检查16位对于子网 /24 通配符掩码 55? 24位要检查任意的??通配符掩码 55不检查 主机----host????? 任意----any?? 表示 提问:4/28子网掩码是多少? 40网络号是多少???? 4/28 (借了4位.