工程2项目3ACL.ppt

* * * * In Figure the administrator wants to deny Telnet or FTP traffic from the Router A Ethernet LAN segment to the switched Ethernet LAN Fa0/1 on Router D. At the same time, other traffic must be permitted. There are several ways to do this. The recommended solution is an extended ACL that specifies both source and destination addresses. Place this extended ACL in Router A. Then, packets do not cross the Router A Ethernet segment or the serial interfaces of Routers B and C, and do not enter Router D. Traffic with different source and destination addresses will still be permitted. The general rule is to put the extended ACLs as close as possible to the source of the traffic denied. Standard ACLs do not specify destination addresses, so they should be placed as close to the destination as possible. For example, a standard ACL should be placed on Fa0/0 of Router D to prevent traffic from Router A. Administrators can only place access lists on devices that they control. Therefore access list placement must be determined in the context of where the network administrators control extends. The Interactive Media Activity will teach students where to place ACLs. The next page will discuss firewalls. * 访问列表的验证 显示全部的访问列表 Router#show access-lists 显示指定的访问列表 Router#show access-lists 1-199 显示全部的IP访问列表 Router#show ip access-lists 显示指定的访问列表 Router#show ip access-lists 1-199 显示接口的访问列表应用 Router#show ip interface 接口名称 接口编号 使用show running-config 显示ACL详细信息和绑定位置 访问列表的注意事项 1、在进行规则匹配时，从上至下，匹配成功马上停止，不会继续匹配下面的规则。 2、所有访问列表默认规则是拒绝所有数据包 3、处理方式只有允许通过和拒绝通过 4、锐捷路由器只能编写编号方式的规则 5、锐捷交换机只能编写命名方式的规则 6、一个端口在某一方向只能应用一组访问列表 基于时间的访问列表 一、概念 在扩展访问列表命令的定义格式中有一个[time-range time-range-name]参数(P241)，该参数用来定义基于时间的扩展访问列表，它规定了扩展访问控制列表所定义的访问规则，只有在time-range规定的时间段内才能起作用。 基于时间的访问列表 二、应用需求 基于时间的访问列表 二、应用需求 如图所示，这是一个公司的网络示意图，路由器的F1/0端口连接着员工的办公网络（/16），F1/1连接着公司的服务器网络（/24），该公司网络通过路由器的S1/2端口连接至internet，路由器的F1/0和F1/1端口的地址分别为：/24和/24。为了保证公司上班时间的工作效率，公司要求上班时间只可以访问公司内部的网站，下班以后员工可以随意放松，访问网络不受限制。 基于时间的访问列表 三、解决方案： 1.利用time