第二章访问控制列表ACL试卷.ppt

注意：访问列表是有方向的，我们可以在需要配置ACL的路由器的接口上指明。 我们要区分两个概念，它们会在后面的幻灯中出现： 1、向内的（inbound)：表示数据流流向路由器。 2、向外的（outbound)：表示数据流从路由器流出。 IP访问控制列表分为： ●标准IP访问控制列表一个标准IP访问控制列表匹配IP包中的源地址或源地址中的一部分，可对匹配的包采取拒绝或允许两个操作。编号范围是从1到99的访问控制列表是标准IP访问控制列表。●扩展I P访问控制列表扩展IP访问控制列表比标准IP访问控制列表具有更多的匹配项；包括协议类型、源地址、目的地址、源端口、目的端口、已建立连接的和IP优先级等。编号范围是从100到199的访问控制列表是扩展IP访问控制列表。 一个ACL是一组判断语句的集合，它对下列数据报进行控制： 1、入站接口的数据包 2、通过路由器进行中继的数据包 3、从出站接口跳出路由器的数据包(而路由器本身发出的分组是不起作用的) 利用ACL 来过滤，必须把ACL 应用到需要过滤的那个路由器的接口上，否则ACL 是不会起到过滤作用的。而且你还要定义过滤的方向，比如是是想过滤从Internet 到你企业网的数据包呢？还是想过滤从企业网传出到Internet 的数据包呢? 方向分为下面2 种： 1、Inbound（入站） ACL：先处理,再路由 2、Outbound（出站）ACL：先路由,再处理 访问列表(access lists)的主要作用是过滤你不想要的数据包，设置ACL 的一些规则如下： 1、按顺序的比较：先比较第一行，如果不匹配，再比较第二行，依次类推直到最后一行。 2、从第一行起，直到找到一个符合条件的行；符合以后，其余的行就不再继续比较下去。 3、默认在每个ACL 中的最后一行为隐含的拒绝(deny)；如果之前没找到一条许可(permit)语句，意味着包将被丢弃。所以每个ACL 必须至少要有一行permit 语句，除非你想要所有数据包丢弃。 通配符掩码是一个32位比特位的数字字符串，它被用点号分成4个8位组，每个8位组包含8个比特位。 不同于IP子网掩码；通配符掩码中，0表示”相应的地址位必须被测试“；掩码位上的1表示”相应的地址位可以被忽略，不用检查”。 因此，通配符掩码看起来就像一个颠倒过来的IP子网掩码（例如，0.0.255.255和255.255.0.0)。 通配符掩码跟IP地址是成对出现的。在通配符掩码的地址位使用1或0来表示如何处理相应的IP地址位。 假设组织机构拥有一个C类网络198.78.46.0，若不使用子网，则当允许网络中的每一个工作站通过时，使用子网屏蔽码255.255.255.O。在这种情况下，1表示一个 匹配，而0表示一个不关心的条件。因为Cisco通配符屏蔽码与子网屏蔽码是相反的，所以匹配源网络地址198.78.46.0中的所有报文的通配符屏蔽码为:0.0.0.255。 当网络管理员想要与整个IP主机地址的所有位相匹配时，IOS允许：在ACL的通配符掩码中使用缩写词。 例如： Access-list 1 permit 172.30.16.29 0.0.0.0 可以用host该为： Access-list 1 permit host 172.30.16.29 当网络管理员想允许访问任何目的地址时,可以使用下列访问列表形式: Access-list 1 permit 0.0.0.0 255.255.255.255 可以用 any改写为: Access-list 1 permit any ACL的功能非常强大，不仅可以在接口上应用从而实现数据流的过滤，而且可以跟路由选择协议相结合从而进行路由信息传递的过滤。 比如，有一台路由器A和一台路由器B通过serial0相连,运行RIP路由选择协议；你只想让172.30.16.0/24 to 172.30.31.0/24的路由信息通过, 而不允许其他子网路由信息被通告出去,可以使用下列命令: Router ripdistribute-list 10 out serial0 ! Access-list 10 permit 172.30.16.0 0.0.15.255 ! End * 使用访问控制列表(ACL)管理IP流量 模块 6 目标 本模块完成后,你能: 对于一个给定的路由器,你能使用IOS命令配置标准访问列表和扩展访问列表,并能熟练的应用NAT/PAT(网络地址转换/端口地址转换)来访问外部网络. 使用show命令显示访问控制列表的内容;并通过观察记数器的数值来确定访问列表条目是否生效,从而明白你是否做的正确 ? 2002, Cisco