数据通信课件13ZXR10BCCNACL原理及配置ACL原理幻灯片.ppt

* 如果想指定匹配所有地址可使用IP地址与通配符为 55，其中IP地址代表所有网络地址，而通配符55代表不管数据包中的IP地址是什么都满足匹配条件。所以 55 意为接受所有地址并且可简写为 any * 对于特定子网网段范围的匹配，其计算方式与子网划分与子网掩码的计算类似但“0”与“1”的含义相反 * 配置标准ACL其列表号码范围1到99，配置语句中只有源地址的匹配条件，如果只写IP地址而不写通配符，其缺省通配符为。 可使用“no access-list access-list-number” 删除整个ACL。 在接口配置模式下使用ip access-group access-list-number { in | out }将ACL应用在接口上。 可使用“no ip access-group access-list-number” 去掉接口上的ACL设置 * 要求与配置结果分开出现，动画化，检查配置是否正确！！！ 注意，将ACL 1放在这两个接口的入方向行不行？不行，因为这样的话，和非网段就能够互通了。 * 注意，此ACL放在fei_1/1的入方向行不行？不行，因为这样的话，3就不能从这个接口发出任何流量，不能访问其他任何网段了。 此时可以提到标准ACL的位置，一帮放在离目的端比较近的出方向上。 * 本例中ACL 1限制网段、允许其他的数据流量并被应用在接口fei_1/2的外出方向，这样网段与接口fei_1/2连接的网段之间不能互相访问，但网段与网段都可以与非网络的主机间互相访问。 * 字体格式 使用命令line telent access-class access-list-number 来引用一个ACL并作用在路由器的telnet服务上。利用ACL针对地址限制进入的 vty 连接。 * 本例中ACL 12只允许源地址为 网段中的主机的访问。 然后进入line telnet配置模式，使用命令access-class 12 引用ACL 12，将ACL12作用于路由器对外的telnet服务上。 这样只有处于网络 内部的主机可以telnet访问本路由器，其他网络内的主机将不能通过telnet方式访问本路由器。 * 使用命令access-list access-list-number { permit | deny } protocol source source-wildcard [operator port] destination destination-wildcard [ operator port ] [ established ] 配置扩展ACL 其中access-list-number 为ACL列表号，号码范围为100-199 { permit | deny }为关键字，必选项 Protocol为协议类型，包括：协议类型----协议类型包括Ip 、Udp、Tcp、Icmp source source-wildcard为源地址及源地址掩码 [operator port]传输层的源端口号 destination destination-wildcard为目的地址及目的地址掩码 [ operator port ]传输层的目的端口号 [ established ]只有当协议类型为TCP时可用，其含义为允许从源到目的建立TCP连接并传输数据而不允许其他连接的建立。 在接口配置模式下使用命令Router(config-if)# ip access-group access-list-number { in | out }将ACL应用到接口上。 * 最后应用在接口fei-1/2的外出方向上。 其作用为拒绝从子网 到子网 通过fei_ 1/2口出去的FTP访问 ，同时允许其他所有流量的访问。 * 最后应用在接口fei-1/2的外出方向上。 其作用为拒绝从子网 发出的通过fei_ 1/2口外出的到达任何网络的telnet访问 ，同时允许其他所有流量的访问。 * ACL配置原则 ACL语句的顺序很关键。 ACL按照由上到下的顺序执行，找到一个匹配语句后既执行相应的操作，然后跳出ACL而不会继续匹配下面的语句。所以ACL中语句的顺序很关键，如果顺序错误则有可能效果与预期完全相反。可以进入acl配置模式，进行灵活编辑，支持单条删除和单条增加，也可以 使用文本编辑器在TFTP服务器或使用PC剪切、粘帖来创建ACL。 ACL的执行是按自上到下的处理顺序进行的，如果首先指定一个大的网络范围，拒绝其通过，然后指定这个大范围内的某个更小范围的网段，允许其通过，则允许的条目永远不会起作用，因为数据包会首先匹配上前面的一条语句并直接被丢弃，而不会再匹配后续的语句，所以要首先配置最为具体的匹配条件，如主机的匹