- 1、本文档共7页,可阅读全部内容。
- 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
访问控制列表方案
一、 ACL 简介
Access control list 访问控制列表
数据分类工具:区分流向网络设备的数据流,基于特定数据流的特征区分数据
特征:
源IP
源、目标IP
协议号
端口号
其他一些信息
ACL 使用目的:
区分数据以便统一执行规定的动作
包过滤:定义丢弃或放通的数据特征。丢弃一些数据;放通另外一些数据。
NAT:定义要转换的地址。
IPSec/VPN:定义要加密的数据
QoS:区分不同的业务数据
路由策略:定义要控制的路由
按需拨号;定义感兴趣的流量
ACL 分类:
标准ACL:基于源IP 进行分类;编号1~99
扩展ACL:基于源IP、目标IP、协议号、端口号、应用层;编号100~199
命名ACL:就是把编号取代为名字,并用关键字区分标准或扩展。
二、 包过滤:
通过定义数据的特征,丢弃/放通一些数据
在特定的设备,特定的接口,特定的方向上绑定
人口ACL:针对从该接口进入的数据进行包过滤
出口ACL:针对从该接口离开该设备的数据进行包过滤
针对特定的一个接口,一个协议,一个方向上只能使用一个ACL
ACL 默认不控制自己产生的数据
路由器处理数据包的流程:
ACL 前:
接口收到数据,还原成二层帧
基于目标IP 查找路由表,找到出口
针对出口完成二层重写并封装
ACL 后:
人口ACL:
接口收到数据,还原成二层帧
首先进行基于ACL 的包过滤
被放通的数据查找路由表找出口
基于出口完成二层重写
出口ACL:
接口收到数据,还原成二层帧
基于目标IP 查找路由表,找出口
如果接口有出口ACL,则进行包过滤
允许的数据基于出口完成二层重写
三、 ACL 的基本原则
ACL 的语句由两部分组成:条件、操作
Access‐list 23 permit 192.168.1.8 0.0.0.0
在包过滤中首先检测数据是否符合条件,如果符合条件则执行规定的操纵动作。
ACL 由ACL 号绑定多条语句
匹配顺序:先上后下执行查找
Cisco ACL 缺省有一条隐藏语句:Deny any;Deny any any
Deny 0.0.0.0 255.255.255.255
ACL 的语句书写顺序决定执行顺序
细化的、经常匹配的放在前面、粗略的放在后面
标准IP访问列表(1‐99,1300‐1999):只使用SIP信息来过滤决定。
扩展IP访问列表(100‐199,2000‐2699):根据源和目的IP地址、源和目的端口、
协议类型等信息作出过滤。
不能单独删除ACL 中的某些语句
命名ACL 支持单独删除ACL 中的某条语句
ACL 对CPU 有一定的考验~
四、 ACL 的基本配置
保证基本的连通性
定义数据的特征及相应的操作
Access‐list [#]permit/deny 源IP 通配符
在接口上调用ACL
Ip access‐group acl# in/out
命名方式ACL:
Ip access‐list standard/extend ccnp
Config‐acl# permit #or deny #
可以针对特定的语句进行添加、删除
在接口上调用命名ACL
Ip access‐group ccnp in/out
自反ACL
带Established 选项的ACL
检查TCP 头部中的Ack 或Rst 位,如果该位置1 则符合Estalbished 选项
交换网络中的ACL
Racl:路由ACL
应用于交换机三层接口上的ACL(IP 流的ACL)
Pacl:端口ACL
应用于交换机二层接口的ACL,只对In 方向的匹配,可以定义IP 流和非IP 流
Mac‐Acl:
Mac access‐list 1 deny mac_pc1
Int f0/2 ; mac access‐group 1 in
Vlan‐map:
定义ACL:定义数据流
Vlan‐map:决定数据流的行为
Access‐list 100 permit 192.168.2.0 0.0.0.255 192.168.2.0 0.0.0.255
Vlan access‐map ccnp 10
Match ip address 100
Action drop
Vlan filter ccnp vlan 2
访问控制列表的作用:
今天的网络就好比一条复杂的高速公路 ,各种数据在其上快速通过,为了正确的规划流量,保证网络的畅通,安全。我们就要设一些禁行标志、规定单行线等等,这就是网络上的ACL
其实在网络上有很多种方法可以实现以上的作用,但是最简单易行的还是访问控制列表。
访问控制列表:就是用来在使用路由技术的网络里,识别和过滤那些由某些网络发出的或者被发送出去到某些网络的符合我们所规定条件的数据流量,以决定这些数据流量是应该转发还是应该丢弃的技术。
您可能关注的文档
- 认识和使用显微镜的探究式教学尝试.pdf
- 一、当前流通环节食品安全现状.doc
- 2010年女工工作计划.doc
- 装配实习任务书.doc
- 当前的数学复习课中存在.doc
- 校内复赛程式设计试题.pdf
- 全国1+N职业培训项目葡萄酒课程发展中心简介.pdf
- 影视艺术的美学特征.ppt
- 网站SEO入门教程,网站内链优化的实战密码-火人营销.pdf
- 加强我院青年教师师德建设的思考(李勇).doc
- 2023-2024学年广东省深圳市龙岗区高二(上)期末物理试卷(含答案).pdf
- 2023-2024学年贵州省贵阳市普通中学高一(下)期末物理试卷(含答案).pdf
- 21.《大自然的声音》课件(共45张PPT).pptx
- 2023年江西省吉安市吉安县小升初数学试卷(含答案).pdf
- 2024-2025学年广东省清远市九校联考高一(上)期中物理试卷(含答案).pdf
- 广东省珠海市六校联考2024-2025学年高二上学期11月期中考试语文试题.pdf
- 2024-2025学年语文六年级上册第4单元-单元素养测试(含答案).pdf
- 2024-2025学年重庆八中高三(上)月考物理试卷(10月份)(含答案).pdf
- 安徽省安庆市潜山市北片学校联考2024-2025学年七年级上学期期中生物学试题(含答案).pdf
- 贵州省部分校2024-2025学年九年级上学期期中联考数学试题(含答案).pdf
最近下载
- 基于Android开发的购物商城App的设计与实现-毕业设计.pdf VIP
- 测绘中级工程师职称答辩题库.pdf
- 办公大楼供电设备管理维护方案.docx VIP
- 学习小组组织与管理小组组织与管理实施计划.docx
- 2024年中考物理二轮题型(全国通用)压轴题:含压强、浮力、杠杆、滑轮的机械效率的综合计算(解析版).pdf VIP
- 高校学生工作案例分析的方法与技巧.pdf VIP
- 基于Android的网上商店商城购物系统app的设计与实现毕业论文.docx
- 地理学概论地理科学研究的基本方法.ppt
- 八年级上册英语完形填空、阅读理解专题100题(含参考答案).pdf VIP
- 2023年肺癌脑转移中国治疗指南.docx
文档评论(0)