- 1、本文档共18页,可阅读全部内容。
- 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
访问控制列表 ACL 运行简介 为什么要使用 ACL?过滤:通过过滤经过路由器的数据包来管理 IP 流量分类:标识流量以进行特殊处理ACL 的应用:过滤允许或拒绝经过路由器的数据包。允许或拒绝来自路由器或到路由器的 vty 访问。如果没有 ACL,所有数据包会发往网络的所有部分。ACL 的应用:分类根据数据包测试情况对流量进行特殊处理出站 ACL 运行如果没有 ACL 语句匹配,则丢弃数据包。 测试步骤:拒绝或允许ACL 的类型 标准 ACL检查源地址通常允许或拒绝整个协议簇 扩展 ACL检查源地址和目的地址通常允许或拒绝特定协议和应用程序有两种用于标识标准 ACL 和扩展 ACL 的方法:编号 ACL 使用编号进行标识命名 ACL 使用描述性名称或编号进行标识如何标识 ACL标准编号 IPv4 列表 (1-99) 可测试源地址的所有 IP 数据包的条件。扩展范围是 (1300-1999)。扩展编号 IPv4 列表 (100-199) 可测试源地址和目的地址、特定 TCP/IP 协议和目的端口的条件。扩展范围是 (2000-2699)。 命名 ACL 用字母数字字符串(名称)标识 IP 标准 ACL 和扩展 ACL。 ?IP 访问列表条目序列编号 需要 Cisco IOS 12.3 版允许使用序列编号来编辑 ACL 语句的顺序在 Cisco IOS 12.3 版之前,使用文本编辑器来创建 ACL 语句,然后将语句以正确的顺序复制到路由器中。允许使用序列号从列表中删除单条 ACL 语句在 Cisco IOS 12.3 版之前的软件中使用命名 ACL 时,必须使用 no {deny | permit} protocol source source-wildcard destination destination-wildcard 来删除单条语句。在 Cisco IOS 12.3 版之前的软件中使用编号 ACL 时,必须删除整个 ACL 才能删除单条 ACL 语句。ACL 配置的指导原则标准或扩展代表可过滤的内容。每个接口、协议、方向只允许有一个 ACL。ACL 语句的顺序控制着测试,因此最具体的语句位于列表顶部。最后的 ACL 测试始终是隐式拒绝其它所有语句,因此每个列表需要至少一条 permit 语句。在全局范围内创建 ACL,然后将其应用到入站流量或出站流量的接口。ACL 可过滤经过路由器的流量或往返路由器的流量,具体取决于其应用方式。将 ACL 置于网络中时:扩展 ACL 应靠近源地址标准 ACL 应靠近目的地址动态 ACL动态 ACL(锁和钥匙):想要穿越路由器的用户需要使用 Telnet 来连接路由器并通过身份验证,否则将会被拦截。 自反 ACL自反 ACL:用于允许出站流量并限制入站流量,以响应来自路由器内部的会话基于时间的 ACL基于时间的 ACL:允许根据天数和周数控制访问通配符位:如何检查对应的地址位0 表示匹配对应地址位的值 1 表示忽略对应地址位的值用通配符位匹配 IP 子网匹配 IP 子网 172.30.16.0/24 至 172.30.31.0/24。地址和通配符掩码:172.30.16.0 0.0.15.255通配符位掩码的缩写172.30.16.29 0.0.0.0 匹配所有地址位使用前面有关键字 host 的 IP 地址(host 172.30.16.29) 来缩写此通配符掩码0.0.0.0 255.255.255.255 忽略所有地址位用关键字 any 缩写表达式总结ACL 可用于 IP 数据包过滤或标识流量以将其分配给特殊处理。ACL 执行自上而下的过程,并可针对入站或出站流量进行配置。可使用命名 ACL 或编号 ACL 来创建 ACL。命名 ACL 或编号 ACL 可配置为标准 ACL 或扩展 ACL,以确定过滤的内容。自反、动态和基于时间的 ACL 为标准 ACL 和扩展 ACL 增加了更多功能。 在通配符位掩码中,0 位表示匹配对应地址位,1 位表示忽略对应地址位。 第 2 层,共 2 层强调:访问列表是标识特殊流量的机制。访问列表的应用之一是过滤进出路由器接口的流量。目的: 此图说明了 IP 访问列表的常见用途。强调: 本章重点介绍 IP 访问列表,访问列表的概念作为一种控制网络流量的机制适用于所有协议。注:改进的安全解决方案是“锁和钥匙”访问功能,仅 IP 扩展访问列表有此功能。“锁和钥匙”访问允许设置动态访问列表,通过用户身份验证过程为每个用户授予访问特定源主机/目的地主机的权限。可在不影响安全限制的情况下,允许用户通过防火墙进行动态访问。过渡:下图是三层结构的第一层,表示访问列表特定于 Cisco IOS? 功能的其它用途。第 3 层,共 3 层目的:此图是访问列表其它用途结构
您可能关注的文档
- 03建筑防火第二讲建筑高度和层数方圆老师.pdf
- 培训和课件进取1220gw新品介绍.pptx
- 参考实验指导课件.pdf
- 做计算找华算第9节.pdf
- 丽江公寓竞品2010年12月20日26.pdf
- 天津大众会议室安例.pdf
- 2014nogg指南英国骨质疏松诊断和治疗.pdf
- 5省一建化装配式防护棚的研制qc小组.pdf
- 中国矿业大学课件08092第4章1三极管.pdf
- 益生菌工具包手册新.pptx
- 六年级数学下册教学课件《解比例》.pptx
- 8.21.5 鸟类的生殖与发育(课件)八年级生物下册课件(苏教版).pptx
- 钠离子电池项目智能制造方案(范文参考).docx
- 2023-2024学年吉林省吉林市舒兰市七年级(上)期末语文试卷.docx
- 2024年吉林省吉林市丰满区亚桥实验学校中考数学三模试卷.docx
- 2023-2024学年吉林省辽源市东辽县七年级(上)期末英语试卷.docx
- 2023-2024学年吉林四平九年级数学第一学期期末水平检测试卷.docx
- 2023-2024学年吉林市蛟河市三校联考九年级(上)期末英语试卷.docx
- 2023-2024学年吉林松原九年级英语上册考场实战试卷.docx
- 电解液新材料项目智能制造方案.docx
文档评论(0)