02-2-0-路由-第5章 访问控制列表

访问控制列表

第二部分 路由原理及实现第1章 路由概述 第2章 第3章 第4章 距离矢量路由协议 OSPF EIGRP

第5章 访问控制列表 第6章 NAT

访问控制列表

第二部分 路由原理及实现

第5 章

访问控制列表

2002, Cisco Systems, Inc. All rights reserved.

访问控制列表

ACL学习内容 学习内容

一, ACL概述 概述 二,ACL的分类 的分类 标准ACL 标准 扩展ACL 扩展

三, ACL的配置与应用 的配置与应用 四, ACL的验证 的验证 高级ACL(基于时间的 基于时间的ACL) 五, 高级 基于时间的

访问控制列表

一,ACL概述 概述什么是ACL? 什么是 ACL的本质就是一系列对数据包过滤的条件(规则). 的本质就是一系列对数据包过滤的条件(规则). 的本质就是一系列对数据包过滤的条件 例如: 内主机能访问192.168.1.1/24 例如: a.192.168.2.0/24内主机能访问 内主机能访问 b.192.168.3.0/24内主机不能访问 内主机不能访问192.168.1.1/24 内主机不能访问192.168.1.1/24

192.168.2.0/24

192.168.3.0/24

访问控制列表

为什么使用IP访问控制列表 为什么使用 访问控制列表? 访问控制列表

Token RingFDDI

当网络增长时,管理IP网络流量 当网络增长时,管理 网络流量

访问控制列表

为什么使用IP访问控制列表 为什么使用 访问控制列表? 访问控制列表

172.16.0.0

Token RingFDDI

Internet

172.17.0.0

当网络增长时,管理IP网络流量 当网络增长时,管理 网络流量 当数据包经过 当数据包经过Router时,对数据进行筛选 时6

访问控制列表

为什么使用IP访问控制列表 为什么使用 访问控制列表? 访问控制列表

端口上的数据传输

虚拟会话 (IP)

允许,拒绝数据包通过路由器 允许, 允许,拒绝Telnet会话的建立 允许,拒绝 会话的建立 没有设置访问列表时,所有的数据包都会在网络上传输 没有设置访问列表时,

访问控制列表

ACL的特点 的特点1,按照顺序进行匹配,如从第一行开始,然后第二行,第三行等; ,按照顺序进行匹配,如从第一行开始,然后第二行,第三行等; 2,按照顺序查询匹配,符合条件后就不再继续匹配后面的条目; ,按照顺序查询匹配,符合条件后就不再继续匹配后面的条目; 3,每个ACL列表后都隐含一条拒绝的语句,每个 ,每个 列表后都隐含一条拒绝的语句, 语句; 列表后都隐含一条拒绝的语句 每个ACL至少包含一条 permit语句; 至少包含一条 语句 4,ACL设计用于过滤通过 , 设计用于过滤通过Router的流量,但不会过滤 的流量, 自身产生的流量; 设计用于过滤通过 的流量 但不会过滤Router自身产生的流量; 自身产生的流量 5,除了命名ACL,不能在其他 ,除了命名 删除表中的其中一条规则, ,不能在其他ACL删除表中的其中一条规则,否则将会删除整个 删除表中的其中一条规则 否则将会删除整个ACL; ; 6,每接口,每协议或每方向只能分派一个ACL ,每接口,每协议或每方向只能分派一个 7,ACL的

应用有进(出)站访问列表 , 的应用有进( 的应用有进 进站访问列表:数据包先经过ACL处理再转发 进站访问列表:数据包先经过 处理再转发 出站访问列表: 出站访问列表:数据包先被转发到出口再经过 ACL处理 处理 8,扩展 尽可能的放置在靠近源地址的位置, 尽可能放置靠近目标地址 ,扩展ACL尽可能的放置在靠近源地址的位置,标准 尽可能的放置在靠近源地址的位置 标准ACL尽可能放置靠近目标地址位置 尽可能放置靠近目标地址位置 9,ACL中使用通配符.即使用反子网掩码 中使用通配符. , 中使用通配符 8

访问控制列表

出入站访问控制列表

172.16.3.0

Non172.16.0.0

172.16.4.0 172.16.4.13

S0 E0 E1

out

in

访问控制列表

出端口方向上的访问列表

Packet Inbound Interface Packets Choose Interface Test Access List Statements Access List ?Y N N

S0 Outbound Interfaces E0 Packet Permit ?Y

Y Routing Table Entry

?N

Discard Packet Packet Discard Bucket Notify Sender

If no access list statement matches then discard the packet

访问控制列表

访问列表的测试: 访问列表的测试:允许和拒绝Match First Test N Y ? N

Packets to Interface(s) in the Access Group

Deny DenyN Match Next Test(s) ? N Y

Permit Permit Destination Interface(s) Permit

Deny

Y

Packet Discard Bucket

Match Y Last Test ? N Implicit Deny

Deny

If no match deny all

访问控制列表

在哪里放置访问控制列表S0 E0 E0A B

S0 S1 S1D C

E0

To0

Token Ring

E0

E1

Recommended: 将扩展访问控制列表靠近源地址 将标准访问控制列表靠近目的地址 12

访问控制列表

二,ACL的分类 的分类

访问列表类型 IP Standard Extended Named Standard Extended SAP filters Named

编号范围 1-99 100-199 Name (Cisco IOS 11.2 and later) 800-899 900-999 1000-1099 Name (Cisco IOS 11.2. F and later)

IPX

标准访问列表 (1 to 99) 检查 IP 数据包的源地址 扩展访问列表 (100 to 199) 检查源地址和目的地址,具体的 TCP/IP 协议和目的端口 检查源地址和目的地址,

其它访问列表编号范围表示不同协议的访问列表

访问控制列表

E0Incoming Packet

Access List ProcessesSource and Destination Protocol Permit?

Outgoing Packet

S0

标准 – 检查源地址 – 通常允许,拒绝的是完 …… 此处隐藏：1440字，全部文档内容请下载后查看。喜欢就下载吧 ……