ACL知识点详解 - 360文档中心

合集下载

相关主题

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

第一节TCP/IP传输层与应用层TCP/IP OSI

TCP/IP：网络访问层协议

1～3章

第7 章

TCP/IP：互联网络层协议

5～6章

Internet层的功能

10.20.30.2/24172.16.1.2/24172.31.255.2/24

●互联网络层给每个网络的每台网络设备和主机配置所属的IP地址，实现逻辑寻址。

●能够建立网络与网络、主机与主机之间的连通性，但不保证数据传输的可靠性。

TCP/IP：传输层协议

●传输控制协议（TCP）

✓面向连接，每传输一个数

据分段，都建立一个连接

✓可靠的传输

●用户数据报协议（UDP）

✓无连接，将数据分段发送

出去后不确认对方是否已接

收到

✓不可靠，需要应用层协议

提供可靠性

TCP 与UDP 协议

●TCP与UDP协议使用端口号来区分主机上同一时间的不同会话。

●TCP端口号范围为：0～65535

●UDP端口号范围为：0～65535

●传输层提供从源主机到目的主机的传输服务，在网络端点之间建立逻辑连接。

●传输层TCP协议能够实现数据传输的可靠性。

●传输层能够实现数据传输时的流控制。

主机之间的多会话

●一台服务器可能提供多种服务，如Web和FTP ，在传输层用端口来区分每个应用服务。

●客户端也需要向多个目的发送不同的数据连接，使用端口区分每个连接。

●服务器使用知名端口号0～1023 提供服务。

●客户端使用高于1023的随机端口号作为源端口对外发起数据连接请求，并为每一个连接分配不

TCP/IP：应用层协议

●Web服务：

HTTP ---TCP 80 号端口

●文件传输服务：

FTP ---TCP 20、21 号端口

TFTP ---UDP 69 号端口

●电子邮件服务：

SMTP ---TCP 25 号端口

POP3 ---TCP 110 号端口

IMAP4 ---TCP 143 号端口

●域名服务：

DNS ---TCP、UDP 53 号端口

●远程登录：

Telnet ---TCP 23 号端口

SSH ---TCP 22 号端口

●网络管理：

SNMP ---UDP 161 号端口

第二节访问控制列表

问题1

能否实现以下限制：除了老板以外，其他员工只能访问互联网Web、FTP和电子邮件等常用服务，拒绝BT、电驴、在线电影、网

络游戏甚至QQ、MSN等与工作

无关的数据。

10.1.1.0/24

172.16.1.0/24

172.16.2.0/24

10.1.2.0/24

192.168.1.0/30

R1R2

.1

.2

.1

172.16.1.8/24

172.16.1.9/24

财务应用服务器财务数据库服务器深圳

上海

财务部

分公司财务部不可以访问财务数据库服务器

财务部

ACL 的作用

●ACL （Access Control List ，访问控制列表

先看一个简单的ACL 例子

172.16.1.0/24

172.16.2.0/24

R1

172.16.1.8/24财务应用服务器R1(config)# ip access-list standard permit_172.16.2.2R1(config-std-nacl)# permit 172.16.2.3 0.0.0.0172.16.1.9/24

财务数据库服务器.1

.1

172.16.2.2/24172.16.2.3/24

标准ACL 的语法

●Router(config)# ip access-list standard 访问控制列表名字（创建命名访问控制列表）

将ACL应用到接口上

●R1(config)# interface e1

R1(config-if)# ip access-group permit_172.16.2.2out

两种应用方式

●R1(config)# interface e1

172.16.1.0/24

172.16.2.0/24

R1

172.16.1.8/24财务应用服务器172.16.1.9/24

财务数据库服务器.1

.1

172.16.2.2/24172.16.2.3/24

路由器使用ACL 处理数据包的过程

路由器使用ACL处理数据包的过程•当一个数据包进入到路由器的一个接口时，路由器首先看在该接口的入站“in”方向有没有配置ACL，如果配置了，就按照ACL一条一条地判断，决定是否允许数据包进入；如果没有配置ACL，则直接允许进入接口。

•路由器根据路由选择表把数据包转发到出口接口，这个过程ACL不起作用。

•数据包准备从一个接口出去时，路由器再看在该接口的出站“out”方向有没有配置ACL，如果配置了，就按照ACL一条一条地判断，决定是否允许数据包离开；如果没有配置ACL，则直接放行。

“any”和“host”

●R1(config-std-nacl)# permit 172.16.2.3 0.0.0.0

●表示允许主机172.16.2.3（子网掩码是255.255.255.255，反掩码就是0.0.0.0），可以使用“host”表示一台主机。

●R1(config-std-nacl)# permit host 172.16.2.3

●R1(config-std-nacl)# deny 0.0.0.0 255.255.255.255●表示拒绝所有的网络0.0.0.0（子网掩码是0.0.0.0，反掩码就是255.255.255.255），可以使用“any”表示任何网络，即所有IP。

●R1(config-std-nacl)# deny any