您的位置:360文档中心› 第二章访问控制列表ACL案例

第二章访问控制列表ACL案例

合集下载
相关主题
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

为什么使用访问控制列表(ACL)?
• 当网络快速增长时,ACL能够更好地为企业控制流量的入 出.
• 为穿越路由器或交换机的流量实施过滤.
访问列表(ACL)的应用
应用到路由器接口上控制数据流的通过: • Permit(允许)或deny(拒绝)分组穿越路由器. • 允许或拒绝到路由器的vty(虚拟终端)访问. • 如果没有访问控制列表,所有的数据流都能穿越路由器的接口
• Cisco IOS 对ACL是按照从上至下顺序执行的,因此,推荐 你把最严格和最常用的条目放在上面,而不常用和不严格 的条目放在下面,这样不仅严谨而且不浪费路由器的CPU 资源.
• 流量的过滤与否是通过在ACL中地址和通配符掩码的比 对实现的。“1”为不关注;“0”为关注位。
人有了知识,就会具备各种分析能力, 明辨是非的能力。 所以我们要勤恳读书,广泛阅读, 古人说“书中自有黄金屋。 ”通过阅读科技书籍,我们能丰富知识, 培养逻辑思维能力; 通过阅读文学作品,我们能提高文学鉴赏水平, 培养文学情趣; 通过阅读报刊,我们能增长见识,扩大自己的知识面。 有许多书籍还能培养我们的道德情操, 给我们巨大的精神力量, 鼓舞我们前进。
• ACL作为一种安全控制的可选手段,网络管理员 可以根据企业的实际需要做流量的允许或拒绝操作。
总结(继续)
• Inbound(入站)访问列表是先对数据报实施允许还是拒绝 的操作,如果允许的话再路由到路由器的相应出口. 而 outbound(出站)访问列表是先路由数据包,再根据出口的 访问规则实行数据包的允许还是拒绝的操作.
• 接受任何地址: 0.0.0.0 255.255.255.255 • 可以缩写为:any.
使用通配符掩码匹配IP子网
• 如果你想实施路由通告过滤,可以使用ACL结合路由通告命令 对需要通过的子网路由进行过滤.比如你想让下列路由信息通过: 172.30.16.0/24 to 172.30.31.0/24.
• 地址 和 通配符掩码: 172.30.16.0 0.0.15.255
总结
• 访问列表是实施各种网络控制的强大的工具;不仅 对数据包通过路由器接口实施安全控制,而且可以 起到控制路由信息的发布和节省带宽的作用。
• 一个ACL是一组允许或拒绝的判断语句的集合; 它可以根据数据报的三层或四层协议信息进行流量 的过滤。ACL可以对通过路由器或到达路由器的 流量进行过滤,但对路由器自身产生的流量不能起 到过滤作用。
Access Lists(访问列表) 和它们 的应用
© 2002, Cisco Systems, Inc. All rights reserved.
3
目标
完成本章后,你能:
• 解释访问列表的目的并知晓他们常用的应用. • 描述CISCO IOS软件系统是如何在接口的”in”
或”out”方向上处理标准和扩展访问列表的.
通配符掩码匹配特定的主机地址
• 检查所有的地址位(匹配所有). • 检查一个IP主机地址, 例如:
• 例如, 172.30.16.29 0.0.0.0 检查所有的地址位. • 在访问控制列表中可以简写为host 172.30.16.29.
通配符掩码匹配任何IP地址
• 测试条件: 忽略所有的地址位(匹配所有). • An IP host address, for example:
随意访问.
访问列表的其他应用
• 依照企业策略对各种不同类型的分组在不同情况下实行专门的 控制。
访问控制列表的类型
• 标准访问列表(standard access lists) – 只检查分组的源地址信息 – 允许或拒绝的是整个协议栈
• 扩展访问列表(extended access lists) – 可以同时检查源和目的地址信息 – 可针对于三层或四层协议信息进行控制,是目前使用 非常广泛的安全控制方法。
同样包括标准和扩展两种列表,定义过滤的语句与编号方式相似。
使用标准访问列表对分组实施过 滤
使用扩展访问控制列表对分组实 施过滤
出站ACL是如何工作的?
• 如果没有任何ACL条目相匹配,则缺省丢弃此分组。
ACL的过滤流程: 拒绝或允许
通配符掩码位: 如何检查相应的地 址位
• 0 表示检查相应的位. • 1 表示不检查(忽略)相应的位.
使用访问控制列表(ACL)管理IP流量
模块 6
目标
本模块完成后,你能:
• 对于一个给定的路由器,你能使用IOS命令配置标 准访问列表和扩展访问列表,并能熟练的应用 NAT/PAT(网络地址转换/端口地址转换)来访问外 部网络.
• 使用show命令显示访问控制列表的内容;并通过 观察记数器的数值来确定访问列表条目是否生效, 从而明白你是否做的正确
如何识别标准和扩ห้องสมุดไป่ตู้访问列表
• 标准IP访问列表 (1-99):只使用源地址信息来做过滤决定. • 扩展IP访问列表(100-199): 可以根据源和目的IP地址、协议类型、源和
目的端口等信息综合作出过滤决定. • 延伸的标准IP访问列表编号:1300-1999. • 延伸的扩展IP访问列表编号:2000-2699. • 其他的访问列表号码用来进行其他二层或三层网络协议的过滤。 • 命名的IP访问控制列表:以列表名代替列表编号来定义IP访问控制列表,
相关文档
最新文档