您好,欢迎访问三七文档
当前位置:首页 > 商业/管理/HR > 项目/工程管理 > 第15章 ACL访问控制列表
ACL访问控制列表(accesscontrollist)ACL访问控制列表:主要用于用户数据流的过滤。注:ACL在三层中被大量使用。如局域网中数据流的过滤,也可用于对外网访问的过滤。C1可访问c3不可访问c4C2可访问c4不可访问c3问题:ACLACL数据进入路由器允许允许丢弃路由表YesYesYesYesNoNo外网注:当与ACL中所有条目无法匹配时,默认的最后一条为denyanyany即:所有拒绝拒绝标准ACL:分类:1、编号型2、命名型配置(所有):1、建立ACL2、应用ACL建立:R1(config)#access-list1permit/deny1.1.1.10.0.0.0注1:编号1代表一组ACL,而不是一条ACL注2:标准的ACL编号为1-99,1300-1999为扩展编号注3:后面跟一个地址的话,那就是源地址(与目标地址无关)注4:最后的为反码(主机地址的反码为0.0.0.0)注5:如果设为deny,则所有数据都无法通过。无论接口是否在所设条目内应用:R1(config-if)#ipaccess-group1out/in注:当在出接口设置in、或在入接口设置out时,所有数据包都无法通过该接口,但都可以到达该接口。注:ACL不能控制自身的流量。注:ACL应用在:1、源接口近,则无法与访问其他如何人。2、目标接口近,则会浪费网络流量。选择什么接口配置ACL?命名型标准ACL:R1(config)#ipaccess-liststandardcisco(建立)R1(config-std-nacl)#permit\deny1.1.1.00.0.0.255R1(config-if)#ipaccess-groupciscoout(应用)优点:1、效率比较高。2、可插入规则。R1(config-std-nacl)#15permithost1.1.1.3(插入规则)注:不建议使用插入规则,可复制到记事本,再编辑粘贴回来。问题:Loopback:1.1.1.12.2.2.13.3.3.11、Pc1不可以访问2.2.2.12、Pc1可以访问3.3.3.1标准ACL:只能将数据源地址作为过滤条件。扩展ACL:可以同时将数据源/目标地址作为过滤条件,还可以针对不同协议、协议特征、端口号、时间等作为过滤条件。pc1Pc1:1.1.1.1Pc2:11.1.1.12.2.2.1Pc3:3.3.3.1Pc4:33.3.3.1pc3pc2pc4pc1pc4pc2pc3配置扩展编号型ACL:R2(config)#access-list101permitip1.1.1.00.0.0.2553.3.3.00.0.0.255允许ip协议源地址到目标地址应用ACL:R2(config-if)#ipaccess-group101in显示控制列表:R2#showaccess-listscisco允许r3远程连接r1,相反不允许?R2(config-if)#access-list101permittcphost12.1.1.1host23.1.1.2establishedestablished(已建立),指的是已经建立连接允许pc1访问pc3,不允许pc3访问pc1?反射ACL(自反ACL):reflect协议不变,源和目标地址对调,如果有端口,则源和目标端口也对调。Pc1:1.1.1.1Pc3:3.3.3.1R2(config)#ipaccess-listextendedcisco命名型R2(config-ext-nacl)#permitip1.1.1.00.0.0.2553.3.3.00.0.0.255reflectabcR2(config)#ipaccess-listextendedcisco1R2(config-ext-nacl)#evaluateabc评估R2(config-if)#ipaccess-groupciscooutR2(config-if)#ipaccess-groupcisco1in注:反射ACL支持的协议很丰富(如:IP,ICMP,TCP,UDP等),但一般不在内网使用,因为可能会使网络混乱,如动态路由协议失效。所以常使用在边界路由中。
本文标题:第15章 ACL访问控制列表
链接地址:https://www.777doc.com/doc-3603646 .html