資源描述:
《ccna考點(diǎn)精析——訪問(wèn)控制列表》由會(huì)員上傳分享����,免費(fèi)在線閱讀,更多相關(guān)內(nèi)容在行業(yè)資料-天天文庫(kù)�。
1、訪問(wèn)控制列表使用目的: 1����、限制網(wǎng)絡(luò)流量、提高網(wǎng)絡(luò)性能��。例如隊(duì)列技術(shù)���,不僅限制了網(wǎng)絡(luò)流量��,而且減少了擁塞中國(guó) 2����、提供對(duì)通信流量的控制手段���。例如可以用其控制通過(guò)某臺(tái)路由器的某個(gè)網(wǎng)絡(luò)的流量中國(guó)網(wǎng)管聯(lián)盟www_bitscn_com 3��、提供了網(wǎng)絡(luò)訪問(wèn)的一種基本安全手段�。例如在公司中,允許財(cái)務(wù)部的員工計(jì)算機(jī)可以訪問(wèn)財(cái)務(wù)服務(wù)器而拒絕其他部門(mén)訪問(wèn)財(cái)務(wù)服務(wù)器 4�、在路由器接口上,決定某些流量允許或拒絕被轉(zhuǎn)發(fā)����。例如,可以允許FTP的通信流量�����,而拒絕TELNET的通信流量����。 工作原理: ACL中規(guī)定了兩種操作��,所有的應(yīng)用都是圍繞這兩種操作來(lái)完成的:
2�����、允許�、拒絕 注意:ACL是CISCOIOS中的一段程序�,對(duì)于管理員輸入的指令����,有其自己的執(zhí)行順序�,它執(zhí)行指令的順序是從上至下,一行行的執(zhí)行����,尋找匹配,一旦匹配則停止繼續(xù)查找�����,如果到末尾還未找到匹配項(xiàng)��,則執(zhí)行一段隱含代碼——丟棄DENY.所以在寫(xiě)ACL時(shí)�����,一定要注意先后順序����。 例如:要拒絕來(lái)自172.16.1.0/24的流量���,把ACL寫(xiě)成如下形式 允許172.16.0.0/18 拒絕172.16.1.0/24 允許192.168.1.1/24 拒絕172.16.3.0/24 那么結(jié)果將于預(yù)期背道而馳���,把表一和表二調(diào)換過(guò)來(lái)之后����,再看一
3����、下有沒(méi)有問(wèn)題: 拒絕172.16.1.0/24 允許172.16.0.0/18 允許192.168.1.1/24 拒絕172.16.3.0/24 發(fā)現(xiàn)172.16.3.0/24和剛才的情況一樣,這個(gè)表項(xiàng)并未起到作用��,因?yàn)閳?zhí)行到表二就發(fā)現(xiàn)匹配�����,于是路由器將會(huì)允許����,和我們的需求完全相反,那么還需要把表項(xiàng)四的位置移到前面 最后變成這樣: 拒絕172.16.1.0/24feedom.net 拒絕172.16.3.0/24網(wǎng)管網(wǎng)bitsCN.com 允許172.16.0.0/18中國(guó) 允許192.168.1.1/24 可以發(fā)現(xiàn)��,在A
4��、CL的配置中的一個(gè)規(guī)律:越精確的表項(xiàng)越靠前����,而越籠統(tǒng)的表項(xiàng)越靠后放置。中國(guó)網(wǎng)管聯(lián)盟www���、bitsCN��、comACL是一組判斷語(yǔ)句的集合�����,它主要用于對(duì)如下數(shù)據(jù)進(jìn)行控制: 1���、入站數(shù)據(jù);網(wǎng)管網(wǎng)bitsCN.com 2�、出站數(shù)據(jù);中國(guó)網(wǎng)管聯(lián)盟www_bitscn_com 3����、被路由器中繼的數(shù)據(jù)中國(guó)網(wǎng)管論壇bbs.bitsCN.com 工作過(guò)程中國(guó)網(wǎng)管聯(lián)盟www_bitscn_com 1、無(wú)論在路由器上有無(wú)ACL���,接到數(shù)據(jù)包的處理方法都是一樣的:當(dāng)數(shù)據(jù)進(jìn)入某個(gè)入站口時(shí)����,路由器首先對(duì)其進(jìn)行檢查,看其是否可路由����,如果不可路由那么就丟棄,反之通過(guò)
5�、查路由選擇表發(fā)現(xiàn)該路由的詳細(xì)信息——包括AD,METRIC……及對(duì)應(yīng)的出接口����;feedom.net 2、這時(shí)�,我們假定該數(shù)據(jù)是可路由的,并且已經(jīng)順利完成了第一步����,找出了要將其送出站的接口,此時(shí)路由器檢查該出站口有沒(méi)有被編入ACL�,如果沒(méi)有ACL的話,則直接從該口送出�����。如果該接口編入了ACL�����,那么就比較麻煩。第一種情況——路由器將按照從上到下的順序依次把該數(shù)據(jù)和ACL進(jìn)行匹配��,從上往下��,逐條執(zhí)行�����,當(dāng)發(fā)現(xiàn)其中某條ACL匹配���,則根據(jù)該ACL指定的操作對(duì)數(shù)據(jù)進(jìn)行相應(yīng)處理(允許或拒絕),并停止繼續(xù)查詢(xún)匹配����;當(dāng)查到ACL的最末尾,依然未找到匹配����,則調(diào)用A
6、CL最末尾的一條隱含語(yǔ)句denyany來(lái)將該數(shù)據(jù)包丟棄����。feedom.net 對(duì)于ACL,從工作原理上來(lái)看����,可以分成兩種類(lèi)型:中國(guó) 1���、入站ACL中國(guó) 2、出站ACL54ne.com 上面的工作過(guò)程的解釋是針對(duì)出站ACL的����。它是在數(shù)據(jù)包進(jìn)入路由器,并進(jìn)行了路由選擇找到了出接口后進(jìn)行的匹配操作�����;而入站ACL是指當(dāng)數(shù)據(jù)剛進(jìn)入路由器接口時(shí)進(jìn)行的匹配操作����,減少了查表過(guò)程中國(guó)網(wǎng)管論壇bbs.bitsCN.com 并不能說(shuō)入站表省略了路由過(guò)程就認(rèn)為它較之出站表更好,依照實(shí)際情況而定:中國(guó)網(wǎng)管聯(lián)盟www�����、bitsCN�、com 如圖所示,采用基本的
7���、ACL——針對(duì)源的訪問(wèn)控制中國(guó)網(wǎng)管聯(lián)盟www_bitscn_com 要求如下:中國(guó) 1�、拒絕1.1.1.2訪問(wèn)3.1.1.2但允許訪問(wèn)5.1.1.2中國(guó)網(wǎng)管聯(lián)盟www、bitsCN�、com 2、拒絕3.1.1.2訪問(wèn)1.1.1.2但允許訪問(wèn)5.1.1.2中國(guó)網(wǎng)管聯(lián)盟www���、bitsCN�、com 采用基本的ACL來(lái)對(duì)其進(jìn)行控制feedom.netR1(config)#access-list1deny1.1.1.20.0.0.255R1(config)#access-list1permitanyR1(config)#inte0R1(conf
8��、ig-if)#access-group1inR2(config)#access-list1deny3.1.1.20.0.0.255R2(config)
