資源描述:
《CCNA:IP訪問控制列表(ACL)知識總結(jié)》由會員上傳分享�,免費在線閱讀,更多相關(guān)內(nèi)容在教育資源-天天文庫�。
1、CCNA:IP訪問控制列表(ACL)知識總結(jié)訪問控制列表 建立訪問控制列表�,可對數(shù)據(jù)流量進行簡單的控制,以及通過這種控制達到一不定程度的安全性��,允許或拒絕數(shù)據(jù)包通過路由器�����,從而達到對數(shù)據(jù)包進行過濾的目的��?���! ×硗猓部梢栽赩TY線路接口上使用訪問控制列表��,來保證telnet的連接的安全性�。 因為接口的數(shù)據(jù)流是有進口和出口兩個方向的���,所以在接口上使用訪問控制列表也有進和出兩個方向��?�! ∵M方向的工作流程 進入接口的數(shù)據(jù)包——進方向的訪問控制列表——判斷����?���! ∈欠衿ヅ洹黄ヅ洌瑏G棄,匹配�����,進入路由表——判斷是否有相應(yīng)的路由條目——無�����,丟棄��,有從相
2����、應(yīng)接口轉(zhuǎn)發(fā)出去?�! 〕隹诜较虻墓ぷ髁鞒獭 ∵M入接口數(shù)據(jù)包——進入路由表����,判斷是否是相應(yīng)的路由條目——無,丟棄�,有,數(shù)據(jù)包往相應(yīng)接口——判斷出口是否有訪問控制列表——無�,數(shù)據(jù)被轉(zhuǎn)發(fā),有��,判斷條件是否匹配——不匹配,丟棄�,匹配,轉(zhuǎn)發(fā)��?���! ”容^看�,盡可能使用進方向的訪問控制列表,但是使用哪個方向的應(yīng)根據(jù)實際情況來定�����?�! ☆愋汀 藴试L問控制列表 所依據(jù)的條件的判斷條件是數(shù)據(jù)包的源IP地址����,只能過濾某個網(wǎng)絡(luò)或主機的數(shù)據(jù)包,功能有限�,但方便使用?����! ∶罡袷健 ∠仍谌帜J较聞?chuàng)建訪問控制列表: Router(config)#access-listacce
3、ss-list-number{permitordeny}soure{soure-wildcard}log 注:access-list-number是訪問控制列表號����,標準的訪問控制列表號為0~99;permit是語句匹配時允許通過,deny是語句不匹配時�,拒絕通過。soure是源IP地址����,soure-wildcard是通配符,log是可選項����,生成有關(guān)分組匹配情況的日志消息,發(fā)到控制臺 補:當表示某一特定主機時��,soure{soure-wildcard}這項例如:192.168.1.10.0.0.255可表示為host192.168.1.1 創(chuàng)建
4�、了訪問控制列表后,在接口上應(yīng)用 Router(config-if)#ipaccess-groupaccess-list-number{inorout} 擴展訪問控制列表 擴展訪問控制列表所依據(jù)的判斷條件是目標�����、源ip地址����、協(xié)議及數(shù)據(jù)所要訪問的端口�����。由此可得出�,在判斷條件上�,擴展訪問控制列表具有比標準的訪問控制列表更加靈活的優(yōu)勢,能夠完成很多標準訪問不能完成的工作 命令格式 同樣在全局模式下創(chuàng)建列表: Router(config)#access-listaccess-list-number{dynamicdynamic-name}{tim
5����、eoutmintes}{permitordeny}protocolsouresoure-wildcarddestinationdestination-wildcard{precdenceprecedence}{tostos}{time-rangetime-range-name} 命名訪問控制列表 ciscoios軟件11.2版本中引入了IP命名ACL����,其允許在標準和擴展訪問控制列表中使用名字代替數(shù)字來表示ACL編號 創(chuàng)建命名ACL語法格式: router(config)#ipaccess-list{extendorstandard}name
6、 router(config-ext-nacl)#{permitordeny}protocolssouresoure-wildcard{operator}destinationdestination-wildcard{operator}{established} 注:established是可選項����,只針對于tcp協(xié)議 還有vty的限制,其ACL的建立與在端口上建立ACL一樣���,只是應(yīng)用在vtyACL到虛擬連接時��,用命令access-class代替命令access-group 放置ACL 一般原則:盡可能把擴展acl放置在距離要被拒絕的通信流
7�����、量近的地方����。標準ACL由于不能指定目的地址,所以它們應(yīng)該盡可能放置在距離目的地最近的地主�����。CCNP排除路由再分布故障1.RIP再分布問題 routerrip version2 redistributeospf1metric1 networkx.x.0.0 因為RIP有跳數(shù)限制�。為改正到達16跳時會出現(xiàn)路由無法再分布的問題,需要在再分布時指派有效的度量標準��。其實現(xiàn)可以使用redistribute命令中的metric或default-metric命令��?! ∈褂胹howiproute查看路由傳播情況?��! ?.IGRP/EIGRP的再分布問題
8�、復合度量標準:寬帶��,延遲�,可靠性,負載 CISCO使用100000000/帶寬來得到該代價���?����! outerigrp1
