資源描述:
《講課CCNA_訪問控制列表ppt課件.ppt》由會員上傳分享����,免費(fèi)在線閱讀��,更多相關(guān)內(nèi)容在教育資源-天天文庫�����。
1����、訪問控制列表AccessingtheWAN–Chapter5目標(biāo)在中型企業(yè)的分支機(jī)構(gòu)網(wǎng)絡(luò)中配置標(biāo)準(zhǔn)ACL.在中型企業(yè)的分支機(jī)構(gòu)網(wǎng)絡(luò)中配置擴(kuò)展ACL.5.1使用ACLs保護(hù)網(wǎng)絡(luò)5.1.1TCP會話ACL使您能夠控制進(jìn)出網(wǎng)絡(luò)的流量.ACLs可以將ACL配置為根據(jù)使用的TCP和UDP端口來控制網(wǎng)絡(luò)流量.5.1.1TCP會話PortNumbers5.1.2數(shù)據(jù)包過濾當(dāng)數(shù)據(jù)包到達(dá)過濾數(shù)據(jù)包的路由器時�,路由器會從數(shù)據(jù)包報頭中提取某些信息,根據(jù)過濾規(guī)則決定該數(shù)據(jù)包是應(yīng)該通過還是應(yīng)該丟棄.ACL可以從數(shù)據(jù)包報頭中提取以下信
2���、息��,根據(jù)規(guī)則進(jìn)行測試��,然后決定是“允許”還是“拒絕”:源IP地址目的IP地址ICMP消息類型ACL也可以提取上層信息并根據(jù)規(guī)則對其進(jìn)行測試��。上層信息包括:TCP/UDP源端口TCP/UDP目的端口5.1.2數(shù)據(jù)包過濾在本場景中�,數(shù)據(jù)包過濾器按如下方式檢查每個數(shù)據(jù)包:如果來自網(wǎng)絡(luò)A的TCPSYN數(shù)據(jù)包使用端口80,則允許其通過���。但會拒絕用戶的所有其它訪問��。如果來自網(wǎng)絡(luò)B的TCPSYN數(shù)據(jù)包使用端口80��,則阻止該數(shù)據(jù)包����。但會允許用戶的所有其它訪問�。什么是ACL?ACL是一種路由器配置腳本,它根據(jù)從數(shù)據(jù)包報頭中發(fā)
3����、現(xiàn)的條件來控制路由器應(yīng)該允許還是拒絕數(shù)據(jù)包通過.ACL執(zhí)行以下任務(wù):限制網(wǎng)絡(luò)流量以提高網(wǎng)絡(luò)性能.提供流量控制。ACL可以限制路由更新的傳輸.提供基本的網(wǎng)絡(luò)訪問安全性��。ACL可以允許一臺主機(jī)訪問部分網(wǎng)絡(luò)�,同時阻止其它主機(jī)訪問同一區(qū)域。決定在路由器接口上轉(zhuǎn)發(fā)或阻止哪些類型的流量�。控制客戶端可以訪問網(wǎng)絡(luò)中的哪些區(qū)域��。屏蔽主機(jī)以允許或拒絕對網(wǎng)絡(luò)服務(wù)的訪問。ACL可以允許或拒絕用戶訪問特定文件類型��,例如FTP或HTTP.5.1.3什么是ACL?3P原則每種協(xié)議一個ACL要控制接口上的流量���,必須為接口上啟用的每種協(xié)議定
4�����、義相應(yīng)的ACL�。每個方向一個ACL一個ACL只能控制接口上一個方向的流量�����。要控制入站流量和出站流量��,必須分別定義兩個ACL�����。每個接口一個ACL一個ACL只能控制一個接口(例如快速以太網(wǎng)0/0)上的流量�����。5.1.4ACL工作原理ACL工作原理ACL要么配置用于入站流量��,要么用于出站流量.入站ACL傳入數(shù)據(jù)包經(jīng)過處理之后才會被路由到出站接口����。入站ACL非常高效,如果數(shù)據(jù)包被丟棄����,則節(jié)省了執(zhí)行路由查找的開銷。當(dāng)測試表明應(yīng)允許該數(shù)據(jù)包后�����,路由器才會處理路由工作.出站ACL傳入數(shù)據(jù)包路由到出站接口后����,由出站ACL進(jìn)行
5、處理.5.1.4ACL工作原理隱含的“拒絕所有流量”條件語句ACL及路由器上的路由和ACL過程5.1.5CiscoACLs的類型有兩類CiscoACLs,標(biāo)準(zhǔn)的和擴(kuò)展的.標(biāo)準(zhǔn)ACLs:標(biāo)準(zhǔn)ACL根據(jù)源IP地址允許或拒絕流量.擴(kuò)展ACLs:擴(kuò)展ACL根據(jù)多種屬性.5.1.7編號ACL和命名ACLs從CiscoIOS11.2版開始���,您可以使用名稱來標(biāo)識CiscoACL.編號200到1299已由其它協(xié)議使用.例如����,AppleTalk使用編號600到699�,而IPX使用編號800到899.5.1.8ACLs的放置位
6、置每個ACL都應(yīng)該放置在最能發(fā)揮作用的位置?���;镜囊?guī)則是:將擴(kuò)展ACL盡可能靠近要拒絕流量的源。這樣���,才能在不需要的流量流經(jīng)網(wǎng)絡(luò)之前將其過濾掉.因?yàn)闃?biāo)準(zhǔn)ACL不會指定目的地址�����,所以其位置應(yīng)該盡可能靠近目的地.5.2配置標(biāo)準(zhǔn)ACLs5.2.1輸入條件語句值得注意:您應(yīng)該將最頻繁使用的ACL條目放在列表頂部.您必須在ACL中至少包含一條permit語句���,否則所有流量都會被阻止.Forexample,圖中的兩個ACL(101和102)具有相同的效果.5.2.2配置標(biāo)準(zhǔn)ACL在圖中,路由器會檢查進(jìn)入Fa0/0的數(shù)據(jù)
7����、包的源地址:access-list2deny192.168.10.1access-list2permit192.168.10.00.0.0.255access-list2deny192.168.0.00.0.255.255access-list2permit192.0.0.00.255.255.2555.2.2配置標(biāo)準(zhǔn)ACL標(biāo)準(zhǔn)ACL命令的完整語法如下:Router(config)#access-listaccess-list-numberdeny/permitremarksource[source-wil
8、dcard][log]5.2.3ACL通配符掩碼通配符掩碼使用以下規(guī)則匹配二進(jìn)制1和0:通配符掩碼位0—匹配地址中對應(yīng)位的值通配符掩碼位1—忽略地址中對應(yīng)位的值5.2.3ACL通配符掩碼Wildcard和SubnetMask的關(guān)系:反掩碼5.2.3ACL通配符掩碼any和host關(guān)鍵字5.2.4將標(biāo)準(zhǔn)ACLs應(yīng)用到接口配置標(biāo)準(zhǔn)ACL之后�,可以使用ipaccess-group命令將其關(guān)聯(lián)到接口:Router(con
