欢迎来到天天文库
浏览记录
ID:61764564
大小:251.00 KB
页数:11页
时间:2021-03-19
《第8章-扩展访问控制列表ACL.ppt》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库。
1、访问控制列表(ACL)扩展ACL学习目标通过扩展ACL的学习,掌握ACL的应用扩展访问列表扩展ACL提供了比标准ACL更大范围的控制,扩展ACL可以检查源地址和目标地址,特定的协议,端口号,以及其它的参数。与标准ACL对比:只过滤源地址(如:E0和E1端口只允许来自于网络172.16.0.0的数据报被转发,其余的将被阻止。)172.16.3.0172.16.4.0172.16.4.13E0S0E1Non-172.16.0.0扩展ACL配置完全形式的access-list命令为:Router(config)#access-listaccess_list_number{p
2、ermit
3、deny}protocolsource[source_maskdestinationdestination_maskoperatoroperand[established]Router(config-if)#{protocol}access-groupaccess_list_number{in
4、out}Router(config)#access-list表号permit
5、deny协议源地址通配符掩码目的地址通配符掩码[运算符端口号]其中:协议有TCP、IP等运算符有:eq、lt(小于)、gt(大于)、neq(不等于)端口号有:20或21,表示ftp23,表
6、示telnet25,表示smtp53,表示dns69,表示tftp80,表示wwwIpaccess-group表号{in
7、out}其中,in表示流入端口,out表示流出端口扩展ACL举例以下图的结构为例,介绍扩展ACL的使用。实例1:在E0端口,禁止转出来自172.16.4.0子网的FTP数据流到172.16.3.0子网,其它的数据流将被转发。实例2:在E0端口,禁止转出来自172.16.4.0子网的Telnet数据流,其它的数据流将被转发。172.16.3.0172.16.4.0172.16.4.13E0S0E1Non-172.16.0.0实例1:禁止转出FTP数据
8、在E0端口,禁止转出来自172.16.4.0子网的FTP数据流到172.16.3.0子网,其它的数据流将被转发。第一个ACL命令用“deny”禁止来自172.16.4.0子网的FTP-DATA(port=20)数据流到172.16.3.0子网。第二个ACL命令用“deny”禁止来自172.16.4.0子网的FTP(port=21)数据流到172.16.3.0子网。第三个ACL命令表示允许任何的数据流。最后将此ACL101关联到端口E0。access-list101denytcp172.16.4.00.0.0.255172.16.3.00.0.0.255eq21acce
9、ss-list101denytcp172.16.4.00.0.0.255172.16.3.00.0.0.255eq20access-list101permitipanyany(implicitdenyall)(access-list101denyip0.0.0.0255.255.255.2550.0.0.0255.255.255.255)interfaceethernet0ipaccess-group101out实例2:禁止转出Telnet数据在E0端口,禁止转出来自172.16.4.0子网的Telnet数据流,其它的数据流将被转发。第一个ACL命令用“deny”禁止
10、来自172.16.4.0子网的Telnet(port=23)数据流。第二个ACL命令表示允许任何的数据流。最后将此ACL101关联到端口E0。access-list101denytcp172.16.4.00.0.0.255anyeq23access-list101permitipanyany(implicitdenyall)interfaceethernet0ipaccess-group101out访问控制列表举例以我系实验室为例1、屏蔽网站2、限制服务课外思考1、访问控制列表的功能是什么?2、ACL有哪些类型?各有什么区别?3、应用ACL时,如何区分in和ou
11、t的方向?4、标准ACL和扩展ACL的表号范围分别是多少?5、什么情况下需用命名ACL?
此文档下载收益归作者所有