返回
ccna考点精析——访问控制列表

ccna考点精析——访问控制列表

ID:14524674

大小:68.50 KB

页数:8页

时间:2018-07-29

ccna考点精析——访问控制列表_第1页
ccna考点精析——访问控制列表_第2页
ccna考点精析——访问控制列表_第3页
ccna考点精析——访问控制列表_第4页
ccna考点精析——访问控制列表_第5页
资源描述:

《ccna考点精析——访问控制列表》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、访问控制列表使用目的:  1、限制网络流量、提高网络性能。例如队列技术,不仅限制了网络流量,而且减少了拥塞中国  2、提供对通信流量的控制手段。例如可以用其控制通过某台路由器的某个网络的流量中国网管联盟www_bitscn_com  3、提供了网络访问的一种基本安全手段。例如在公司中,允许财务部的员工计算机可以访问财务服务器而拒绝其他部门访问财务服务器  4、在路由器接口上,决定某些流量允许或拒绝被转发。例如,可以允许FTP的通信流量,而拒绝TELNET的通信流量。  工作原理:  ACL中规定了两种操作,所有的应用都是围绕这两种操作来完成的:

2、允许、拒绝  注意:ACL是CISCOIOS中的一段程序,对于管理员输入的指令,有其自己的执行顺序,它执行指令的顺序是从上至下,一行行的执行,寻找匹配,一旦匹配则停止继续查找,如果到末尾还未找到匹配项,则执行一段隐含代码——丢弃DENY.所以在写ACL时,一定要注意先后顺序。  例如:要拒绝来自172.16.1.0/24的流量,把ACL写成如下形式  允许172.16.0.0/18  拒绝172.16.1.0/24  允许192.168.1.1/24  拒绝172.16.3.0/24  那么结果将于预期背道而驰,把表一和表二调换过来之后,再看一

3、下有没有问题:  拒绝172.16.1.0/24  允许172.16.0.0/18  允许192.168.1.1/24  拒绝172.16.3.0/24  发现172.16.3.0/24和刚才的情况一样,这个表项并未起到作用,因为执行到表二就发现匹配,于是路由器将会允许,和我们的需求完全相反,那么还需要把表项四的位置移到前面  最后变成这样:  拒绝172.16.1.0/24feedom.net  拒绝172.16.3.0/24网管网bitsCN.com  允许172.16.0.0/18中国  允许192.168.1.1/24  可以发现,在A

4、CL的配置中的一个规律:越精确的表项越靠前,而越笼统的表项越靠后放置。中国网管联盟www、bitsCN、comACL是一组判断语句的集合,它主要用于对如下数据进行控制:  1、入站数据;网管网bitsCN.com  2、出站数据;中国网管联盟www_bitscn_com  3、被路由器中继的数据中国网管论坛bbs.bitsCN.com  工作过程中国网管联盟www_bitscn_com  1、无论在路由器上有无ACL,接到数据包的处理方法都是一样的:当数据进入某个入站口时,路由器首先对其进行检查,看其是否可路由,如果不可路由那么就丢弃,反之通过

5、查路由选择表发现该路由的详细信息——包括AD,METRIC……及对应的出接口;feedom.net  2、这时,我们假定该数据是可路由的,并且已经顺利完成了第一步,找出了要将其送出站的接口,此时路由器检查该出站口有没有被编入ACL,如果没有ACL的话,则直接从该口送出。如果该接口编入了ACL,那么就比较麻烦。第一种情况——路由器将按照从上到下的顺序依次把该数据和ACL进行匹配,从上往下,逐条执行,当发现其中某条ACL匹配,则根据该ACL指定的操作对数据进行相应处理(允许或拒绝),并停止继续查询匹配;当查到ACL的最末尾,依然未找到匹配,则调用A

6、CL最末尾的一条隐含语句denyany来将该数据包丢弃。feedom.net  对于ACL,从工作原理上来看,可以分成两种类型:中国  1、入站ACL中国  2、出站ACL54ne.com  上面的工作过程的解释是针对出站ACL的。它是在数据包进入路由器,并进行了路由选择找到了出接口后进行的匹配操作;而入站ACL是指当数据刚进入路由器接口时进行的匹配操作,减少了查表过程中国网管论坛bbs.bitsCN.com  并不能说入站表省略了路由过程就认为它较之出站表更好,依照实际情况而定:中国网管联盟www、bitsCN、com  如图所示,采用基本的

7、ACL——针对源的访问控制中国网管联盟www_bitscn_com  要求如下:中国  1、拒绝1.1.1.2访问3.1.1.2但允许访问5.1.1.2中国网管联盟www、bitsCN、com  2、拒绝3.1.1.2访问1.1.1.2但允许访问5.1.1.2中国网管联盟www、bitsCN、com  采用基本的ACL来对其进行控制feedom.netR1(config)#access-list1deny1.1.1.20.0.0.255R1(config)#access-list1permitanyR1(config)#inte0R1(conf

8、ig-if)#access-group1inR2(config)#access-list1deny3.1.1.20.0.0.255R2(config)

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。