返回
cisco的acl教程

cisco的acl教程

ID:19858179

大小:621.50 KB

页数:51页

时间:2018-10-07

cisco的acl教程_第1页
cisco的acl教程_第2页
cisco的acl教程_第3页
cisco的acl教程_第4页
cisco的acl教程_第5页
资源描述:

《cisco的acl教程》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、©2002,CiscoSystems,Inc.Allrightsreserved.第7章 访问控制列表ACLACL概述ACL的工作过程ACL分类ACL配置翻转掩码标准ACL的配置扩展ACL的配置命名(Named)ACL的配置使用ACL控制虚拟终端(VTY)的访问本章要求1、了解ACL的概念、用途、工作过程和分类2、掌握翻转掩码的概念3、理解和掌握标准ACL、扩展ACL、命名ACL的配置过程4、理解和掌握使用ACL控制虚拟终端访问的配置过程访问控制列表(AccessControlList,ACL)应用在

2、路由器接口的指令列表指定哪些数据报可以接收、哪一些需要拒绝ACL用途(1)限制网络流量、提高网络性能;(2)提供对通信流量的控制手段;(3)提供网络访问的基本安全手段;(4)在路由器(交换机)接口处,决定哪种类型的通信流量被转发、哪种被阻塞。ACL概述ACL的工作过程ACL的操作过程入站访问控制操作过程出站访问控制操作过程ACL的逻辑测试过程入站访问控制操作过程相对网络接口来说,从网络上流入该接口的数据包,为入站数据流。对入站数据流的过滤控制称为入站访问控制。如果一个入站数据包被访问控制列表禁止(de

3、ny),那么该数据包被直接丢弃(discard)。只有那些被ACL允许(permit)的入站数据包才进行路由查找与转发处理。入站访问控制节省了那些不必要的路由查找转发的开销。出站访问控制操作过程从网络接口流出的网络数据包,称为出站数据流。出站访问控制是对出站数据流的过滤控制。那些被允许的入站数据流需要进行路由转发处理。在转发之前,交由出站访问控制进行过滤控制操作。入站接口数据包NY数据包丢弃桶选择网络接口N接口是否使用ACL?路由表是否存在该路由?Y出站接口数据包S0出站访问控制操作过程(续)NYN数

4、据包访问控制列表逻辑测试是否允许?YYS0E0出站访问控制操作过程(续)入站接口数据包路由表是否存在该路由?选择网络接口接口是否使用ACL?数据包丢弃桶数据包出站接口通知发送者如果逻辑测试没有任何匹配,则丢弃数据包NYNYY丢弃数据包N数据包S0E0出站访问控制操作过程(续)入站接口数据包路由表是否存在该路由?选择网络接口接口是否使用ACL?数据包丢弃桶数据包出站接口访问控制列表逻辑测试是否允许?ACL的逻辑测试过程数据报文报文丢弃桶Y目的接口DenyDenyY匹配第一条规则?PermitYDenyD

5、enyYPermitNDenyPermit匹配下一条规则?YYACL的逻辑测试过程数据报文目的接口报文丢弃桶匹配第一条规则?YDenyDenyYPermitNDenyPermitDeny匹配最后一条规则 ?YYNYYPermitACL的逻辑测试过程数据报文目的接口报文丢弃桶匹配下一条规则?匹配第一条规则?YDenyYPermitNDenyPermitDenyYYNYYPermit强制丢弃若无任何匹配则丢弃DenyNACL的逻辑测试过程数据报文目的接口报文丢弃桶匹配第一条规则?匹配下一条规则?匹配最后一

6、条规则 ?范围/标识IP1-99100-199,1300-1999,2000-2699Name(CiscoIOS11.2andlater)800-899900-9991000-1099Name(CiscoIOS11.2.Fandlater)StandardExtendedSAPfiltersNamedStandardExtendedNamedACL类型IPXACL分类标准IPACL(1到99)根据IP报文的源地址测试扩展IPACL(100到199)可以测试IP报文的源、目的地址、协议、端口号源地址段S

7、egment(例如,TCP首部)数据Data报文Packet(IP首部)帧Frame首部(例如,HDLC)DenyPermit使用ACL规则语句1-99标准ACL目的地址源地址协议(例如TCP)端口号使用ACL规则语句100-199DenyPermit扩展ACL帧Frame首部(例如,HDLC)报文Packet(IP首部)段Segment(例如,TCP首部)数据Data第一步:创建ACLRouter(config)#第二步:将ACL绑定到指定接口{protocol}access-groupaccess

8、-list-number{in

9、out}Router(config-if)#ACL配置access-listaccess-list-number{permit

10、deny}{testconditions}0代表检查对应地址位的值1代表忽略对应地址位的值donotcheckaddress (ignorebitsinoctet)=001111111286432168421=00000000=00001111=11111100=11111111ignorelas

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。