欢迎来到天天文库
浏览记录
ID:27627565
大小:2.28 MB
页数:26页
时间:2018-12-01
《《访问控制列表》ppt课件》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库。
1、访问控制列表访问控制列表(ACL)应用于路由器接口的指令列表,用于指定哪些数据包可以接收转发,哪些数据包需要拒绝ACL的工作原理读取第三层及第四层包头中的信息根据预先定义好的规则对包进行过滤什么是访问控制列表提供网络访问的基本安全手段控制通信量访问控制列表的作用2-1主机A主机B人力资源网络研发网络使用ACL阻止某指定网络访问另一指定网络访问控制列表的作用2-2实现访问控制列表的核心技术是包过滤Internet公司总部内部网络未授权用户办事处访问控制列表访问控制列表工作原理2-1通过分析IP数据包包头信息,进行判断(这里IP所承载的上层协议为TCP)IP报头TCP报头数据源地址目的地址源端口
2、目的端口访问控制列表工作原理2-2匹配下一步拒绝允许允许允许到达访问控制组接口的数据包匹配第一步目的接口隐含的拒绝丢弃YYYYYYNNN匹配下一步拒绝拒绝拒绝路由器对访问控制列表的处理过程进入数据包源地址匹配吗?有更多条目吗?应用条件拒绝允许路由到接口查找路由表是是否是否Icmp消息转发数据包接口上有访问控制列表吗?列表中的下一个条目否访问控制列表入与出3-2外出数据包查找路由表接口上有访问控制列表吗?源地址匹配吗?拒绝允许列表中的下一个条目是是转发数据包Icmp消息否否否有更多条目吗?应用条件是访问控制列表入与出3-3基本类型的访问控制列表标准访问控制列表扩展访问控制列表其他种类的访问控制
3、列表基于MAC地址的访问控制列表基于时间的访问控制列表访问控制列表的种类扩展acl标准acl路由器B路由器C路由器D路由器AS0S0S1S1E0E0E1E0E0E1源目的应用访问控制列表标准访问控制列表3-1标准访问控制列表根据数据包的源IP地址来允许或拒绝数据包访问控制列表号从1到99标准访问控制列表3-2标准访问控制列表只使用源地址进行过滤,表明是允许还是拒绝从172.16.4.0/24来的数据包可以通过!从172.16.3.0/24来的数据包不能通过!路由器如果在访问控制列表中有的话应用条件拒绝允许更多条目?列表中的下一个条目否有访问控制列表吗?源地址不匹配是匹配是否Icmp消息转发数
4、据包标准访问控制列表3-3标准访问控制列表配置第一步,创建访问控制列表Router_config#access-list1permit10.0.0.0255.0.0.0命名法:Router_config#ipaccess-liststandardfortestRouter_config_std_nacl#deny1.1.1.1255.255.255.255第二步,应用到接口的出方向上Router_config_f0/0#ipaccess-group1out访问列表号列表条件源地址列表名列表条件源地址访问列表号或名称针对应用数据的方向172.16.3.0172.16.4.0Non-172.16
5、.0.0E0E1S0172.16.4.13标准ACL应用1:允许特定源的流量2-1标准ACL应用:允许特定源的流量2-2第一步,创建允许来自172.16.0.0的流量的ACL第二步,应用到接口E0和E1的出方向上Router_config#access-list1permit172.16.0.0255.255.0.0Router_config#interfaceE0Router_config_e0#ipaccess-group1outRouter_config#interfaceE1Router_config_e1#ipaccess-group1out标准ACL应用:拒绝特定子网的流量第一步
6、,创建拒绝来自子网172.16.4.0的流量的ACL第二步,应用到接口E0的出方向Router_config#ipaccess-liststandardaaaRouter_config_std_nacl#deny172.16.4.0255.255.255.0Router_config_std_nacl#permitanyRouter_config#interfaceE0Router_config_e0#ipaccess-groupaaaout扩展访问控制列表4-1扩展访问控制列表基于源和目的地址、传输层协议和应用端口号进行过滤每个条件都必须匹配,才会施加允许或拒绝条件使用扩展ACL可以实现更
7、加精确的流量控制访问控制列表号从100到199扩展访问控制列表4-1扩展访问控制列表基于源和目的地址、传输层协议和应用端口号进行过滤每个条件都必须匹配,才会施加允许或拒绝条件使用扩展ACL可以实现更加精确的流量控制访问控制列表号从100到199扩展访问控制列表4-2扩展访问控制列表使用更多的信息描述数据包,表明是允许还是拒绝从172.16.3.0/24来的,到172.16.4.13的,使用TCP协议,利用HT
此文档下载收益归作者所有