ACL原理及配置

《ACL原理及配置》由会员上传分享，免费在线阅读，更多相关内容在行业资料-天天文库。

1、ACL原理从行业到专业从企业到大学课程目标•经过本章的学习，你可以获得以下收获：–了解ACL的概念及其作用–了解ACL的工作原理和过程课程大纲•ACL概念和作用•ACL分类•ACL工作原理•ACL规则什么是ACL?172.16.0.0TokenInternetRingFDDI172.17.0.0–ACL：AccessControlList访问控制列表•当网络流量不断增长的时候，对数据流进行管理和限制的方法•对数据包进行过滤为什么需要ACL？172.16.0.0TokenInternetRingFDDI172.17.0.0•当网络接口增加时，管理IP流量•当报文经过路由器时，

2、进行过滤ACL的使用场合•哪些场合需要使用ACL？–允许或禁止对路由器或来自路由器的telnet访问–QOS与队列技术–策略路由–数据速率限制–路由策略–端口流镜像–NAT–……ACL的配置流程•定义触发条件•定义报文匹配规则•与端口或服务绑定ACL处理过程协议数据包出接口数据包入接口源地址、目的地址允许?课程大纲•ACL概念和作用•ACL分类•ACL工作原理•ACL规则ACL的判别依据－五元组帧报头数据包段(如HDLC)(IP报头)(如TCP报头)数据源端口目的端口协议号源IP地址使用ACL检测数据包目的IP地址标准ACL拒绝允许仅以源IP地址作为过滤标准只能粗略的

3、限制某一大类协议，如IP协议扩展ACL可以把源地址、目的地址、协议类型及端口号等作为过滤标准可以精确的限制到某一种具体的协议ACL的分类及匹配依据ACL的命令结构标准ACL的命令结构PermitTime-range+SIP+DenyEvent扩展ACL的命令结构课程大纲•ACL概念和作用•ACL分类•ACL工作原理•ACL规则ACL如何工作(1)选择出接口数据包出接口Y数据包入接口路由表?ACLNN?Y丢弃处理ACL如何工作(2)数据包出接口选择接口是数据包入接口ACL路由表?匹配控制否否ACL?是允许?是丢弃处理ACL如何工作(3)数据包出接口选择接口是数据包入接口

4、ACL路由表?匹配控制否否ACL?是允许?是否丢弃处理如果没有访问列表语句匹配，则丢弃该包课程大纲•ACL概念和作用•ACL分类•ACL工作原理•ACL规则ACL的匹配顺序(1)匹配第一条规则?ACL内部处理具体过程：是是拒绝允许目的接口丢弃处理拒绝ACL的匹配顺序(2)匹配ACL内部处理具体过程：第一条规则?是是否拒绝允许是是拒绝下一条?允许目的接口拒绝丢弃处理ACL的匹配顺序(3)匹配ACL内部处理具体过程：第一条规则?是是否拒绝允许是匹配是拒绝下一条?允许目的接口否匹配拒绝是是允许最后一条?拒绝丢弃处理ACL的匹配顺序(4)匹配第一条规则?ACL内部处理具体过程：是是

5、否拒绝允许匹配是是拒绝下一条?允许目的接口否匹配拒绝是是允许最后一条?否**说明：当ACL的最后一条不匹配拒绝丢弃处理时，系统使用隐含的“丢弃全部”进行处理！ACL的规则总结思考：我们应该按照怎样一个顺序配置ACL•按照由上到下的顺序执行，找到第一个匹配后即执行相应的操作（然后跳出ACL）•每条ACL的末尾隐含一条denyany的规则•ACL可应用于某个具体的IP接口的出方向或入方向•ACL可应用于系统的某种特定的服务（如针对设备的TELNET）•在引用ACL之前，要首先创建好ACL•对于一个协议，一个接口的一个方向上同一时间内只如何放置ACL？S0E0BS0E0S1AS1

6、E0To0TokenDE0RingE1PC_APC_B•标准ACL应该在什么位置路由器上设置？－对于标准ACL，应该被配置在距离目的网络最近的路由器上。•扩展ACL应该在什么位置路由器上设置？－对于扩展ACL，应该被配置在距离源网络最近的路由器上。内容回顾•ACL概念和作用•ACL分类•ACL工作原理•ACL规则THANKS!