返回
10:Managing Traffic with Access Lists

10:Managing Traffic with Access Lists

ID:39908401

大小:88.69 KB

页数:4页

时间:2019-07-14

10:Managing Traffic with Access Lists_第1页
10:Managing Traffic with Access Lists_第2页
10:Managing Traffic with Access Lists_第3页
10:Managing Traffic with Access Lists_第4页
资源描述:

《10:Managing Traffic with Access Lists》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库

1、Chapter10ManagingTrafficwithAccessListsIntroductiontoAccessLists访问列表(accesslist,ACL)的主要作用是过滤你不想要的数据包.设置ACL的一些规则:1.按顺序的比较,先比较第一行,再比较第二行..直到最后1行2.从第一行起,直到找到1个符合条件的行;符合以后,其余的行就不再继续比较下去3.默认在每个ACL中最后1行为隐含的拒绝(deny),如果之前没找到1条许可(permit)语句,意味着包将被丢弃.所以每个ACL必须至少要有1行permit语

2、句,除非你想想所有数据包丢弃2种主要的访问列表:1.标准访问列表(standardaccesslists):只使用源IP地址来做过滤决定2.扩展访问列表(extendedaccesslists):它比较源IP地址和目标IP地址,层3的协议字段,层4端口号来做过滤决定利用ACL来过滤,必须把ACL应用到需要过滤的那个router的接口上,否则ACL是不会起到过滤作用的.而且你还要定义过滤的方向,比如是是想过滤从Internet到你企业网的数据包呢还是想过滤从企业网传出到Internet的数据包呢?方向分为下面2种:1.i

3、nboundACL:先处理,再路由2.outboundACL:先路由,再处理一些设置ACL的要点:1.每个接口,每个方向,每种协议,你只能设置1个ACL2.组织好你的ACL的顺序,比如测试性的最好放在ACL的最顶部3.你不可能从ACL从除去1行,除去1行意味你将除去整个ACL,命名访问列表(namedaccesslists)例外(稍后介绍命名访问列表)4.默认ACL结尾语句是denyany,所以你要记住的是在ACL里至少要有1条permit语句5.记得创建了ACL后要把它应用在需要过滤的接口上6.ACL是用于过滤经过r

4、outer的数据包,它并不会过滤router本身所产生的数据包7.尽可能的把IP标准ACL放置在离目标地址近的地方;尽可能的把IP扩展ACL放置在离源地址近的地方StandardAccessLists介绍ACL设置之前先介绍下通配符掩码(wildcardmasking).它是由0和255的4个8位位组组成的.0代表必须精确匹配,255代表随意,比如:172.16.30.00.0.0.255,这个告诉router前3位的8位位组必须精确匹配,后1位8位位组的值可以为任意值.如果你想指定172.16.8.0到172.16.

5、15.0,则通配符掩码为0.0.7.255(15-8=7)配置IP标准ACL,在特权模式下使用access-lists[ACL号][permit/deny][any/host]命令.ACL号为1到99和1300到1999;permit/deny分别为允许和拒绝;any为任何主机,host为具体某个主机(需要跟上IP地址)或某1段我们来看1个设置IP标准ACL的实例:如图,router有3个LAN的连接1个Internet的连接.现在,销售部的用户不允许访问金融部的用户,但是允许他们访问市场部和Internet连接.配置

6、如下:Router(config)#access-list10deny172.16.40.00.0.0.255Router(config)#access-list10permitany注意隐含的denyany,所以末尾这里我们要加上permitany,any等同于0.0.0.0255.255.255.255.接下来把ACL应用在接口上,之前说过了尽可能的把IP标准ACL放置在离目标地址近的地方,所以使用ipaccess-group命令把ACL10放在E1接口,方向为出,即out.如下:Router(config)#in

7、te1Router(config-if)#ipaccess-group10outControllingVTY(Telnet)Access使用IP标准ACL来控制VTY线路的访问.配置步骤如下:1.创建个IP标准ACL来允许某些主机可以telnet2.使用access-class命令来应用ACL到VTY线路上实例如下:Router(config)#access-list50permit172.16.10.3Router(config)#linevty04Router(config-line)#access-class50

8、in如上,进入VTY线路模式,应用ACL,方向为进来,即in.因为默认隐含的denyany,所以上面的例子,只允许IP地址为172.16.10.3的主机telnet到router上ExtendedAccessLists扩展ACL:命令是access-list[ACL号][permit/deny][协议][源地址][目标地址][操作

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。