返回
使用访问列表管理网络流量.ppt

使用访问列表管理网络流量.ppt

ID:49870625

大小:632.00 KB

页数:49页

时间:2020-03-03

使用访问列表管理网络流量.ppt_第1页
使用访问列表管理网络流量.ppt_第2页
使用访问列表管理网络流量.ppt_第3页
使用访问列表管理网络流量.ppt_第4页
使用访问列表管理网络流量.ppt_第5页
资源描述:

《使用访问列表管理网络流量.ppt》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、第10章使用访问列表管理网络量是一系列运用网络地址或者上层协议上的允许或拒绝指令的集合。10.1访问列表简介访问控制列表ACL网络管理者需要了解怎样控制非法的网络访问,允许正常的网络访问。ACL具有灵活的基本数据流过滤能力和特定的控制能力。例如,网络管理者可能允许用户访问Internet,而不允许外部的用户登录到局域网中。路由器提供了基本的数据流过滤能力。如使用访问控制列表(ACL),可以有条件地阻止Internet数据流。ACL,是一系列的允许或拒绝指令的集合,这些指令将运用到网络地址或者上层协议上。ACL需求有

2、多种原因需要创建ACL:限制网络数据流,增加网络性能。例如:根据不同的协议,ACL可以指定路由器优先处理哪些数据报。这叫做队列管理,路由器可以不处理不需要的数据报。队列管理限制了网络数据流,减少了网络拥塞。提供数据流控制。例如:ACL可以限定或者减少路由更新的内容。这些限定,可以用于限制关于某个特定网络的信息传播到整个网络。ACL需求有多种原因需要创建ACL:为网络访问提供基本的安全层。ACL可以允许某个主机访问网络的某一部分,而阻止另一台主机访问网络的这个部分。决定转发或者阻止哪些类型的数据流。例如:可以允许路由

3、email数据流,而阻止telnet数据流。ACL的定义访问控制列表(ACL)是运用到路由器接口的指令列表。这些指令告诉路由器接受哪些数据报而拒绝哪些数据报。接受或者拒绝根据一定的规则进行,如源地址,目标地址,端口号等。ACL使得用户能够管理数据流,检测特定的数据报。路由器将根据ACL中指定的条件,对经过路由器端口的数据报进行检查。ACL可以基于所有的RoutedProtocols,如IP,IPX,对经过路由器的数据报进行过滤。ACL的定义ACL在路由器的端口过滤网络数据流,决定是否转发或者阻止数据报。ACL应该根

4、据路由器的端口所允许的每个协议来制定。如果需要控制流经某个端口的所有数据流,就需要为该端口允许的每一个协议分别创建ACL。例如,如果端口配置成允许IP,Appletalk和IPX协议的数据流,那么就需要创建至少三个ACL。ACL可以用作控制和过滤流经路由器端口的数据报的工具。ACL指令ACL指令的放置顺序是很重要的。当路由器在决定是否转发或者阻止数据报的时候,Cisco的IOS软件,按照ACL中指令的顺序依次检查数据报是否满足某一个指令条件。当检测到某个指令条件满足的时候,就不会再检测后面的指令条件。在每一个路由器

5、的端口,可以为每一个支持的RoutedProtocols创建ACL。对于某些协议,可以创建多个ACL:一个用于过滤进入端口的数据流inbound,一个用于过滤流出端口的数据流outbound。InboundorOutboundInboundorOutbound进入路由器的Inbound,离开路由器的outboundOutgoingPacketE0S0IncomingPacketAccessListProcessesPermit?Sourceand DestinationProtocolACL指令一个ACL就是一组指

6、令,规定数据报如何:进入路由器的某个端口在路由器内的转送离开路由器的某个端口ACL允许控制哪些客户端可以访问的网络。在ACL中的条件可以是:筛选某些主机允许或者禁止访问的部分网络允许或者禁止用户访问某一类协议,如FTP,HTTP等。ACL的工作流程无论是否使用ACL,开始的通信过程是相同的。当一个数据报进入一个端口,路由器检查这个数据报是否可路由。如果是可以路由的,路由器检查这个端口是否有ACL控制进入数据报。如果有,根据ACL中的条件指令,检查这个数据报。如果数据报是被允许的,就查询路由表,决定数据报的目标端口。

7、路由器检查目标端口是否存在ACL控制流出的数据报不存在,这个数据报就直接发送到目标端口。如果存在,就再根据ACL进行取舍。ACL的工作流程ACL的配置创建一个ACL访问控制Router(config)#access-listaccess_list_number{permit

8、deny}{test_conditions}将访问控制绑定到接口上Router(config-if)#{protocol}access-groupaccess_list_number{in

9、out}关闭访问控制列表Router(config)#

10、noaccess-listaccess_list_number为每个ACL分配一个唯一标识配置ACL的时候需要为每一个协议的ACL指定一个唯一的数字,用以标识这个ACL。这个数字必须在有效范围之内。为一个ACL指定了数字后,需要把它关联到一个端口。假如需要修改,只需要利用命令:"noaccess-listlist-number",就可以删除这个ACL的指令。

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。