返回
第25讲访问控制列表(acl)

第25讲访问控制列表(acl)

ID:5181275

大小:456.50 KB

页数:26页

时间:2017-11-26

第25讲访问控制列表(acl)_第1页
第25讲访问控制列表(acl)_第2页
第25讲访问控制列表(acl)_第3页
第25讲访问控制列表(acl)_第4页
第25讲访问控制列表(acl)_第5页
资源描述:

《第25讲访问控制列表(acl)》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、第25讲 访问控制列表(ACL)主讲:史宝会教学目标AccessControlList访问列表(ACL)的作用访问列表的分类标准访问列表的应用及配置扩展访问列表的应用及配置应用ACL控制和管理通信流量2访问列表的概念访问列表的定义是一系列运用网络地址或者上层协议上的允许或拒绝指令的集合这些指令将运用到网络地址或者上层协议上这些指令告诉路由器接受哪些数据报而拒绝哪些数据报。ACL使得用户能够管理数据流,检测特定的数据报。接受或者拒绝根据一定的规则进行,如源地址,目标地址,端口号等。路由器将根据AC

2、L中指定的条件,对经过路由器端口的数据报进行检查。ACL可以基于所有的RoutedProtocols,如IP,IPX,对经过路由器的数据报进行过滤。3访问列表应用图例4访问控制列表的作用ACL具有灵活的基本数据流过滤能力和特定的控制能力。访问列表可以控制非法的网络访问,允许正常的网络访问路由器提供了基本的数据流过滤能力如使用访问控制列表(ACL),可以有条件地阻止Internet数据流。在路由器接口处,决定哪种类型的通信流量被转发、哪种类型的通信流量被阻塞5ACL需求限制网络数据流,增加网络性能

3、。列队管理根据不同的协议,ACL可以指定路由器优先处理哪些数据报路由器可以不处理不需要的数据报队列管理限制了网络数据流,减少了网络拥塞提供数据流控制。ACL可以限定或者减少路由更新的内容。为网络访问提供基本的安全层。ACL可以允许某个主机访问网络的某一部分,而阻止另一台主机访问网络的这个部分。决定转发或者阻止哪些类型的数据流。可以允许路由e_mail数据流,而阻止telnet数据流6ACL定义的原则ACL在路由器的端口过滤网络数据流,决定是否转发或者阻止数据报。ACL应该根据路由器的端口所

4、允许的每个协议来制定。如果需要控制流经某个端口的所有数据流,就需要为该端口允许的每一个协议分别创建ACL。例如,如果端口配置成允许IP,Appletalk和IPX协议的数据流,那么就需要创建至少三个ACL。ACL可以用作控制和过滤流经路由器端口的数据报的工具。7ACL指令的配置原则ACL中的指令以按顺序执行的先满足条件则之后的指令不执行配置ACL指令时,要先配置最严格的条件、之后较松的条件对于某些协议,可以创建多个ACL:一个用于过滤进入端口的数据流inbound,一个用于过滤流出端口的数据流o

5、utbound8ACL指令一个ACL就是一组指令,规定数据报如何:进入路由器的某个端口在路由器内的转送离开路由器的某个端口ACL允许控制哪些客户端可以访问的网络。在ACL中的条件可以是:筛选某些主机允许或者禁止访问的部分网络允许或者禁止用户访问某一类协议,如FTP,HTTP等。9ACL的工作流程无论是否使用ACL,开始的通信过程是相同的。当一个数据报进入一个端口,路由器检查这个数据报是否可路由。如果是可以路由的,路由器检查这个端口是否有ACL控制进入数据报。如果有,根据ACL中的条件指令,检查这

6、个数据报。如果数据报是被允许的,就查询路由表,决定数据报的目标端口。路由器检查目标端口是否存在ACL控制流出的数据报不存在,这个数据报就直接发送到目标端口。如果存在,就再根据ACL进行取舍。10ACL的工作流程11ACL条件顺序CiscoIOS按照各描述语句在ACL中的顺序,根据各描述语句的判断条件,对数据包进行检查。一旦找到了某一匹配条件,就结束比较过程,不再检查以后的其他条件判断语句。12ACL分类标准ACL检查源地址允许或拒绝整个协议族标准ACL(数字1到99),可以提供数据流过滤控制。它

7、是基于源地址和通配掩码。标准ACL可以允许或禁止整套IP协议。OutgoingPacketfa0/0S0/0IncomingPacketAccessListProcessesPermit?Source13ACL分类扩展ACL检查源和目的地址通常允许或拒绝特定的协议为了更加精确的数据流过滤,需要扩展ACL。扩展ACL检查源地址和目标地址,以及TCP或UDP端口号。还可以指定扩展ACL针对特定的协议的进行操作。扩展ACL使用的数字范围是:100-199。OutgoingPacketFa0/0s0/0

8、IncomingPacketAccessListProcessesPermit?Sourceand DestinationProtocol14用扩展ACL检查数据包15常见端口号端口号(PortNumber)20文件传输协议(FTP)数据21文件传输协议(FTP)程序23远程登录(Telnet)25简单邮件传输协议(SMTP)69普通文件传送协议(TFTP)80超文本传输协议(HTTP)53域名服务系统(DNS)16ACL表号协议(Protocol)ACL表号的取值范围(ACLRange)IP(

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。