返回
路由交换机ACL原理及配置.ppt

路由交换机ACL原理及配置.ppt

ID:55577353

大小:918.01 KB

页数:34页

时间:2020-05-19

路由交换机ACL原理及配置.ppt_第1页
路由交换机ACL原理及配置.ppt_第2页
路由交换机ACL原理及配置.ppt_第3页
路由交换机ACL原理及配置.ppt_第4页
路由交换机ACL原理及配置.ppt_第5页
资源描述:

《路由交换机ACL原理及配置.ppt》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、访问控制列表ACL原理及配置231ACL基本原理ACL配置步骤ACL应用实例内容提要ACL(访问控制列表)定义:当网络流量不断增长的时候,对数据流进行管理和限制的方法作为通用判别标准应用到不同场合ACL是一个对经过路由器的数据进行判断、分类的方法。常见的ACL的应用是将ACL应用到接口上。其主要作用是根据数据包与数据段的特征来进行判断,决定是否允许数据包通过路由器转发,其主要目的是对数据流量进行管理和控制。如果不使用ACL,路由器无法对流量进行限制。什么是ACL?172.16.0.0172.17.0.0Internet哪些场合需要使用ACL?允许或禁止对路由器或来自路由器的t

2、elnet访问QOS与队列技术策略路由数据速率限制路由策略端口流镜像NAT……ACL的使用场合标准ACL仅以源IP地址作为过滤标准只能粗略的限制某一大类协议扩展ACL以源IP地址、目的IP地址、源端口号、目的端口号、协议号作为过滤标准,可以精确的限制到某一种具体的协议Inbound或Outbound数据包出接口数据包入接口ACL处理过程允许?源地址、目的地址协议ACL的分类ACL如何工作数据包入接口否是丢弃处理选择出接口否ACL?路由表?数据包出接口下面以应用在外出接口方向的ACL为例说明ACL的工作流程:首先数据包进入路由器的接口,根据目的地址查找路由表,找到转发接口(如果

3、路由表中没有相应的路由条目,路由器会直接丢弃此数据包,并给源主机发送目的不可达消息)。确定外出接口后需要检查是否在外出接口上配置了ACL,如果没有配置ACL,路由器将做与外出接口数据链路层协议相同的2层封装,并转发数据。ACL如何工作数据包入接口数据包出接口否是丢弃处理选择接口路由表?否ACL匹配控制允许?是ACL?是如果在外出接口上配置了ACL,则要根据ACL制定的原则对数据包进行判断,如果匹配了某一条ACL的判断语句并且这条语句的关键字果是permit,转发数据包。数据包出接口否是丢弃处理选择接口路由表?否ACL匹配控制允许?是ACL如何工作ACL?是数据包入接口否ACL

4、的匹配顺序ACL内部处理具体过程:丢弃处理是目的接口拒绝拒绝是匹配第一条规则?允许ACL的匹配顺序ACL内部处理具体过程:丢弃处理是目的接口是匹配第一条规则?否下一条?是是拒绝拒绝拒绝允许允许ACL的匹配顺序ACL内部处理具体过程:丢弃处理是目的接口是匹配第一条规则?否匹配下一条?匹配最后一条?是是否是是拒绝拒绝拒绝拒绝允许允许允许ACL的匹配顺序ACL内部处理具体过程:丢弃处理是目的接口是匹配第一条规则?否匹配下一条?匹配最后一条?是是否是是**说明:当ACL的最后一条不匹配时,系统使用隐含的“丢弃全部”进行处理!拒绝拒绝拒绝拒绝允许允许允许否目的IP地址源IP地址协议号目

5、的端口段(如TCP报头)数据数据包(IP报头)帧报头(如HDLC)使用ACL检测数据包拒绝允许ACL的判别依据-五元组源端口ACL的规则总结按照由上到下的顺序执行,找到第一个匹配后既执行相应的操作(然后跳出ACL)每条ACL的末尾隐含一条denyany的规则ACL可应用于某个具体的IP接口的出方向或入方向ACL可应用于系统的某种特定的服务(如针对设备的TELNET)在引用ACL之前,要首先创建好ACL对于一个协议,一个接口的一个方向上同一时间内只能设置一个ACL思考:我们应该按照怎样一个顺序配置ACL132ACL基本原理ACL配置步骤ACL应用实例内容提要1:设置判断标准语句

6、(一个ACL可由多个语句组成)access-listaccess-list-number{permit

7、deny}{testconditions}Router(config)#ACL配置步骤2:将ACL应用到接口上ipaccess-groupaccess-list-number{in

8、out}Router(config-if)#IPaccess-list-number范围1-99或100-199号码范围IPACL类型1-99100-199StandardExtended标准ACL(1to99)根据源IP地址对数据包进行控制扩展ACL(100to199)判别依据包括源/目的地址

9、,协议类型,源/目的端口号ACL号码范围标准与扩展ACL的比较标准ACL扩展ACL基于源地址过滤.允许/拒绝整个TCP/IP协簇.指定特定的IP协议和协议号范围从100到199.范围从1到99基于五元组过滤.通配符的作用0代表对应位必须与前面的地址相应位一致1代表对应位可以是任意值忽略所有比特位=001111111286432168421=00000000=00001111=11111100=11111111忽略最后六个比特位匹配所有比特位忽略最后四个比特位匹配最后两个比特位例子匹配条件:匹配所有32位

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。