返回
网络互联技术与实践第15章使用访问控制列表管理数据流课件.ppt

网络互联技术与实践第15章使用访问控制列表管理数据流课件.ppt

ID:56960413

大小:516.50 KB

页数:63页

时间:2020-07-22

网络互联技术与实践第15章使用访问控制列表管理数据流课件.ppt_第1页
网络互联技术与实践第15章使用访问控制列表管理数据流课件.ppt_第2页
网络互联技术与实践第15章使用访问控制列表管理数据流课件.ppt_第3页
网络互联技术与实践第15章使用访问控制列表管理数据流课件.ppt_第4页
网络互联技术与实践第15章使用访问控制列表管理数据流课件.ppt_第5页
资源描述:

《网络互联技术与实践第15章使用访问控制列表管理数据流课件.ppt》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、15.1任务描述第15章:使用访问控制列表管理数据流某公司组建自己的企业网,在企业网内有公司的财务处、公司领导、企业员工等部门,并且其合作伙伴的局域网也接入了其企业网。为保证公司信息安全,公司决定不允许合作伙伴的局域网访问公司的财务处,但允许与其它部门的主机之间通信。15.2相关知识第15章:使用访问控制列表管理数据流15.2.1访问控制列表概述15.2.2通配符掩码位15.2.3标准访问控制列表15.2.1访问控制列表概述分类过滤ACL功能在路由器使用访问控制列表(AccessControlList,缩写ACL,)使其成为一个包过滤防火墙就是其中方法之一,可

2、以对经过的数据包进行过滤,以阻止黑客攻击网络、限定网络使用者的访问权限和时间,防止网络病毒的泛滥等。ACL是一个控制网络的有力工具,使用ACL来完成两项主要功能:1.ACL功能15.2.1访问控制列表概述(1)分类分类可以让网络管理员对ACL定义的数据流进行特殊的处理,例如:识别通过虚拟专用网(VPN)连接进行传输时需要加密的数据流;识别要将其从一种路由选择协议重分发到另一种路由选择协议中的路由;结合使用路由过滤来确定要将哪些路由包含在路由器之间传输的路由选择更新中;结合使用基于策略的路由选择来确定通过专用链路传输哪些数据流;结合使用网络地址转换(NAT)来确

3、定要转发哪些地址;结合使用服务质量(QoS)来确定发生拥塞时应调度队列中的哪些数据包。1.ACL功能15.2.1访问控制列表概述(2)过滤。ACL通过在路由器接口处控制路由数据包是被转发还是被阻塞来过滤网络通信流量。路由器根据ACL中指定的条件来检测通过路由器的每个数据包,从而决定是转发还是丢弃该数据包。ACL中的条件,既可以是数据包的源地址,也可以是目的地址,还可以是上层协议或其它因素。Cisco提供了拒绝或允许如下数据流通过的ACL:前往或来自特定路由器接口的数据流;前往或离开路由器VTY端口、用于管理路由器的Telnet数据流。默认情况下,所有数据流都被

4、允许进入和离开所有的路由器接口。ACL可以当作一种网络控制的有力工具,用来过滤流入、流出路由器接口的数据包。1.ACL功能15.2.1访问控制列表概述2.建立ACL的作用(1)控制网络流量、提高网络性能。(2)控制用户网络行为。(3)控制网络病毒的传播。(4)提供网络访问的基本安全手段。15.2.1访问控制列表概述ACL定义了一组规则,它们进一步控制了进入入站接口的数据包、通过路由器进行转发的数据包以及离开路由器出站接口的数据包;ACL不影响源自当前路由器的数据包,而是一些指定路由器如何对流经指定接口的数据流进行处理的语句。3.ACL的工作原理入站ACL出站A

5、CL。ACL工作方式15.2.1访问控制列表概述(1)入站ACL。负责过滤进入路由器接口的数据流量。在到来的数据包被转发到出站接口前对其进行处理。入站ACL的效率很高,因此数据包因未能通过过滤测试而被丢弃时,将节省查找路由选择表的时间。仅当数据包通过测试后,才对其做路由选择方面的处理。(2)出站ACL。负责过滤从路由器接口发出的数据流量。入站数据包首先被转发到出站接口,然后根据出站ACL对其进行处理。3.ACL的工作原理15.2.1访问控制列表概述3.ACL的工作原理丢弃数据包选择出站接口可路由/可桥接吗?入站接口数据包垃圾桶数据包Y有匹配的路由选择表条目吗?

6、Y有ACL吗?N根据ACL语句进行检测YNN允许吗?Y数据包N数据包出站接口图15.1出站ACL的工作原理S015.2.1访问控制列表概述3.ACL的工作原理数据包进入接口YYY与当前语句匹配吗?YY目的接口N允许隐式拒绝N拒绝拒绝拒绝允许允许Y拒绝图15.2ACL的操作过程数据包垃圾桶与当前语句匹配吗?与当前语句匹配吗?15.2.1访问控制列表概述4.ACL的类型标准ACL扩展ACLACL类型源地址检查数据包源网络目的地址协议及数据所要访问的端口检查数据包15.2.1访问控制列表概述(1)创建编号的ACL时,将ACL编号作为全局ACL语句的第1个参数。根据A

7、CL编号可以判断是标准ACL还是扩展ACL。5.标识ACL协议ACL表号的范围是有名字的访问列表吗?IP标准199是13001999(IOS从12.0开始支持)ExtendedIP(扩展)110199是20002699(IOS从12.0开始支持)ApleTalk600699以太网地址700799IPX标准800899是ExtendedIPX(扩展)900999是IPXserviceadvertisingprotocol1000109915.2.1访问控制列表概述(2)命名ACL使用字母数字字符串(名称)来标识标准ACL或扩展ACL,可以让管理

8、员更灵活地处理ACL语句。(3)ACL

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。