返回
CCNA:IP访问控制列表(ACL)知识总结

CCNA:IP访问控制列表(ACL)知识总结

ID:32704544

大小:57.92 KB

页数:11页

时间:2019-02-14

CCNA:IP访问控制列表(ACL)知识总结_第1页
CCNA:IP访问控制列表(ACL)知识总结_第2页
CCNA:IP访问控制列表(ACL)知识总结_第3页
CCNA:IP访问控制列表(ACL)知识总结_第4页
CCNA:IP访问控制列表(ACL)知识总结_第5页
资源描述:

《CCNA:IP访问控制列表(ACL)知识总结》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、CCNA:IP访问控制列表(ACL)知识总结访问控制列表  建立访问控制列表,可对数据流量进行简单的控制,以及通过这种控制达到一不定程度的安全性,允许或拒绝数据包通过路由器,从而达到对数据包进行过滤的目的。  另外,也可以在VTY线路接口上使用访问控制列表,来保证telnet的连接的安全性。  因为接口的数据流是有进口和出口两个方向的,所以在接口上使用访问控制列表也有进和出两个方向。  进方向的工作流程  进入接口的数据包——进方向的访问控制列表——判断。  是否匹配——不匹配,丢弃,匹配,进入路由表——判断是否有相应的路由条目——无,丢弃,有从相

2、应接口转发出去。  出口方向的工作流程  进入接口数据包——进入路由表,判断是否是相应的路由条目——无,丢弃,有,数据包往相应接口——判断出口是否有访问控制列表——无,数据被转发,有,判断条件是否匹配——不匹配,丢弃,匹配,转发。  比较看,尽可能使用进方向的访问控制列表,但是使用哪个方向的应根据实际情况来定。  类型  标准访问控制列表  所依据的条件的判断条件是数据包的源IP地址,只能过滤某个网络或主机的数据包,功能有限,但方便使用。  命令格式  先在全局模式下创建访问控制列表:  Router(config)#access-listacce

3、ss-list-number{permitordeny}soure{soure-wildcard}log  注:access-list-number是访问控制列表号,标准的访问控制列表号为0~99;permit是语句匹配时允许通过,deny是语句不匹配时,拒绝通过。soure是源IP地址,soure-wildcard是通配符,log是可选项,生成有关分组匹配情况的日志消息,发到控制台  补:当表示某一特定主机时,soure{soure-wildcard}这项例如:192.168.1.10.0.0.255可表示为host192.168.1.1  创建

4、了访问控制列表后,在接口上应用  Router(config-if)#ipaccess-groupaccess-list-number{inorout}  扩展访问控制列表  扩展访问控制列表所依据的判断条件是目标、源ip地址、协议及数据所要访问的端口。由此可得出,在判断条件上,扩展访问控制列表具有比标准的访问控制列表更加灵活的优势,能够完成很多标准访问不能完成的工作  命令格式  同样在全局模式下创建列表:  Router(config)#access-listaccess-list-number{dynamicdynamic-name}{tim

5、eoutmintes}{permitordeny}protocolsouresoure-wildcarddestinationdestination-wildcard{precdenceprecedence}{tostos}{time-rangetime-range-name}  命名访问控制列表  ciscoios软件11.2版本中引入了IP命名ACL,其允许在标准和扩展访问控制列表中使用名字代替数字来表示ACL编号  创建命名ACL语法格式:  router(config)#ipaccess-list{extendorstandard}name

6、  router(config-ext-nacl)#{permitordeny}protocolssouresoure-wildcard{operator}destinationdestination-wildcard{operator}{established}  注:established是可选项,只针对于tcp协议  还有vty的限制,其ACL的建立与在端口上建立ACL一样,只是应用在vtyACL到虚拟连接时,用命令access-class代替命令access-group  放置ACL  一般原则:尽可能把扩展acl放置在距离要被拒绝的通信流

7、量近的地方。标准ACL由于不能指定目的地址,所以它们应该尽可能放置在距离目的地最近的地主。CCNP排除路由再分布故障1.RIP再分布问题  routerrip  version2  redistributeospf1metric1  networkx.x.0.0  因为RIP有跳数限制。为改正到达16跳时会出现路由无法再分布的问题,需要在再分布时指派有效的度量标准。其实现可以使用redistribute命令中的metric或default-metric命令。  使用showiproute查看路由传播情况。  2.IGRP/EIGRP的再分布问题  

8、复合度量标准:宽带,延迟,可靠性,负载  CISCO使用100000000/带宽来得到该代价。  routerigrp1 

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。