返回
路由器及路由协议基础配置-访问控制列表.ppt

路由器及路由协议基础配置-访问控制列表.ppt

ID:51500306

大小:1.63 MB

页数:44页

时间:2020-03-25

路由器及路由协议基础配置-访问控制列表.ppt_第1页
路由器及路由协议基础配置-访问控制列表.ppt_第2页
路由器及路由协议基础配置-访问控制列表.ppt_第3页
路由器及路由协议基础配置-访问控制列表.ppt_第4页
路由器及路由协议基础配置-访问控制列表.ppt_第5页
资源描述:

《路由器及路由协议基础配置-访问控制列表.ppt》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、路由器及路由协议基础配置访问控制列表计算机科学与工程学院实验中心张翔索引访问控制列表基础访问控制列表22021/7/25什么是访问控制列表对于数据流控制的需求作为网络管理者,我们通常需要了解如何去控制非法的网络访问,而允许正常的网络访问。尽管已经存在有多种措施,比如如密码,复查设备(callbackequipment)等等。但是,还需要更灵活的基本数据流过滤能力和特定的控制能力。例如,网络管理者可能需要允许用户访问Internet,但是却不允许外部的用户登录到局域网中。路由器提供的数据流过滤功能路由器提供了基本的数据流过滤能力,比如说使用

2、“访问控制列表(ACL)”,通过ACL,我们可以有条件地阻止或发行Internet数据流。32021/7/25什么是访问控制列表简单讲,访问控制列表ACL是运用到路由器端口的指令列表。这些指令告诉路由器接受哪些数据报文而拒绝哪些数据报文。接受或者拒绝根据一定的规则进行,如源地址,目标地址,端口号等。ACL使得用户能够检测特定的数据报文,从而实现数据流的管理。42021/7/25ACL的功能ACL可以用于执行以下一些功能:限制网络数据流,增加网络性能。例如:通过使用ACL限制在线视频数据流,可以极大地减轻网络负载,提高网络性能。提供数据流控

3、制。例如:ACL可以限定或者减少路由更新的内容。如果这些更新在该网络条件下并不是必须的,那么通过对其进行流控可以很好的节约带宽,提高网络性能。为网络访问提供基本的安全保护。ACL可以允许某个主机访问网络的某一部分,而阻止另一台主机访问网络的这个部分。决定是否在路由器端口转发或者阻止指定类型的数据报文例如:ACL可以允许某一个特定网段的email数据流通过路由器进行转发,但是却出于安全的需要阻止所有的telnet数据流。52021/7/25路由器对ACL的执行路由器将根据ACL中指定的条件,对经过路由器端口的数据报文逐一进行检查。通常ACL

4、执行判断的标准基于源或者目的IP地址,协议以及上层协议端口号。62021/7/25ACL在路由器上的应用Onelist,perport,perdirection,perprotocolACL应该根据路由器的端口所允许的每一个协议来制定。如果需要控制流经某个端口的所有数据流,就需要为该端口允许的每一个协议分别创建ACL。例如,如果一个端口配置成仅允许IP,AppleTalk和IPX协议的数据流进入,那么就需要创建至少三条ACL;如果该路由器需要在两个端口的进出两个方向上仅允许以上三个协议通过,那么则需要应用至少12条ACL。72021/7/

5、25ACL如何工作?ACL语句按照逻辑次序顺序执行,如果与某个条件语句相匹配,分组就会根据规则被允许通过或被拒绝通过;一旦某一条语句匹配,则不会再检查后面的其他规则语句;如果所有的规则语句都不匹配,最后将强加一条拒绝全局流量的隐式语句。82021/7/25路由器如何执行选路与ACL功能?无论是否使用ACL,路由器处理数据报文最初的过程是相同的。当一个数据报进入一个端口,路由器检查这个数据报是否可路由。如果是可以路由的,路由器检查这个端口是否有ACL应用。如果有,根据ACL中的条件指令,检查这个数据报文。如果数据报是被允许的,就查询路由表,

6、决定数据报的目标端口。路由器检查目标端口是否存在ACL控制流出的数据报不存在,这个数据报就直接发送到目标端口。如果存在,就再根据ACL进行取舍。92021/7/25路由器执行数据报文处理的流程图102021/7/25创建与应用ACL配置模式ACL需要在全局配置模式中创建;ACL类型Cisco路由器支持多种ACL类型,包括标准、扩展、IPX、AppleTalk等;配置ACL的时候需要为每一个协议的ACL指定一个唯一的数字,用以标识这个ACL。这个数字必须在有效范围之内(参看下图)112021/7/25创建与应用ACL创建ACL的步骤Step

7、1: 在全局配置模式中使用access-list命令撰写ACL应用规则(仅针对使用数字定义ACL的情况);请特别注意创建ACL的顺序!因为路由器在应用ACL时是按照顺序依次检查执行的。ACL顺序所表现出的逻辑正确性关系到该ACL是否能正确实现照管理员的控制意图!Step2: 在路由器端口配置子模式中使用access-group命令将写好的ACL应用到该指定端口;一组ACL可以同时应用到多个路由器端口,所有通过这些端口的数据报文都必须接受该组ACL的检查。122021/7/25创建与应用ACL创建于应用ACL示例132021/7/25删除、

8、修改ACL修改ACL对于传统的使用数字编号定义的ACL,如果需要增加另外的语句或是语句需要改变,你就必须删掉该ACL,然后再重新建立一个带有新语句的ACL。一个好的办法是,使用PC上的文本编辑

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。