欢迎来到天天文库
浏览记录
ID:52358642
大小:163.50 KB
页数:17页
时间:2020-04-04
《访问控制列表(ACL).ppt》由会员上传分享,免费在线阅读,更多相关内容在PPT专区-天天文库。
1、访问控制列表(ACL)主要内容:访问控制列表的作用访问控制列表的种类访问控制列表的建立访问控制列表的作用在路由器接口处,决定哪种类型的通信流量被转发,哪种类型的通信流量被阻塞。例如可以允许e-mail通信流量被路由,同时拒绝所有的telnet通信流量。提供网络访问的基本安全手段。例如可以允许某一主机访问你的网络,而阻止另一主机访问同样的网络。按正确顺序创建ACL在ACL中各描述语句的放置顺序很重要。当路由器决定某一数据包是被转发还是被阻塞时,CiscoIOS按照各描述语句的顺序,根据各描述语句的
2、判断条件,对数据包进行检查。一旦找到某一匹配条件,就结束比较过程,不再检查以后的其他条件判断语句。如果你创建了一个允许所有通信流量通过的条件判断语句,那么后面的所有条件判断语句形同虚设,是不会被检查。如果需要另外的条件判断语句,则必须删除该ACL,然后重新建立一个新的带有一系列条件判断语句的ACL。访问控制列表的种类标准访问控制列表只限制IP数据包中的源地址.扩展访问控制列表可针对IP数据包五元素中任一项进行限制.访问列表用号码来标识。使用什么号码可由你随意决定,但必须符合:标准ACL使用1—9
3、9,扩展ACL使用100—199。对一个表的所有语句必须使用相同的号码。源IP目标IP协议源Port目标Port标准ACL图示OutgoingPacketE0S0IncomingPacketAccessListProcessesPermit?SourceStandardChecksSourceaddressGenerallypermitsordeniesentireprotocolsuite扩展ACL图示OutgoingPacketE0S0IncomingPacketAccessListProc
4、essesPermit?SourceandDestinationProtocolExtendedChecksSourceandDestinationaddressGenerallypermitsordeniesspecificprotocols标准ACL建立命令第一步:定义标准ACLRouter(config)#access-listaccess-list-number{permint
5、deny}{test-conditions}第二步:将ACL应用到某一接口Router(config-if)
6、#ipaccess-groupaccess-list-number{in
7、out}在定义{test-conditions}时,要使用到反向掩码(通配符掩码)。同时,每一个ACL最后都隐藏了一个语句“denyall”。反向掩码表示法反向掩码是一个32比特位的数字串,它被用点号分成4个8位组,每个8位组包含8个比特。在反向掩码中,0表示“检查相应的位”,而1比示“不检查相应的位”。反向掩码跟IP地址是成对出现的,通过“1”或“0”来明确如何处理相应的IP地址位。在IP子网掩码中“1”或“0”是用来决
8、定是网络还是相应的主机IP地址。而在ACL的反向掩码中,掩码位“1”或“0”用来决定相应的IP地址是被忽略,还是被检查。反向掩码表示示例表示一台主机172.30.16.290.0.0.0host172.30.16.29表示一个网络172.30.0.00.0.255.255表示任何网络0.0.0.0255.255.255.255any反向掩码:192.168.0.990.0.0.255192.168.0.0/24反向掩码192.168.0.99255.255.255.0以99结尾的地址标准AC
9、L例(1)access-list1denyhost192.168.0.99(限制所有主机)(2)access-list2denyhost192.168.0.99access-list2permitany(只限制IP地址为192.168.0.99的主机)(3)access-list3permithost192.168.0.99(除192.168.0.99的主机都deny)(4)access-list4deny192.168.0.990.0.0.255access-list4permitany(限制
10、99结尾的地址)Router#configtRouter(config)#access-list10deny172.16.40.00.0.0.255Router(config)#access-list10permitany(orRouter(config)#access-list10permit0.0.0.0255.255.255.255)Router(config)#interfaceethernet0Router(config-if)#ipaccess-group10outRouter功能:
此文档下载收益归作者所有