- 1、本文档共53页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
第10章 使用访问列表管理网络流量 本章主要讲述使用标准访问控制列表和扩展访问控制列表控制网络流量的方法。本章同时提供了标准访问控制列表和扩展访问控制列表以及在路由接口应用ACL的例子。 要求掌握内容: (1)标准ACL和扩展ACL; (2)命名ACL ; (3)应用ACL控制和管理通信流量。 章节内容 10.1 访问列表简介 10.2 标准的访问列表 10.3 扩展的IP访问列表 10.4 命名的访问列表 10.5 应用和验证访问控制列表 10.1 访问列表简介 是一系列运用网络地址或者上层协议上的允许或拒绝指令的集合。 访问控制列表ACL 网络管理者需要了解怎样控制非法的网络访问,允许正常的网络访问。ACL具有灵活的基本数据流过滤能力和特定的控制能力。例如,网络管理者可能允许用户访问Internet,而不允许外部的用户登录到局域网中。 路由器提供了基本的数据流过滤能力。如使用访问控制列表(ACL),可以有条件地阻止Internet数据流。ACL,是一系列的允许或拒绝指令的集合,这些指令将运用到网络地址或者上层协议上。 ACL需求 有多种原因需要创建ACL: 限制网络数据流,增加网络性能。 例如:根据不同的协议,ACL可以指定路由器优先处理哪些数据报。这叫做队列管理,路由器可以不处理不需要的数据报。队列管理限制了网络数据流,减少了网络拥塞。 提供数据流控制。 例如:ACL可以限定或者减少路由更新的内容。这些限定,可以用于限制关于某个特定网络的信息传播到整个网络。 ACL需求 有多种原因需要创建ACL: 为网络访问提供基本的安全层。 ACL可以允许某个主机访问网络的某一部分,而阻止另一台主机访问网络的这个部分。 决定转发或者阻止哪些类型的数据流。 例如:可以允许路由email数据流,而阻止telnet数据流。 ACL的定义 访问控制列表(ACL)是运用到路由器接口的指令列表。这些指令告诉路由器接受哪些数据报而拒绝哪些数据报。 接受或者拒绝根据一定的规则进行,如源地址,目标地址,端口号等。ACL使得用户能够管理数据流,检测特定的数据报。 路由器将根据ACL中指定的条件,对经过路由器端口的数据报进行检查。 ACL可以基于所有的Routed Protocols,如IP,IPX,对经过路由器的数据报进行过滤。 ACL的定义 ACL在路由器的端口过滤网络数据流,决定是否转发或者阻止数据报。 ACL应该根据路由器的端口所允许的每个协议来制定。如果需要控制流经某个端口的所有数据流,就需要为该端口允许的每一个协议分别创建ACL。 例如,如果端口配置成允许IP,Appletalk和IPX协议的数据流,那么就需要创建至少三个ACL。 ACL可以用作控制和过滤流经路由器端口的数据报的工具。 ACL指令 ACL指令的放置顺序是很重要的。当路由器在决定是否转发或者阻止数据报的时候,Cisco的IOS软件,按照ACL中指令的顺序依次检查数据报是否满足某一个指令条件。当检测到某个指令条件满足的时候,就不会再检测后面的指令条件。 在每一个路由器的端口,可以为每一个支持的Routed Protocols创建ACL。对于某些协议,可以创建多个ACL:一个用于过滤进入端口的数据流inbound,一个用于过滤流出端口的数据流outbound。 Inbound or Outbound Inbound or Outbound 进入路由器的Inbound,离开路由器的outbound ACL指令 一个ACL就是一组指令,规定数据报如何: 进入路由器的某个端口 在路由器内的转送 离开路由器的某个端口 ACL允许控制哪些客户端可以访问的网络。在ACL中的条件可以是: 筛选某些主机允许或者禁止访问的部分网络 允许或者禁止用户访问某一类协议,如FTP,HTTP等。 ACL的工作流程 无论是否使用ACL,开始的通信过程是相同的。 当一个数据报进入一个端口,路由器检查这个数据报是否可路由。 如果是可以路由的,路由器检查这个端口是否有ACL控制进入数据报。 如果有,根据ACL中的条件指令,检查这个数据报。 如果数据报是被允许的,就查询路由表,决定数据报的目标端口。 路由器检查目标端口是否存在ACL控制流出的数据报 不存在,这个数据报就直接发送到目标端口。 如果存在,就再根据ACL进行取舍。 ACL的工作流程 ACL的配置 创建一个ACL访问控制 Router(config)# access-list access_list_number {permit|deny} {test_conditions} 将访问控制绑定到接口上 Router(config-if)# {protocol} access-group access_list_nu
文档评论(0)