原创力文档- 1、本文档共20页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
5-标准ACL
Slide 1 of 2 Purpose: This slide gives another specific TCP/IP example of a standard access list configuration. Emphasize: This example features the use of the wildcard abbreviation any. Slide 1 of 1 Purpose: This slide shows how to verify an access list. Emphasize: Lists IP interface information. Indicates whether outgoing access list is set. Review the output of the show ip interface command. The highlighted text shows details about access list settings in the show command output. Slide 1 of 1 Purpose: This slide introduces the show access-lists command used to verify access lists. Emphasize: This is the most consolidated method for seeing several access lists. Note, the implicit deny all statement is not displayed unless it is explicitly entered in the access-list. * * ? 2002, Cisco Systems, Inc. All rights reserved. * * 访问控制列表(ACL)
(Access Control List) 一、ACL概述 什么是ACL? ACL的本质就是一系列对数据包过滤的条件(规则)。 例如: a./24内主机能访问/24 b./24内主机不能访问/24 /24 /24 /24 Internet 管理IP网络流量 当数据包经过Router时,对数据进行筛选 允许、拒绝数据包通过路由器 允许、拒绝Telnet会话的建立 没有设置访问列表时,所有的数据包都会在网络上传输 为什么使用访问控制列表? 编号范围 1-99 100-199 Name (Cisco IOS 11.2 and later) 标准ACL 扩展ACL 命名ACL 访问列表类型 二、ACL的分类 标准ACL 检查IP数据包源IP地址 扩展ACL 检查源IP地址,目的IP地址,源端口号和目的端口号 通常允许、拒绝的是某个特定的协议 按照顺序进行匹配,从第一行开始,然后第二行,第三行等; 按照顺序查询匹配,符合条件后就不再继续匹配后面的条目; 每个ACL列表最后都隐含一条拒绝的语句,所以每个ACL至少包含一条 permit语句; ACL用于过滤通过Router的流量,但不会过滤Router自身产生的流量; 除了命名ACL,不能删除ACL中一条规则,否则将会删除整个ACL; 每接口每方向只能分派一个ACL ACL的应用有进(出)站访问列表 进站访问列表:数据包先经过ACL处理再转发 出站访问列表:数据包先被转发到出口再经过 ACL处理 ACL中使用通配符,即使用反子网掩码 三、ACL的特点 访问列表的测试:允许和拒绝 Packets to Interface(s) in the Access Group Packet
Discard Bucket Y Interface(s) Destination Deny Y Match First Test ? Permit N Deny Permit Match Next Test(s) ? Deny Match Last Test
? Y Y N Y Y Permit Implicit Deny 如果没有匹配项, 则拒绝 Deny N Notify Sender 出端口方向上的访问列表 If no access list statement matches then discard the packet N Y Packet Discard Bucket Choose Interface
Routing Table
Entry
? N Y Test Access List Statements Permit
? Y Access List
? Disc
文档评论(0)