8.1.2访问控制列表-西安思源学院.ppt

* Graphic: * Graphic: * * Graphic: * Graphic: , with “TCP application” button clicked on * Graphic: * Graphic: * * Graphic: * Graphic: —run animation all the way to the end * Graphic: —run all the way to the end * Graphic: —click on one of the ACLs so its statements are visible * Graphic: * * Graphic: —run all the way to the end, and scroll down in window to view the marked log output * Graphic: * Graphic: * * 8.3.4 配置采用数字编号的扩展ACL 使用 access-list 命令键入语句 所有语句使用同一个数字 数字范围: 100-199, 2000-2699 确定要允许或拒绝的协议 尽可能靠近源放置 8.3.4 配置采用数字编号的扩展ACL 8.3.5 配置命名ACL 用描述性的名字代替数字范围 使用 ip access-list {standard | extended} name 命令键入初始语句 以允许或拒绝起始接下来的语句 将命名 ACL 应用到接口的方法与应用标准 ACL 或扩展 ACL 的方法相同ACL 8.3.5 配置命名ACL ACL 显示的行号为 10、20、30，依此类推。要查看行号，可使用命令: show access-lists 要编辑现有的行，请执行以下操作: -使用 no line number 命令删除该行 -使用其行号重新添加该行. -要将新行插入到已有的行 20 和行 30 之间，请执行以下操作: -使用 new ACL 语句，以介于两个现有行号之间的数字（例如 25）开头 8.3.5 配置命名ACL Delete/Change Insert 8.3.6 配置路由器VTY访问 在线路配置模式中创建ACL 使用 access-class 命令初始化 采用数字编号的 ACL 对所有 VTY 线路应用相同的限制 8.4 允许和拒绝指定类型的流量 介绍企业中的路由和交换 – 第8章 8.4.1 配置ACL以便提供应用程序和端口过滤功能 在基于端口号过滤时，使用特定条件: eq – 等于, gt - 大于, lt – 小于 对于像FTP这样的多端口应用程序拒绝所有相应端口 使用range操作符过滤一组端口号 8.4.2 配置ACL以便支持已建立的流量 阻止外部有害流量的同时允许内部用户自由通行 Ping: 允许 echo replies 的同时拒绝来自外部网络的 echo requests 根据条件检查包 8.4.3 NAT 和 PAT 对ACL位置的影响 在对NAT接口创建和应用ACL时应该考虑对NAT的影响 在NAT出向接口上过滤公有地址 在NAT入向接口上过滤私有地址 8.4.4 分析网络ACL及其位置 依次逐行检查每一个ACL，以避免未预知的结果 8.4.4 分析网络ACL及其位置 管理员需要逐行检查 ACL 并回答以下问题: -该语句拒绝什么服务? -源地址是什么，目的地址是什么? -拒绝哪些端口号? -如果将 ACL 移到其它接口，将会怎样? -如果让该 ACL 过滤相反方向的流量，将会怎样? - NAT 是否会带来问题? 在评估扩展 ACL 时，务必牢记以下几点: 关键字 tcp 允许或拒绝 FTP、HTTP、Telnet 之类的协议. 关键短语 permit ip 用于允许所有 IP 协议，包括任何 TCP、UDP 和 ICMP 协议. 8.4.5 在启用VLAN网间路由的情形下配置ACL 当网络中启用 VLAN 网间路由时，有时需要使用 ACL 控制各个 VLAN 之间的流量. 就像对物理接口应用 ACL 那样直接对 VLAN 接口或路由器上的子接口应用 ACL 8.5 使用访问控制列表过滤流量 介绍企业中的路由和交换 – 第8章 日志为拒绝或允许的数据包提供更多细节 在需要跟踪的每条ACL语句末尾添加log选项 8.5.1 使用日志记录检验ACL功能 8.5.1 使用日志记录检验ACL功能 事件记录到控制台会占用路由器的内存，而路由器的内存资源非常有限。因此，应将路由器配置为向外部服务器发送日志记录消息。这些消息称为 syslog 消息，用户可以实时查看或