思科CCNP教程之ACL.pptVIP

A C L 基础 什么时ACL ACL的应用规则 标准ACL 扩展ACL 命名ACL 高 级A C L 应 用 基于时间的ACL 反向ACL 反向ACL 动态ACL 动态ACL案例 ? 2003, Cisco Systems, Inc. All rights reserved. BSCI 2.0—1-* ? 2002, Cisco Systems, Inc. All rights reserved. * ? 2003, Cisco Systems, Inc. All rights reserved. 1. ACL访问控制列表，是应用在路由器上的指令列表，告诉路由器哪些数据 需要接收，哪些数据需要拒绝。 2. 基本原理为使用包过滤技术，在路由器读取第三第四层包头中的信息根据  定义好的规则对包进行过滤，从而达到访问控制的目的。包头中的信息包 括：原地址，目标地址，源端口，目标端口。 3. ACL包括两种基本类型： 标准访问控制列表：以源地址为依据（1～99） 扩展访问控制列表：以源，目标，端口为依据（100～199） 4. ACL是基于协议的如果想控制某种协议的通信数据流，就要对该接口处的 这种协议定义单独的ACL。 5. ACL的过滤对于路由器自己产生的数据包不起作用. 6. 在三层交换机上，表示从接口进入路由模块或出去的包。 1. 判定接口上有无ACL，没有则正常工作 2. 如果接口上存在ACL，则应用ACL 3. 从上到下匹配，匹配了则按ACL处理（不再向下匹配了） 4. 如果没有匹配的则最后默认拒绝所有（所以要注意） 只能用命名ACL 1. 在定义ACL时在后面加：reflect 名字 timeout xxx （timeout xxx表示设置反  向在多久后消失，可选）；然后应用到端口的出方向（注意any any） 2. 重新进入一个命名方式后加：evaluate 名字 ；然后应用到端口的进方向（注意 ospf协议流量等） interface Serial1 ip address 170.1.12.2 255.255.255.0 ip access-group inside in ip access-group outside out ！ ip access-list extended outside permit icmp any any reflect bbs permit ip any any ip access-list extended inside permit ospf any any evaluate bbs ? 2001, Cisco Systems, Inc. All rights reserved. Title of Course (ACRO) vX.X Copyright ? 2001, Cisco Systems, Inc. All rights reserved. Printed in USA.Presentation_ID.scr