- 1、本文档共4页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
2.6配置ACL
2.6 配置ACL
2.6.1 ACL概述
ACL(Access Control List,访问控制列表如IP、IPX、AppleTalk等。限制网络流量、提高网络性能。例如,可以根据数据包的协议,指定数据包的优先级。
提供对通信流量的控制手段。例如,可以限定或简化路由更新信息的长度,从而限制通过路由器某一网段的通信流量。
提供网络安全访问的基本手段。ACL可以允许主机A访问网络,而拒绝主机B访问。
在路由器端口处决定哪种类型的通信流量被转发或被阻塞。例如,用户可以允许E-mail通信流量被路由,拒绝所有的Telnet通信流量。
ACL是一组条件判断语句的集合,主要定义了数据包进入路由器端口及通过路由器转发和流出路由器端口的行为。ACL不过滤路由器本身发出的数据包,只过滤经过路由器的数据包。当一个数据包进入路由器的某个端口时,路由器首先要检查该数据包是否可路由或可桥接。然后路由器将检查在该端口是否应用了ACL,如果有ACL,就将数据包与ACL中的条件语句相比较。如果数据包被允许通过,就继续检查路由表以决定转发到的目的端口。然后路由器将检查目的端口是否应用了ACL,如果没有应用,数据包将直接送到目的端口并从该端口输出。
ACL按各语句的逻辑次序顺序执行,如果与某个条件语句相匹配,数据包将被允许或拒绝通过,而不再检查剩下的条件语句。如果数据包与第一条语句没有匹配,将继续与下一条语句进行比较,如果与所有的条件语句都没有匹配,则该数据包将被丢弃。
【注意】在ACL的最后会强加一条拒绝全部流量的隐含语句,该语句是看不到的。
2.6.3 配置标准ACL
标准ACL只检查可以被路由的数据包的源地址,从而允许或拒绝基于网络、子网或主机IP地址的某一协议通过路由器,其工作流程如图所示。从路由器某一端口进来的数据包经过检查其源地址和协议类型,并于ACL条件判断语句相比较,如果匹配,则执行允许或拒绝。通常要允许或阻止来自某一网络的所有通信流量,或者要拒绝某一协议的所有通信流量时,可以使用标准ACL来实现。
在如图所示的网络中,2台Cisco 2811路由器通过串行端口相互连接,相关的IP地址信息如图所示。整个网络配置RIP路由协议,保证网络正常通信。要求在RTB上配置标准ACL,允许PC1访问路由器RTB,但拒绝/24网络中的其他主机访问RTB,并允许连接在路由器RTA的其他主机访问RTB。
(1)配置RIP路由协议
具体的配置过程与RIP配置实例类似,这里不再赘述。
(2)配置标准ACL
在路由器RTB的配置如下:
RTB(config)#access-list 1 permit host
//定义1号标准ACL,当主机源地址为时允许该入口的通信流量
RTB(config)#access-list 1 deny 55
//定义1号标准ACL,当源地址网络标识为时拒绝该入口的通信流量
RTB(config)#access-list 1 permit any
//定义1号标准ACL,当源地址为其他时允许该入口的通信流量。这行非常重要,若不设置,路由器将拒绝其他所有流量
RTB(config)#interface s0/0/0
RTB(config-if)#ip access-group 1 in
//将1号标准ACL应用于该端口,in表示对输入数据生效,out表示对输出数据生效
【注意】标准ACL的表号应该是一个从1~99或1300~1999之间的数字;另外可以使用通配符掩码来设置路由器需要检查的IP地址位数,通配符掩码是一个32位二进制数,前一部分为0表示路由器需要检查的部分,后一部分为1表示路由器不需要检查的部分。例如若源地址为,通配符掩码为55,则表示路由器只检查IP地址的前24位,必须与精确匹配,后8位的值可以任意;可以通过在access-list前加no的形式,来删除一个已经建立的标准ACL。
(3)验证标准ACL
配置完标准ACL后,可以通过以下命令进行验证。
RTB# show access lists //显示ACL
Standard ip access list 1
10 permit
20 deny , wildcard bits 55(16 matches)
30 permit any (18 matches)
RTB# show ip interface //查看ACL作用在IP接口上的信息,并指出是否正确设置
2.6.4 配置扩展ACL
扩展ACL可以根据数据包的源地址、目的地址、协议类型、端口号和应用来决定允许或拒绝发送该数据包,因而扩展ACL比标准ACL提供了更广阔的控制范围和更多的处理方法。路由器根据扩展ACL检查数据包的工作流程如图所示。
在如图所示的网络中,2台Cis
您可能关注的文档
- 消防“六个一”总结.doc
- 51单片机复习部分资料习题.doc
- 第五课信息检索.ppt
- 2008-06英语听力.doc
- 中文标志欣赏.doc
- 加工余量及工序尺寸的确定教案表格形式.doc
- 11.1三相交流电.ppt
- 质量和密度知识讲配套WORDPPT2011元27.ppt
- 常规建筑材料检测取样规定.doc
- 高三突破题.doc
- 新教材2024高中英语Unit4SharingSectionIIIUsingLanguage同步测试.doc
- 四川省乐山市第四中学2024_2025学年高二生物上学期开学考试试题.doc
- 山东省泰安肥城市2024_2025学年高二生物上学期期中试题.doc
- 山东省济南市槐荫区2023-2024学年九年级上学期期中考试英语试题.pdf
- 经皮肾镜碎石术相关知识考核试题.pdf
- 山东省潍坊市2023-2024学年高一年级上册期末考试英语试题(解析版).pdf
- 2024–2025学年人教版七年级生物上册复习:细胞怎样构成生物体(基础卷)解析版.pdf
- 2024-2025学年广东省深圳某中学九年级(上)开学数学试卷(含答案).pdf
- 2024-2025学年度上学期九年级历史9月月考试卷(含答案).pdf
- 黑龙江省大庆市2023-2024学年七年级上学期语文期中考试试卷 (含答案).pdf
文档评论(0)