CCNA第四天笔记.docVIP

CCNA第四天笔记 访问控制列表 概念 1、访问控制列表（ACL） 应用于路由器接口的指令列表 ，用于指定哪些数据包可以接收转发，哪些数据包需要拒绝，一个最常用和最容易理解的使用访问列表的情况是，实现安全策略时过滤不希望通过的包 2、ACL的工作原理 实现访问控制列表的核心技术是包过滤，根据预先定义好的规则对包进行过滤 读取第三层IP头及第四层TCP包头中的信息、访问控制列表利用这4个元素定义的规则（4个元素为源和目标IP地址，源和目标端口） 3、ACL的作用 提供网络访问的基本安全手段，当数据通过路由器时进行过滤 管理网络中逐步增长的 IP 数据 1． 通常是按顺序比较访问列表的每一行。 2． 比较访问列表的各行直到比较到匹配的一行。 3． 在每个访问列表的最后是一行隐含“deny”语句-意味着如果数据包与访问列表中的所 有行都不匹配，将被丢弃 5、在一个接口的输入方向和输出方向使用不同的访问列表： 输入型访问列表 当访问列表被应用到从接口输入的包时，那些包在被路由到输出接口 之前要经过访问列表的处理。 输出行访问列表 当访问列表被应用到从接口输出的包时，那些包首先被路由到输出接 口，然后在进入该接口的输入队列之前经过访问列表的处理。 配置命令 使用命令ip access-group将ACL应用到某一个接口上 Router(config-if)#ip access-group access-list-number {in|out} 在接口的一个方向上，只能应用一个access-list 2、 禁止和允许 Router(config)#access-list access-list-number {permit|deny} {test conditions} Permit 允许数据包通过应用了访问控制列表的接口 Deny 拒绝数据包通过 3、实例 第一步，创建访问控制列表 Router(config)#access-list 1 deny 3 Router(config)#access-list 1 permit 55 Router(config)#access-list 1 permit 55 第二步，应用到接口f0/0的出方向上 Router(config)#interface fastethernet 0/0 Router（config-if）#ip access-group 1 out 4、使用通配符any和host 通配符any可代替 55 Router(config)#access-list 1 permit 55 Router(config)#access-list 1 permit any 两条命令等效 host表示检查IP地址的所有位 Router(config)#access-list 1 permit 9 Router(config)#access-list 1 permit host 9 两条命令等效 三、访问列表有类型： 1、分类 标准的访问列表 扩展的访问列表 命名的访问列表（基于标准和扩展之间的） 标准访问控制列表 标准的IP 访问列表通过使用IP 包中的源IP 地址过滤网络流量。 可以使用访问列表号1-99 标准访问控制列表只使用源地址进行过滤，表明是允许还是拒绝 标准访问控制列表的配置 第一步，使用access-list命令创建访问控制列表 Router(config)#access-list access-list-number { permit | deny } source [ source- wildcard ] [log] Wildcard是掩码通配符，就是掩码的反码 表示所有位都检查，完全匹配，一般用于单个主机，55用来表示所有位都不检查，表示所有主机 其他反码的计算用55减去子网掩码就是掩码通配符 第二步，使用ip access-group命令把访问控制列表应用到某接口 Router(config-if)#ip access-group access-list-number { in | out } 扩展访问控制列表 扩展访问控制列表 基于源和目的地址、传输层协议和应用端口号进行过滤 每个条件都必须匹配，才会施加允许或拒绝条件 使用扩展ACL可以实现更加精确的流量控制 访问控制列表号从100到199 扩展访问控制列表使用更多的信息描述数据包，表明是允许还是拒绝 6、访问列表配置指南 ? 访问列表的编号指明了使用何种协议的访问列表 ? 每个端口、每个方向、每条协议只能对应于一条访问列表 ? 访问列表的内容决定了数据的控制顺序 ? 具有严格限制条件的语句应