CCNA 第十章 用访问列表(ACL)初步管理 IP流量.pptVIP

第十章用访问列表初步管理 IP流量 什么是访问列表 　　访问列表可以用于允许或拒绝包通过路由器、允许或拒绝Telnet（VTY） 访问路由器、允许或拒绝来自路由器的Telnet 访问，以及创建可以出发拨号到远程站点的流量。 　　访问列表基本上是一系列对包进行分类的条件。一个最常用和最容易理解的使用访问列表的情况是，实现安全策略时过滤不希望通过的包。 为什么要使用访问列表 为什么要使用访问列表 访问列表的应用 访问列表的其它应用 访问列表的其它应用 访问列表的其它应用 数据包和访问列表比较时遵循的重要规则 1． 通常是按顺序比较访问列表的每一行。 2． 比较访问列表的各行直到比较到匹配的一行。 3． 在每个访问列表的最后是一行隐含“deny ”语句-意味着如果数据包与访问列表中的所 有行都不匹配，将被丢弃。 访问列表有两种类型 1． 标准的访问列表 2． 扩展的访问列表 3． 命名的访问列表（基于标准和扩展之间的） 方向问题 　　利用ACL来过滤,必须把ACL应用到需要过滤的那个router的接口上,否则ACL是不会起到过滤作用的.而且你还要定义过滤的方向,比如想过滤从Internet到你企业网的数据包呢还是想过滤从企业网传出到Internet的数据包呢?方向分为下面2种:　　 1.inbound ACL:先处理,再路由 2.outbound ACL:先路由,再处理 方向问题 　　在一个接口的输入方向和输出方向使用不同的访问列表： 1． 输入型访问列表 当访问列表被应用到从接口输入的包时，那些包在被路由到输出接口之前要经过访问列表的处理。 2． 输出行访问列表 当访问列表被应用到从接口输出的包时，那些包首先被路由到输出接口，然后在进入该接口的输入队列之前经过访问列表的处理。 标准的访问列表 　　标准的IP 访问列表通过使用IP 包中的源IP 地址过滤网络流量。可以使用访问列表号1-99 或1300-1999 创建标准的访问列表。一般用号码区别访问列表类型。 什么是访问列表--标准 通配符：如何检查相应的地址位 通配符：如何检查相应的地址位 ? 0 表示检查与之对应的地址位的值 ? 1 表示忽略与之对应的地址位的值 　　通配符和访问列表一起用来指定一个主机、一个网络、一个网络或几个网络内的某个范围。 　　要理解通配符，需要理解什么是块大小，这里常常指地址范围。一些有效的块大小是64、 32 、16、8和4。 通配符掩码指明特定的主机 通配符掩码指明所有主机 通配符掩码和IP 子网的对应  扩展的访问控制列表 　　扩展的访问列表允许指定源地址和目的地址，以及表示上层协议或应用的协议和端口号。通过使用扩展的IP 访问列表，可以有效地允许用户访问物理LAN 的同时不允许访问特定的主机或甚至那些主机上的特定服务。 扩展的访问控制列表 访问列表的测试：允许和拒绝 访问列表的测试：允许和拒绝 访问列表的测试：允许和拒绝 访问列表的测试：允许和拒绝 访问列表配置指南 访问列表的编号指明了使用何种协议的访问列表 每个端口、每个方向、每条协议只能对应于一条访问列表 访问列表的内容决定了数据的控制顺序 具有严格限制条件的语句应放在访问列表所有语句的最上面 在访问列表的最后有一条隐含声明：deny any－每一条正确的访问列表都至少应该有一条允许语句 先创建访问列表，然后应用到端口上 访问列表不能过滤由路由器自己产生的数据 访问列表设置命令 访问列表设置命令 如何识别访问列表号 如何识别访问列表号 如何识别访问列表号 一些设置ACL的要点 　　1.每个接口,每个方向,每种协议,你只能设置1个ACL　　2.组织好你的ACL的顺序,比如测试性的最好放在ACL的最顶部　　3.你不可能从ACL从除去1行,除去1行意味你将除去整个ACL,命名访问列表(named access lists)例外(稍后介绍命名访问列表)　　4.默认ACL结尾语句是deny any,所以你要记住的是在ACL里至少要有1条permit语句　　5.记得创建了ACL后要把它应用在需要过滤的接口上　　6.ACL是用于过滤经过router的数据包,它并不会过滤router本身所产生的数据包　　7.尽可能的把IP标准ACL放置在离目标地址近的地方;尽可能的把IP扩展ACL放置在离源地址近的地方 配置标准的 IP 访问列表 标准IP访问列表的配置 标准IP访问列表的配置 标准访问列表举例 1 标准访问列表举例 1 标准访问列表举例 2 标准访问列表举例 2 标准访问列表举例 2 标准访问列表举例 3 标准访问列表举例 3 用访问列表控制vty访问 在路由器上过滤vty 五个虚