第07部分访问控制列表.pptxVIP

ACL是应用到路由器接口的指令列表，这些指令列表用来告诉路由器哪些数据包可以接收，哪些数据包需要拒绝。至于数据包是被接收还是被拒绝，可以由类似于源地址，目的地址，端口号等的特定指示条件来决定。 ACL的定义是基于每一种协议的。换言之，如果想控制某种协议的通信数据流，那么必须要对该接口处的这种协议定义单独的ACL。 ACL类型 阻止来自某一网络的所有通信流量时，或允许来自某一特定网络的所有通信流量时，或想要拒绝某一协议簇的所有通信流量时阻止来自某一网络的所有通信流量时，或允许来自某一特定网络的所有通信流量时，或想要拒绝某一协议簇的所有通信流量时。 使用情况 配置标准号码式IP 访问控制列表: CUIT(config)# access-list access-list-number {deny | permit } source [source-wildcard] [log] 把访问控制列表在接口下应用:  CUIT (config)# interface fastEthernet 1  CUIT (config-if)#ip access-group 1 out 参数 参数说明 access-list-number 访问控制列表表号，用来指出入口属于哪一个访问控制列表（对于标准ACL来说，是从1到99的一个数字） deny 如果满足测试条件，则拒绝从该入口来的通信流量 permit 如果满足测试条件，则允许从该入口来的通信流量 source 数据包的源地址，可以是主机IP地址，也可以是网络地址。 source-wildcard （可选）用来跟源地址一起决定哪些位需要匹配操作。 参数 参数说明 log （可选）生成相应的日志信息，用来记录经过的ACL入口的数据包的有关情况。 操作步骤 使用标准的IP访问列表控制访问VTY线路。因为访问列表应用到VTY线路上时，不需要指定Telnet协议，既然访问VTY就隐含了终端访问的意思。也不需要指定目的地址，既然不关心用户使用哪一个接口作为远程登录会话的目标接口。只需控制用户从哪里来——它们的源IP地址。 允许主机远程登录到该路由器的例子： CUIT (config)#access-list 10 permit CUIT (config)#line vty 0 4 CUIT (config-line)#access-class 10 in 扩展ACL既检查数据包的源地址，也检查数据包的目的地址。此外，还可以检查数据包的特定协议类型，端口号等。这种扩展后的特性给了网络管理员更大的灵活性，可以灵活多变地设计ACL的测试条件。数据包是否被允许通过出口，既可以基于它的源地址，也可以基于它的目的地址。 参数 参数说明 access-list-number 访问控制列表表号 permit | deny 用来表示在满足测试条件的情况下，该入口是允许，还是拒绝后面指定特定地址的通信流量。 protocol 用来指定协议类型。 Source And Destination 源和目的，分别用来标识源地址和目的地址。 source-wildcard and destination-wildcard 通配符掩码。 operator operand lt， gt ，eq ，neq （小于，大于，等于，不等于） 一个端口号。 established 如果数据包使用一个已建连接（例如，具有ACK位组) ， 便可允许TCP信息量通过。 配置标准号码式IP 访问控制列表: CUIT (config)# access-list access-list-number { permit | deny } protocol source source-wildcard destination destination-wildcard [operator operand] [established] 把访问控制列表在接口下应用(同标准访问控制列表配置) 给ACL命名: CUIT (config)# ip access-list {standard | extended } name 在ACL配置模式下，通过指定一个或多个允许及拒绝条件，来决定一个数据包是允许通过还是遭到丢弃: CUIT (config- ext- nacl)# permit {source [source-wildcard] | any} 或 CUIT ((config- ext- nacl)# deny {source [source-wildcard] | any} CUIT (config)#int fastEthernet 0 CUIT (config-if)#ip access-