TCPIP路由交换技术第12章用访问控制列表管理数据流.ppt

* ACL可以使用的判别标准包括： 源IP地址 目的IP地址 协议类型----协议类型包括Ip 、Udp、Tcp、Icmp 传输层的源端口号 传输层的目的端口号 ACL只能根据以上所述的IP数据包及TCP或UDP数据段中的信息来对数据流进行判断，即根据第3层及第4层的头部信息进行判断，而不能根据应用层的内容进行判断。 * ACL可以使用的判别标准包括： 源IP地址 目的IP地址 协议类型----协议类型包括Ip 、Udp、Tcp、Icmp 传输层的源端口号 传输层的目的端口号 ACL只能根据以上所述的IP数据包及TCP或UDP数据段中的信息来对数据流进行判断，即根据第3层及第4层的头部信息进行判断，而不能根据应用层的内容进行判断。 * ACL可以使用的判别标准包括： 源IP地址 目的IP地址 协议类型----协议类型包括Ip 、Udp、Tcp、Icmp 传输层的源端口号 传输层的目的端口号 ACL只能根据以上所述的IP数据包及TCP或UDP数据段中的信息来对数据流进行判断，即根据第3层及第4层的头部信息进行判断，而不能根据应用层的内容进行判断。 * * * 如果想指定匹配所有地址可使用IP地址与通配符为 55，其中IP地址代表所有网络地址，而通配符55代表不管数据包中的IP地址是什么都满足匹配条件。所以 55 意为接受所有地址并且可简写为 any * 对于特定子网网段范围的匹配，其计算方式与子网划分与子网掩码的计算类似但“0”与“1”的含义相反 * ACL的规则 按照由上到下的顺序执行，找到第一个匹配后既执行相应的操作，然后跳出ACL而不会继续匹配下面的语句。所以ACL中语句的顺序很关键，如果顺序错误则有可能效果与预期完全相反。。 末尾隐含为deny全部，意味着ACL中必须有明确的允许数据包通过的语句，否则将没有数据包能够通过。 ACL可应用于IP接口或某种服务，ACL是一个通用的数据流分类与判别的工具，可以被应用到不同的场合，常见的应用为将ACL应用在接口上或应用到服务上。 在引用ACL之前，要首先创建好ACL，否则可能出现错误。 对于一个协议，一个接口的一个方向上同一时间内只能设置一个ACL，并且ACL配置在接口上的方向很重要，如果配置错误可能不起作用。 * 在全局配置模式下使用语句access-list access-list-number { permit | deny } { test conditions }配置ACL，其中： access-list-number 是ACL编号，如果使用同一个是ACL编号配置不同的语句，这些语句属于同一个ACL { permit | deny }是关键字，必选项 { test conditions }为匹配条件 在接口配置模式下使用语句ip access-group access-list-number {in | out} 将配置好的ACL应用在接口上，其中： access-list-number是ACL编号，用以引用一个已经配置好的ACL {in | out}必选项，指定ACL应用在接口的哪个方向 * * * 要求与配置结果分开出现，动画化，检查配置是否正确！！！ 注意，将ACL 1放在这两个接口的入方向行不行？不行，因为这样的话，和非网段就能够互通了。 * 本例中ACL 12只允许源地址为 网段中的主机的访问。 然后进入line telnet配置模式，使用命令access-class 12 引用ACL 12，将ACL12作用于路由器对外的telnet服务上。 这样只有处于网络 内部的主机可以telnet访问本路由器，其他网络内的主机将不能通过telnet方式访问本路由器。 * * 最后应用在接口fei-1/2的外出方向上。 其作用为拒绝从子网 到子网 通过fei_ 1/2口出去的FTP访问 ，同时允许其他所有流量的访问。 * ACL配置原则 ACL语句的顺序很关键。 ACL按照由上到下的顺序执行，找到一个匹配语句后既执行相应的操作，然后跳出ACL而不会继续匹配下面的语句。所以ACL中语句的顺序很关键，如果顺序错误则有可能效果与预期完全相反。可以进入acl配置模式，进行灵活编辑，支持单条删除和单条增加，也可以 使用文本编辑器在TFTP服务器或使用PC剪切、粘帖来创建ACL。 ACL的执行是按自上到下的处理顺序进行的，如果首先指定一个大的网络范围，拒绝其通过，然后指定这个大范围内的某个更小范围的网段，允许其通过，则允许的条目永远不会起作用，因为数据包会首先匹配上前面的一条语句并直接被丢弃，而不会再匹配后续的语句，所以要首先配置最为具体的匹配条件，如主机的匹配语句，然后是不太具体的条件，如针对网段的语句；最后为最不具体的匹配条件，如针对所有网络