- 1、本文档共27页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
访问控制列表ACL 访问控制列表的概念 访问控制列表(Access Control List,ACL) 是路由器和交换机接口的指令列表,用来控制端口进出的数据包。 访问控制列表的作用 ACL可以限制网络流量、提高网络性能。例如,ACL可以根据数据包的协议,指定数据包的优先级。 ACL提供对通信流量的控制手段。例如,ACL可以限定或简化路由更新信息的长度,从而限制通过路由器某一网段的通信流量。 ACL是提供网络安全访问的基本手段。ACL允许主机A访问人力资源网络,而拒绝主机B访问。 ACL可以在路由器端口处决定哪种类型的通信流量被转发或被阻塞。例如,用户可以允许E-mail通信流量被路由,拒绝所有的Telnet通信流量。 ACL的执行过程 访问控制列表中的规则: 允许 拒绝 一个端口执行哪条ACL,这需要按照列表中的条件语句执行顺序来判断。如果一个数据包的报头跟表中某个条件判断语句相匹配,那么后面的语句就将被忽略,不再进行检查。 数据包只有在跟第一个判断条件不匹配时,它才被交给ACL中的下一个条件判断语句进行比较。如果匹配(假设为允许发送),则不管是第一条还是最后一条语句,数据都会立即发送到目的接口。如果所有的ACL判断语句都检测完毕,仍没有匹配的语句出口,则该数据包将视为被拒绝而被丢弃。这里要注意,ACL不能对本路由器产生的数据包进行控制。 ACL分类 标准访问控制列表 扩展访问控制列表 标准访问控制列表的配置 准备工作 构建网络,配置各计算机的IP地址及默认网关; R1 Router(config)#int f0/0 Router(config-if)#ip add 10.0.0.1 255.255.255.0 Router(config-if)#no sh Router(config)#int s0/2/0 Router(config-if)#ip add 12.0.0.1 255.255.255.0 Router(config-if)#no sh R2 Router(config)#int s0/2/0 Router(config-if)#clock rate 64000 Router(config-if)#ip add 12.0.0.2 255.255.255.0 Router(config-if)#no sh Router(config)#ip route 10.0.0.0 255.255.255.0 s0/2/0 标准访问控制列表的配置 访问控制列表的定义 Router(config)#access-list 1 deny 10.0.0.11 0.0.0.0 Router(config)#access-list 1 deny 10.0.0.12 0.0.0.0 Router(config)#access-list 1 permit 10.0.0.131 0.0.0.0 Router(config)#access-list 1 permit 10.0.0.132 0.0.0.0 访问控制列表的使用 Router(config)#int S0/2/0 Router(config-if)#ip access-group 1 out 验证实验 PC1:Ping 12.0.0.2 (不通) PC2:Ping 12.0.0.2 (不通) PC3:Ping 12.0.0.2 (通) PC4:Ping 12.0.0.2 (通) 改进 访问控制列表的定义 Router(config)#access-list 1 deny 10.0.0.0 0.0.0.127 Router(config)#access-list 1 permit 10.0.0.128 0.0.0.127 Router(config)#int S0/2/0 Router(config-if)#ip access-group 1 out 说明: 对于访问控制列表中末声明的IP,采取默认策略(deny any),即不转发数据.如果希望末声明的IP可以访问外网,则可在访问控制列表末加入这样一条语句: Router(config)#access-list 1 permit any 访问控制列表的执行顺序是由下到下依次执行. 扩展访问控制列表 标准的访问控制列表的局限性 标准ACL只能定义哪些主机能访问外网,哪些主机不能访问外网. 扩展的访问控制列表的作用 除了能够定义哪些主机能访问外网,哪些主机不能访问外网外,还能够定义哪些主机能够访问哪些网页,不能访问哪些网页;哪些主机能够访问哪能些主机的哪些端口,不能访问哪些端口. 扩展访问控制列表的配置 准备工作 构建网络,配置各计算机的IP地址及默认网关;
您可能关注的文档
- 大钢模技术交底.doc
- 天津大学电子科学与技术专业卓越工程师培养方案.pdf
- 天津经济技术开发区能源收费标准(二一年) - TEDA.pdf
- 太阳能电池测试技术及设备.pdf
- 奶牛四季养殖技术.doc
- 奶牛的繁育技术.doc
- 如何做好一名中学信息技术教师.doc
- 如何在语文教学中有效地运用现代教育技术.doc
- 如何编制发改委立项用(甲级)核科学技术电子通信试验项.pdf
- 如何设计人口信息多媒体模块项目可行性研究报告(技术工.docx
- 四川省德阳市罗江中学2025届高三考前热身化学试卷含解析.doc
- 山东省枣庄现代实验学校2025届高三下学期第五次调研考试化学试题含解析.doc
- 吉林省长春市十一高中等九校教育联盟2025届高三一诊考试生物试卷含解析.doc
- 2025届江苏省盐城市伍佑中学高考仿真模拟化学试卷含解析.doc
- 2025届广西贺州中学高考冲刺押题(最后一卷)生物试卷含解析.doc
- 安徽省池州市贵池区2025届高三第一次模拟考试生物试卷含解析.doc
- 宁夏银川一中2025届高三(最后冲刺)化学试卷含解析.doc
- 广东省广州市增城区四校联考2025届高考压轴卷化学试卷含解析.doc
- 2025届邯郸市第一中学高考生物必刷试卷含解析.doc
- 2025届安徽省安庆市石化第一中学高考仿真卷化学试卷含解析.doc
文档评论(0)