计算机四级网络-第7章PPT课件.ppt

访问控制列表的执行过程 访问控制列表是一个连续的列表，该控制列表在建立并配置好后，接着其应用于一个接口，一个VTY line或被其他命令引用后，列表开始生效。 一个端口执行哪条访问控制列表，这需要按照列表中的条件语句执行顺序来判断。一般是从第一条开始顺序执行的，如果一个数据包的报头与表中的某个条件判断语句相匹配，那么后面的语句就将被忽略，不再进行检查，反之，才交给下一条语句进行比较。 考点14 ACL基础知识 7.6 访问控制列表ACL技术及配置 IN OUT 入站 出站 ACL 要么配置用于入站流量，要么用于出站流量。 ACL的逻辑测试过程 Y Deny Y Permit N Deny Permit Deny Y Y N Y Y Permit 强制丢弃 若无任何匹配 则丢弃 Deny N 数据报文 报文丢弃桶 匹配 第一条 规则 ? 匹配 下一条 规则? 匹配 最后一条 规则? 目的接口 ACL工作原理 ACL 及路由器上的路由和 ACL 过程 入站 出站 注意：ACL------隐含的“拒绝所有流量” Cisco ACLs的类型 有两类 Cisco ACLs, 标准的和扩展的. 标准 ACLs:标准 ACL 根据源 IP 地址允许或拒绝流量. 扩展 ACLs:扩展 ACL 根据多种属性允许或拒绝流量. 源地址 段Segment （例如， TCP首部） 数据Data 报文Packet （IP首部） 帧Frame 首部 （例如，HDLC） Deny Permit 使用 ACL规则语句 目的地址 源地址 协议（例如TCP） 端口号 使用 ACL规则语句 Deny Permit 帧Frame 首部 （例如，HDLC） 报文Packet （IP首部） 段Segment （例如， TCP首部） 数据Data 访问控制列表的分类 （1）标准访问控制列表 标准 ACL 根据源 IP 地址允许或拒绝流量。数据包中包含的目的地址和端口无关紧要。 考点14 ACL基础知识 7.6 访问控制列表ACL技术及配置 （2）扩展访问控制列表 扩展 ACL 根据多种属性过滤 IP 数据包，并可依据协议类型信息（可选）进行更为精确的控制。 访问控制列表的重要参数 1．表号和名字 表号是用来标识或是引用某个访问控制列表。访问控制列名的名字用字符串来表示。 考点14 ACL基础知识 7.6 访问控制列表ACL技术及配置 访问控制列表的重要参数 考点14 ACL基础知识 7.6 访问控制列表ACL技术及配置 通配符掩码使用以下规则匹配二进制 1 和 0: 通配符掩码位 0 — 匹配地址中对应位的值 通配符掩码位 1 — 忽略地址中对应位的值 2．通配符掩码 5.2.3 ACL通配符掩码 子网掩码 55 子网掩码 每位都匹配——指明特定的主机 子网掩码 任意地址都可匹配 与 /24 网络中的任意主机匹配 Wildcard 和Subnet Mask的关系： 反掩码 ACL通配符掩码 使用子网掩码和通配符掩码的关系，简化通配符掩码计算过程。 允许 /24 网络中所有用户的访问 允许子网 2 /28 中的 14 位用户访问网络 匹配网络 和 广域网接口配置 配置异步串行(Async)接口 应用于MODEM的连接。用于实现计算机通过公众电话网拨入网络，为用户提供拨号上网。简写a。 配置高速同步串行(Serial)接口 应用于DDN、帧中继、X.25、PSTN及卫星、微波等网络。要求所接网络两端都要求同步。简写s.需要配置接口带宽、接口协议和接口IP地址等。 考点8 路由器分类接口配置 7.3 路由器的接口配置 POS接口 POS(Packet Over SONET/SDH)是利用高速传输通道直接传送IP数据包的技术。支持光纤介质。可用于城域网和广域网。传输速率：155Mbps、622Mbps、2.5Gbps、10Gbps等。帧格式可设置为SDH或SONET. 考点8 路由器分类接口配置 loopback接口 环回(loopback)接口是一种应用最广泛的接口。是一种虚拟接口，不存在与其对应的真实物理接口。需手动创建。 该接口主要用于网络管理。在每台路由器上都配置一个环回接口。在路由器故障时，也永远处于激活状态。管理员可以通过它随时登录到路由器上进行管理。 7.3 路由器的接口配置 配置演示：Packet Tracer :配置和检验R1 历年真题 7.3 路由器的接口配置 如图1所