- 1、本文档共38页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
1
School of Computer and Information Engineering
第十二讲 控制路由更新和路径选择(续)
邵雪梅
计算机与信息工程学院
2
School of Computer and Information Engineering
教学内容
复习回顾控制路由更新的方法及应用
访问控制列表
标准访问控制列表
扩展访问控制列表
配置举例
3
School of Computer and Information Engineering
应用背景
学生宿舍周日至周四晚断网。。。。。
分析:
在某段时间内过滤数据流量
基于整个IP地址的数据
能否基于某个具体的应用?
4
School of Computer and Information Engineering
What are ACLs?
访问控制列表是一系列允许或拒绝数据的指令的集合。
A说,请路由器Lab_a帮助我限制数据:1.阻止来自B、E的数据
2.允许来自C、D的数据
请每个源数据包接受检查:
1.来自B、E的数据丢弃
2.来自C、D的数据允许
Lab_A接口检查
5
School of Computer and Information Engineering
访问控制列表ACL作用、分类
ACL具有灵活的数据流过滤和控制能力。例如,网络管理者可能允许用户访问Internet,而不允许外部的用户登录到局域网中。
ACL可以应用在路由器的接口上,也可以运行在路由协议上,更可以运行在Telnet线路上。
分类:一般用号码区别访问列表类型。
6
School of Computer and Information Engineering
ACL的分类
标准访问列表:只使用数据包的源地址作为测试条件。所有决定是基于源IP地址的。这意味着标准的访问列表基本上允许或拒绝整个协议组。
扩展访问列表:可以测试IP包的第3层和第4层报头中的字段。包括源IP地址、目的IP地址、网络层报头中的协议字段(如,TCP、UDP、ICMP等)以及位于传输层报头中的端口号。扩展访问列表具有在控制流量时做更细粒度决定的能力。
命名访问列表,从技术上来说实际上只有两种,命名的访问列表可以是标准的或扩展的访问列表,并不是一种真正的新类型列表。
7
School of Computer and Information Engineering
标准列表——基于源地址
A说,请路由器Lab_a帮助我限制数据:1.阻止来自B、E的数据
2.允许来自C、D的数据
请每个源数据包接受检查:
1.来自B、E的数据丢弃
2.来自C、D的数据允许
Lab_A接口检查
8
School of Computer and Information Engineering
扩展列表——基于源地址、目的地址、协议、端口
A说,请路由器Lab_a帮助我限制数据:
1.阻止来自B、E的FTP数据,但允许来自B、E的HTTP数据
2.允许来自C、D的FTP数据,阻止来自C、D的Telnet数据
Lab_A接口检查
扩展访问列表具有在控制流量时做更细粒度决定的能力。
9
School of Computer and Information Engineering
ACL的方向——Inbound or Outbound
Inbound 进入路由器接口的方向
Outbound 出路由器的出口方向
输入型访问列表:当访问列表被用于检测从接口输入的包时,包在进入路由器之前要经过访问列表的处理。路由器不能路由任何被拒绝的包,因为在路由之前这些包就会被丢弃掉。
输出型访问列表:当访问列表用于检测从接口输出的包时,数据包已经应首先被路由到该输出接口,然后在进入该接口的输出队列之前经过访问列表的处理。即在被发送出去之前被处理。
10
School of Computer and Information Engineering
ACL的运行过程
从第一行开始,按顺序比较访问列表的每一行,例如,从第一行开始,然后转到第二行、第三行等等。
比较访问列表的各行直到比较到匹配的一行,一旦数据包与访问列表的某一行匹配,遵照规定行事,不再进行后续比较。
在每个访问列表的最后是一行隐含“deny any”(拒绝所有)语句,意味着如果数据包与访问列表中的所有行都不匹配,将被丢弃。
11
School of Computer and Information Engineering
ACL的配置规则
先创建访问列表,然后将列表应用到一个接口。任何应用到一个接口的访问列表如果不是现成的访问列表,那么此列表不会过滤流量。
除非在访问列表未尾有permit any (允许所有),
您可能关注的文档
- 入驻社会组织见面会定41.pptx
- 三岔镇总体规划4总规说明书48.pdf
- workbench结垢基础培训17.9.18第五天3-mpc.pptx
- 7.sw6-2011强度校核设计源文件换热器e.pdf
- 暨大生化课件7.激素及其作用机制.pptx
- 3上教案人教版第五册第四单元.pdf
- 第三章输配电线路的接地保护1.pptx
- 产品设计及目标客户.pptx
- 落地式卸料平台安全专项施工方案类.pdf
- 面试真题讲解5第二次课笔记.pdf
- 2024年长岭县民政府政务服务中心文字综合职位公务员招录1人《行政职业能力测验》模拟试卷(答案详解版).docx
- 2024年十堰市郧阳区城关镇人民政府党政综合岗招录3人《行政职业能力测验》模拟试卷(答案详解版).docx
- 2024年汉阴县司法局漩涡司法所一级科员公务员招录1人《行政职业能力测验》模拟试卷(答案详解版).docx
- 2024年山西省监狱管理局所属基层单位职位招录4人《行政职业能力测验》历年真题(答案详解版).docx
- 2024年驻马店市人民政府办公室四级主任科员招录2人《行政职业能力测验》历年真题(答案详解版).docx
- 2024年耒阳市公安局痕迹检验公务员招录1人《行政职业能力测验》模拟试卷(答案详解版).docx
- 2024年稷山县公安局职位招录2人《行政职业能力测验》历年真题(答案详解版).docx
- 2024年信阳市平桥区纪委监委派驻机构二级主任科员及以下招录1人《行政职业能力测验》历年真题(答案详解版).docx
- 2024年临县人民政府办公室职位招录1人《行政职业能力测验》历年真题(答案详解版).docx
- 2024年舞阳县司法局一级科员招录1人《行政职业能力测验》历年真题(答案详解版).docx
最近下载
- 2500个常用汉字大全(含拼音)谢谢.doc
- 精品解析:2020-2021学年广东省广州市荔湾区部编版六年级下册期末考试语文试卷(解析.doc
- 上海自考专科会展策划与管理专业专业商务策划文案写作03870复习资料.pdf
- 武汉纺织大学2021-2022学年《宏观经济学》期末考试试卷含参考答案.docx VIP
- 2024年化学检验员(高级)技能鉴定备考试题库大全-下(多选、判断题汇总).docx
- TFSQX 002-2021 液压往复式氢气压缩机.docx
- 中央专项彩票公益金支持示范性综合实践基地项目申报书样本.pdf
- TFSQX 003-2021 车用压缩氢气瓶充装安全管理规范.docx
- 西门子V20变频器F72报警代码原因分析及处理办法.docx
- 2024年上海市初三中考物理冲刺复习07 光现象含详解.pdf VIP
文档评论(0)