- 1、本文档共23页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
主要内容 使用标准访问控制列表和扩展访问控制列表控制网络流量的方法 标准访问控制列表和扩展访问控制列表以及在路由接口应用ACL的实例。 访问控制列表概述 概念 访问控制列表简称 ACL( Access Control Lists),它使用包过滤技术,在路由器上读取第3层或第4层包头中的信息,如源地址、目的地址、源端口、目的端口以及上层协议等,根据预先定义的规则决定哪些数据包可以接收、哪些数据包需要拒绝,从而达到访问控制的目的。配置路由器的访问控制列表是网络管理员一件经常性的工作。 ACL的工作原理 工作原理 当一个数据包进入路由器的某一个接口时,路由器首先检查该数据包是否可路由或可桥接。然后路由器检查是否在入站接口上应用了ACL。 如果有ACL,就将该数据包与ACL中的条件语句相比较。 如果数据包被允许通过,就继续检查路由器选择表条目以决定转发到的目的接口。 ACL不过滤由路由器本身发出的数据包,只过滤经过路由器的数据包。 下一步,路由器检查目的接口是否应用了ACL。如果没有应用,数据包就被直接送到目的接口输出。 ACL的工作原理 配置标准访问控制列表 最广泛使用的访问控制列表是IP访问控制列表 IP访问控制列表工作于TCP/IP协议组。 按照访问控制列表检查IP数据包参数的不同,可以将其分成 标准ACL 扩展ACL 标准ACL的工作过程 配置标准ACL 在路由器上RTB上配置: RTB(config)# access-list 1 permit host 0 RTB(config)# access-list 1 deny 55 RTB(config)# access-list 1 permit any RTB(config)# interface s0/0 RTB(config-if)# ip access-group 1 in 配置标准ACL 配置标准ACL 在通配符掩码中有两种比较特殊,分别是any和host。any可以表示任何IP地址 Router( config ) # access-list 10 permit 55 等同于: Router ( config ) # access-list 10 permit any host表示一台主机,例如: Router ( config ) # access-list 10 permit 172. 16. 30.22 等同于: Router ( config ) # access-list 10 permit host 172. 16. 30.22 另外,可以通过在access-list命令前加no的形式,来删除一个已经建立的标准ACL,使用语法格式如下: Router ( config ) # no access-list access-list-number 例如: Router ( config ) # no access-list 10 扩展访问控制列表 配置扩展ACL 配置扩展ACL Router(config)# access-list access-list-number {deny | permit} protocol source [source-wildcard destination destination-wildcard] [operator operand] [established] 标准ACL应用实例 如图所示,某企业销售部、市场部的网络和财务部的网络通过路由器RTA和RTB相连,整个网络配置RIPv2路由协议,保证网络正常通信。要求在RTB上配置标准ACL,允许销售部的主机PC1访问路由器RTB,但拒绝销售部的其他主机访问RTB,允许销售部、市场部网络上所有其他流量访问RTB。 标准ACL应用实例 配置标准ACL 在路由器上RTB上配置如下: RTB(config)# access-list 1 permit host 0 RTB(config)# access-list 1 deny 55 RTB(config)# access-list 1 permit any RTB(config)# interface s0/0/0 RTB(config-if)# ip access-group 1 in 标准ACL应用实例 验证标准ACL 配置完IP访问控制列表后,如果想知道是否正确,可以使用 show access-lists、show ip interface 等命令进行验证。 验证标准ACL ①show access-lists命令 该命令用来查看所有访问
文档评论(0)