CCNA考点精析——访问控制列表.pdfVIP

CCNA考点精析——访问控制列表 ACL 是一组推断语句的集合，它主要用于对如下数据进展掌握： 1、入站数据； 2、出站数据； 3、被路由器中继的数据 工作过程 1、无论在路由器上有无 ACL，接到数据包的处理方法都是一样的： 当数据进入某个入站口时，路由器首先对其进展检查，看其是否可路由， 假如不行路由那么就丢弃，反之通过查路由选择表发觉该路由的具体信息 ——包括 AD，METRIC……及对应的出接口； 2、这时，我们假定该数据是可路由的，并且已经顺当完成了第一步， 找出了要将其送出站的接口，此时路由器检查该出站口有没有被编入ACL， 假如没有 ACL 的话，则直接从该口送出。假如该接口编入了ACL，那么就 比拟麻烦。第一种状况——路由器将根据从上到下的挨次依次把该数据和 ACL 进展匹配，从上往下，逐条执行，当发觉其中某条ACL 匹配，则依据 该 ACL 指定的操作对数据进展相应处理（允许或拒绝），并停顿连续查询 匹配；当查到ACL 的最末尾，依旧未找到匹配，则调用 ACL 最末尾的一条 隐含语句 deny any 来将该数据包丢弃。 对于 ACL，从工作原理上来看，可以分成两种类型： 1、入站ACL 2、出站ACL 上面的工作过程的解释是针对出站ACL 的。它是在数据包进入路由器， 并进展了路由选择找到了出接口后进展的匹配操作；而入站ACL 是指当数 据刚进入路由器接口时进展的匹配操作，削减了查表过程 并不能说入站表省略了路由过程就认为它较之出站表更好，依照实际 状况而定： 如下图，采纳根本的ACL——针对源的访问掌握 要求如下： 1、拒绝 1.1.1.2 访问 3.1.1.2 但允许访问 5.1.1.2 2、拒绝3.1.1.2 访问 1.1.1.2 但允许访问 5.1.1.2 采纳根本的 ACL 来对其进展掌握 R1(config)#access-list 1 deny 1.1.1.2 0.0.0.255 R1(config)#access-list 1 permit any R1(config)#int e0 R1(config-if)#access-group 1 in R2(config)#access-list 1 deny 3.1.1.2 0.0.0.255 R2(config)#access-list 1 permit any R2(config)#int e0 R2(config-if)#access-group 1 in 从命令上来看，配置好像可以满意条件。 假定从 1.1.1.2 有数据包要发往 3.1.1.2，进入路由器接口 E0 后，这 里采纳的是入站表，则不需查找路由表，直接匹配 ACL ，发觉有语句 access-list 1 deny 1.1.1.2 0.0.0.255 拒绝该数据包，丢弃；假定从 3.1.1.2 有数据包要发往 1.1.1.2，同上。 当 1.1.1.2 要和 5.1.1.2 通信，数据包同样会被拒绝掉 当3.1.1.2 要和 5.1.1.2 通信，数据包也会被拒绝掉 该 ACL 只能针对源进展掌握，所以无论目的是何处，只要满意源的匹 配，则执行操作。 如何解决此问题？ 1、把源放到离目标最近的地方，使用出站掌握； 2、使ACL 可以针对目的地址进展掌握。 第一项很好理解，由于标准的ACL 只能针对源进展掌握，假如把它放 在离源最近的地方，那么就会造成不必要的数据包丧失的状况，一般将标 准 ACL 放在离目标最近的位置！ 其次种方法，要针对目标地址进展掌握。由于标准ACL 只针对源，所 以，这里不能采纳标准ACL，而要采纳扩展ACL.但是它也有它的劣势，对 数据的查找工程多，虽然掌握很准确，但是速度却相对慢些。 简洁比拟以下标准和扩展ACL 标准 ACL 仅仅只针对源进展掌握 扩展 ACL 可以针对某种协议、源、目标、端口号来进展掌握 从命令行就可看出 标准： Router （config）#access-list list-number 扩展： Router （config ）#access-list list-number protoc