收藏
下载资源

网络互联技术第2版)梁广民数字资源5.2.5 复杂acl

上传人:w****i 文档编号:100817809 上传时间:2019-09-25 格式:PPT 页数:12 大小:909KB
返回 下载 相关 举报
网络互联技术第2版)梁广民数字资源5.2.5 复杂acl_第1页
第1页 / 共12页
网络互联技术第2版)梁广民数字资源5.2.5 复杂acl_第2页
第2页 / 共12页
网络互联技术第2版)梁广民数字资源5.2.5 复杂acl_第3页
第3页 / 共12页
网络互联技术第2版)梁广民数字资源5.2.5 复杂acl_第4页
第4页 / 共12页
网络互联技术第2版)梁广民数字资源5.2.5 复杂acl_第5页
第5页 / 共12页
点击查看更多>>
资源描述

《网络互联技术第2版)梁广民数字资源5.2.5 复杂acl》由会员分享,可在线阅读,更多相关《网络互联技术第2版)梁广民数字资源5.2.5 复杂acl(12页珍藏版)》请在金锄头文库上搜索。

1、5.2.5 复杂ACL,深圳职业技术学院 梁广民(CCIE#14496),网络互联技术,国家精品课程 国家精品资源共享课程 教育部网络技术专业教学资源库课程 “十二五”职业教育国家规划教材,什么是复杂 ACL?,在标准 ACL 和扩展 ACL 的基础上构建复杂 ACL,从而实现更多功能。,动态 ACL,什么是动态 ACL? “锁和钥匙”是使用动态 ACL(有时也称为锁和钥匙 ACL)的一种流量过滤安全功能 动态 ACL 依赖于 Telnet 连接、身份验证和扩展 ACL。 动态 ACL 的优点? 使用询问机制对每个用户进行身份验证 简化大型网际网络的管理 在许多情况下,可以减少与 ACL 有关

2、的路由器处理工作 降低黑客闯入网络的机会 通过防火墙动态创建用户访问,而不会影响其它所配置的安全限制,配置动态ACL,(1)建立本地验证数据库 Router(config)#username username password password (2)配置动态ACL 下面是一个动态ACL的例子: Router(config)#access-list 120 dynamic CCNA timeout 60 permit ip 172.16.1.0 0.0.0.255 host 172.16.23.3 其中,dynamic参数定义动态了ACL,名字为CCNA,timeout定义动态ACL绝对的超时

3、时间。 Router(config)#line vty 0 4 Router(config-line)#login local /VTY 使用本地验证 Router(config-line)#autocommand access-enable host timeout 10,动态ACL,自反 ACL,什么是自反ACLs? 此类 ACL 使路由器能动态管理会话流量. 路由器检查出站流量,当发现新的连接时,便会在临时 ACL 中添加条目以允许应答流量进入. 自反 ACL 仅包含临时条目. 自反 ACL 还可用于不含 ACK 或 RST 位的 UDP 和 ICMP. 自反 ACL 仅可在扩展命名 I

4、P ACL 中定义. 自反 ACL 具有以下优点: 帮助保护您的网络免遭网络黑客攻击,并可内嵌在防火墙防护中。 提供一定级别的安全性,防御欺骗攻击和某些 DoS 攻击。自反 ACL 方式较难以欺骗,因为允许通过的数据包需要满足更多的过滤条件。 此类 ACL 使用简单。与基本 ACL 相比,它可对进入网络的数据包实施更强的控制.,配置自反ACL,(1)配置临时性访问条目的生存期 Router(config)#ip reflexive-list timeout 600 /缺省为300秒 (2)创建自反ACL表项 Router(config)#ip access-list extended ACLO

5、UT Router(config-ext-nacl)#permit tcp any any reflect REF Router(config-ext-nacl)#permit udp any any reflect REF Router(config-ext-nacl)#permit icmp any any reflect REF (3)评估反射列表 Router(config)#ip access-list extended ACLIN Router(config-ext-nacl)#evaluate REF (4)接口下应用自反ACL Router(config)#interface

6、Serial0/0/1 Router(config-if)#ip access-group ACLOUT out Router(config-if)#ip access-group ACLIN in,自反ACL,基于时间的 ACL,什么是基于时间的 ACL? 基于时间的 ACL 功能类似于扩展 ACL,但它允许根据时间执行访问控制. 基于时间的 ACL 具有许多优点,例如: 在允许或拒绝资源访问方面为网络管理员提供了更多的控制权. 允许网络管理员控制日志消息。,配置基于时间的ACL,(1)定义时间范围 Router(config)#time-range name Router(config-t

7、ime-range)#? Time range configuration commands: absolute absolute time and date periodic periodic time and date (2)ACL中引入time-range参数 下面是一个基于时间ACL的例子: Router(config)#access-list 100 permit tcp host 172.16.1.100 host 172.16.3.3 eq telnet time-range CCNA log,基于时间的 ACL,1.定义实施 ACL 的时间范围,并为其指定名称 2.对该 ACL 应用此时间范围. 3.对该接口应用 ACL.,谢谢!,

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 高等教育 > 大学课件

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号