《网络设备配置与管理 教学课件 ppt 作者 甘刚 第07章 访问控制列表》由会员分享,可在线阅读,更多相关《网络设备配置与管理 教学课件 ppt 作者 甘刚 第07章 访问控制列表(10页珍藏版)》请在金锄头文库上搜索。
1、ACL是应用到路由器接口的指令列表,这些指令列表用来告诉路由器哪些数据包可以接收,哪些数据包需要拒绝。至于数据包是被接收还是被拒绝,可以由类似于源地址,目的地址,端口号等的特定指示条件来决定。 ACL的定义是基于每一种协议的。换言之,如果想控制某种协议的通信数据流,那么必须要对该接口处的这种协议定义单独的ACL。,ACL类型,阻止来自某一网络的所有通信流量时,或允许来自某一特定网络的所有通信流量时,或想要拒绝某一协议簇的所有通信流量时阻止来自某一网络的所有通信流量时,或允许来自某一特定网络的所有通信流量时,或想要拒绝某一协议簇的所有通信流量时。,使用情况,配置标准号码式IP 访问控制列表: C
2、UIT(config)# access-list access-list-number deny | permit source source-wildcard log 把访问控制列表在接口下应用: CUIT (config)# interface fastEthernet 1 CUIT (config-if)#ip access-group 1 out,操作步骤,使用标准的IP访问列表控制访问VTY线路。因为访问列表应用到VTY线路上时,不需要指定Telnet协议,既然访问VTY就隐含了终端访问的意思。也不需要指定目的地址,既然不关心用户使用哪一个接口作为远程登录会话的目标接口。只需控制用户
3、从哪里来它们的源IP地址。,允许主机172.16.10.3远程登录到该路由器的例子: CUIT (config)#access-list 10 permit172.16.10.3 CUIT (config)#line vty 0 4 CUIT (config-line)#access-class 10 in,扩展ACL既检查数据包的源地址,也检查数据包的目的地址。此外,还可以检查数据包的特定协议类型,端口号等。这种扩展后的特性给了网络管理员更大的灵活性,可以灵活多变地设计ACL的测试条件。数据包是否被允许通过出口,既可以基于它的源地址,也可以基于它的目的地址。,配置标准号码式IP 访问控制列表
4、: CUIT (config)# access-list access-list-number permit | deny protocol source source-wildcard destination destination-wildcard operator operand established,把访问控制列表在接口下应用(同标准访问控制列表配置),给ACL命名: CUIT (config)# ip access-list standard | extended name 在ACL配置模式下,通过指定一个或多个允许及拒绝条件,来决定一个数据包是允许通过还是遭到丢弃: CUIT (config- ext- nacl)# permit source source-wildcard | any 或 CUIT (config- ext- nacl)# deny source source-wildcard | any,CUIT (config)#int fastEthernet 0 CUIT (config-if)#ip access-group denystudentwww in,本章小结,Thank you!,
