收藏
下载资源

cisco的acl培训教程.ppt

上传人:F****n 文档编号:96111130 上传时间:2019-08-24 格式:PPT 页数:51 大小:566KB
返回 下载 相关 举报
cisco的acl培训教程.ppt_第1页
第1页 / 共51页
cisco的acl培训教程.ppt_第2页
第2页 / 共51页
cisco的acl培训教程.ppt_第3页
第3页 / 共51页
cisco的acl培训教程.ppt_第4页
第4页 / 共51页
cisco的acl培训教程.ppt_第5页
第5页 / 共51页
点击查看更多>>
资源描述

《cisco的acl培训教程.ppt》由会员分享,可在线阅读,更多相关《cisco的acl培训教程.ppt(51页珍藏版)》请在金锄头文库上搜索。

1、 2002, Cisco Systems, Inc. All rights reserved.,第7章 访问控制列表ACL,ACL概述 ACL的工作过程 ACL分类 ACL配置 翻转掩码 标准ACL的配置 扩展ACL的配置 命名(Named)ACL的配置 使用ACL控制虚拟终端(VTY)的访问,本章要求,1、了解ACL的概念、用途、工作过程和分类 2、掌握翻转掩码的概念 3、理解和掌握标准ACL、扩展ACL、命名ACL的配置过程 4、理解和掌握使用ACL控制虚拟终端访问的配置过程,访问控制列表(Access Control List,ACL) 应用在路由器接口的指令列表 指定哪些数据报可以接收

2、、哪一些需要拒绝 ACL用途 (1)限制网络流量、提高网络性能; (2)提供对通信流量的控制手段; (3)提供网络访问的基本安全手段; (4)在路由器(交换机)接口处,决定哪种类型的通信流量被转发、哪种被阻塞。,ACL概述,ACL的工作过程,ACL的操作过程 入站访问控制操作过程 出站访问控制操作过程 ACL的逻辑测试过程,入站访问控制操作过程,相对网络接口来说,从网络上流入该接口的数据包,为入站数据流。 对入站数据流的过滤控制称为入站访问控制。 如果一个入站数据包被访问控制列表禁止(deny),那么该数据包被直接丢弃(discard)。 只有那些被ACL允许(permit)的入站数据包才进行

3、路由查找与转发处理。 入站访问控制节省了那些不必要的路由查找转发的开销。,出站访问控制操作过程,从网络接口流出的网络数据包,称为出站数据流。 出站访问控制是对出站数据流的过滤控制。 那些被允许的入站数据流需要进行路由转发处理。 在转发之前,交由出站访问控制进行过滤控制操作。,入站接口 数据包,N,Y,数据包丢弃桶,选择 网络接口,N,接口 是否使用 ACL ?,路由表 是否存在 该路由 ?,Y,出站接口,数据包,S0,出站访问控制操作过程(续),N,Y,N,数据包,访问控制列表 逻辑测试,是否允许 ?,Y,Y,S0,E0,出站访问控制操作过程(续),入站接口 数据包,路由表 是否存在 该路由

4、?,选择 网络接口,接口 是否使用 ACL ?,数据包丢弃桶,数据包,出站接口,通知发送者,如果逻辑测试没有任何匹配,则丢弃数据包,N,Y,N,Y,Y,丢弃数据包,N,数据包,S0,E0,出站访问控制操作过程(续),入站接口 数据包,路由表 是否存在 该路由 ?,选择 网络接口,接口 是否使用 ACL ?,数据包丢弃桶,数据包,出站接口,访问控制列表 逻辑测试,是否允许 ?,ACL的逻辑测试过程,数据报文,报文丢弃桶,Y,目的接口,Deny,Deny,Y,匹配 第一条 规则 ?,Permit,Y,Deny,Deny,Y,Permit,N,Deny,Permit,匹配 下一条 规则 ?,Y,Y,

5、ACL的逻辑测试过程,数据报文,目的接口,报文丢弃桶,匹配 第一条 规则 ?,Y,Deny,Deny,Y,Permit,N,Deny,Permit,Deny,匹配 最后一条 规则 ?,Y,Y,N,Y,Y,Permit,ACL的逻辑测试过程,数据报文,目的接口,报文丢弃桶,匹配 下一条 规则 ?,匹配 第一条 规则 ?,Y,Deny,Y,Permit,N,Deny,Permit,Deny,Y,Y,N,Y,Y,Permit,强制丢弃,若无任何匹配 则丢弃,Deny,N,ACL的逻辑测试过程,数据报文,目的接口,报文丢弃桶,匹配 第一条 规则 ?,匹配 下一条 规则 ?,匹配 最后一条 规则 ?,范

6、围/标识,IP,1-99 100-199, 1300-1999, 2000-2699 Name (Cisco IOS 11.2 and later),800-899 900-999 1000-1099 Name (Cisco IOS 11.2. F and later),Standard Extended SAP filters Named,Standard Extended Named,ACL类型,IPX,ACL分类,标准IP ACL(1到99)根据IP报文的源地址测试 扩展IP ACL(100到199)可以测试IP报文的源、目的地址、协议、端口号,源地址,段Segment (例如, TCP

7、首部),数据Data,报文Packet (IP首部),帧Frame 首部 (例如,HDLC),Deny,Permit,使用 ACL规则语句 1-99,标准ACL,目的地址,源地址,协议(例如TCP),端口号,使用 ACL规则语句 100-199,Deny,Permit,扩展ACL,帧Frame 首部 (例如,HDLC),报文Packet (IP首部),段Segment (例如, TCP首部),数据Data,第一步:创建ACL,Router(config)#,第二步:将ACL绑定到指定接口, protocol access-group access-list-number in | out,Ro

8、uter(config-if)#,ACL配置,access-list access-list-number permit | deny test conditions ,0代表检查对应地址位的值 1代表忽略对应地址位的值,do not check address (ignore bits in octet),=,0,0,0,0,0,0,0,0,ignore last 6 address bits,check all address bits (match all),ignore last 4 address bits,check last 2 address bits,示例,翻转掩码,例如:1

9、72.30.16.29 0.0.0.0 表示检查所有的地址位 可以使用关键字host将上语句简写为:host 172.30.16.29,测试条件:检查所有的地址位(match all),172.30.16.29,0.0.0.0,一个IP host关键字的示例如下:,反转掩码:,host关键字,接受任何地址: 0.0.0.0 255.255.255.255 可以使用关键字any将上语句简写为:any,测试条件:忽略所有的地址位(match any),0.0.0.0,255.255.255.255,任何IP地址,反转掩码:,any关键字,Check for IP subnets 172.30.16

10、.0/24 to 172.30.31.0/24,Network .host 172.30.16.0,Wildcard mask: 0 0 0 0 1 1 1 1 | 0 0 0 1 0 0 0 0 = 16 0 0 0 1 0 0 0 1 = 17 0 0 0 1 0 0 1 0 = 18 : : 0 0 0 1 1 1 1 1 = 31,Address and wildcard mask: 172.30.16.0 0.0.15.255,通配符掩码和IP子网的 对应,标准ACL的配置,access-list access-list-number permit|deny source mask,

11、Router(config)#,为访问控制列表增加一条测试语句 标准IP ACL的参数access-list-number 取值范围从1到99 缺省反转掩码 = 0.0.0.0 “no access-list access-list-number” 命令删除指定号码的ACL,access-list access-list-number permit|deny source mask,Router(config)#,在特定接口上启用ACL 设置测试为入站(in)控制还是出站(out)控制 缺省为出站(out)控制 “no ip access-group access-list-number” 命

12、令在特定接口禁用ACL,Router(config-if)#,ip access-group access-list-number in | out ,为访问控制列表增加一条测试语句 标准IP ACL的参数access-list-number 取值范围从1到99 缺省反转掩码 = 0.0.0.0 “no access-list access-list-number” 命令删除指定号码的ACL,标准ACL的配置,172.16.3.0,172.16.4.0,172.16.4.13,E0,S0,E1,Non- 172.16.0.0,标准ACL例1,access-list 1 permit 172.1

13、6.0.0 0.0.255.255 (implicit deny all - not visible in the list) (access-list 1 deny 0.0.0.0 255.255.255.255),只允许本机所在网络访问,access-list 1 permit 172.16.0.0 0.0.255.255 (implicit deny all - not visible in the list) (access-list 1 deny 0.0.0.0 255.255.255.255) interface ethernet 0 ip access-group 1 out i

14、nterface ethernet 1 ip access-group 1 out,172.16.3.0,172.16.4.0,172.16.4.13,E0,S0,E1,Non- 172.16.0.0,标准ACL例1,拒绝特定主机的访问,172.16.3.0,172.16.4.0,172.16.4.13,E0,S0,E1,Non- 172.16.0.0,access-list 1 deny 172.16.4.13 0.0.0.0,标准ACL例2,172.16.3.0,172.16.4.0,172.16.4.13,E0,S0,E1,Non- 172.16.0.0,access-list 1 de

15、ny 172.16.4.13 0.0.0.0 access-list 1 permit 0.0.0.0 255.255.255.255 (implicit deny all) (access-list 1 deny 0.0.0.0 255.255.255.255),拒绝特定主机的访问,标准ACL例2,access-list 1 deny 172.16.4.13 0.0.0.0 access-list 1 permit 0.0.0.0 255.255.255.255 (implicit deny all) (access-list 1 deny 0.0.0.0 255.255.255.255) interface ethernet 0 ip access-group 1 out,172.16.3.0,172.16.4.0,172.16.4.13,E0,S0,E1,Non- 172.16.0.0,标准ACL例2,拒绝特定主机的访问,拒绝

展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 办公文档 > PPT模板库 > PPT素材/模板

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号