Cisco_CCNA_ACL(访问控制列表)
虽然我现在的工作和我的兴趣(路由交换)没有什么联系,但是一有时间我总是会看些和路由交换相关的资料或者视频,下面就是我在视频上看到的Cisco CCNA教程里有关于ACL(访问控制列表)的理论知识整理下来和大家分享下,希望能对初学者有一些帮助同时也希望能够得到高手指点其中的不足之处。
<Access Control Lists>
ACL:访问控制列表
#ACL的作用:在网络中做一些基本的流量控制和分类
#ACL的基本功能:
过滤:对流量进行permit or deny
分类:不进行任何过滤,只对流量进行识别,并且分类一般是和其他的技术和协议结合起来,共同的去完成某个特定的功能。
#路由器处理数据包的流程:
一个路由器,当接收到一个入向的数据包之后,首先先匹配的就是去查看路由表中是否有对应的路由信息,没有就丢弃;如果有就转发到指定的接口。如果接口上没有配置ACL就直接转发出去了,但是如过在接口上配置了ACL的话,还要去匹配ACL的规则,只有匹配了允许的规则了才能从接口转发出去。
#ACL的基本原则:
标准的ACL和扩展ACL
一个路由起的接口上最多配置两个ACL,一个接口的单方向上只能配置一个ACL
顺序匹配,只要匹配上一条就立即执行该条规则的动作
所有的ACL都有一个隐藏的deny everything(拒绝所有)
标准ACL 的离目标近(standard),扩展ACL的里目标近(extended)
在全局模式下配置,并且应用到接口上(in or out)
#标准和扩展的区别:(流量检测的颗粒度不同)
标准的只检查数据包的源地址来过滤,扩展ACL检测的是源和目标地址、协议、和端口号,由于检测的条目不同,所以标准的速度快,而扩展的效率就比较低了。
# 标识方式:基于编号和命名
编号:1~99 1300~1399为标准ACL
100~199 2000~2699为扩展ACL
命名:Name 例:Deny_ftp
限制:一个控制列表是可以添加多个条目,但是在修改的时候,编号的是不能修改其中的任何一个细节条目,只能删除整个ACL;而命名的是可以单独修改其中的任何一个条目(添、删)
#动态ACL:(Dynamic ACLs)
依据telnet和扩展访问控制列表工作,外网想访问内网的流量,只有认证通过了才能让该流量通过路由器。
#反射ACL:(Reflexive ACLS)
外网是不能主动连接内网,但是由内网发起的流量,可以允许返回流量的通过。
#基于时间的ACL:(Time-Based-ACLs)
在特定的时间能够使ACL生效
#反码:
子网掩码:规定IP地址中哪些有多少位是网络部分、多少位是子网部分
反码中1表示无所谓,0表示精确匹配
#标准的ACL配置示例:
Router(config)#access-list 1 permit host 1.1.1.1
Router(config)#int f0/0
Router(config-if)#ip access-group 1 in
Router#show access-lists-----查看
(在目标地址路由器的对应接口上配置ACL)
#扩展访问ACL配置示例:
Router(config)#access-list 100 deny tcp host 192.168.1.1 host 172.16.1.1 eq 23
Router(config)#access-list 100 permit icmp host 192.168.1.1 host 172.16.1.1
Router(config)#int f0/0
Router(config-if)#ip access-group 100 in
(在离源目标最近的一个路由器的接口上配置ACL)
#命名ACL配置示例:
Router(config)#ip access-list extended deny_telnet(Name)
Router(config-ext-nacl)#deny icmp host 172.16.1.1 host 192.168.1.2
Router(config-ext-nacl)#deny tcp host 172.16.1.1 host 192.168.1.2 eq 23
Router(config)#int f0/0
Router(config-if)#ip access-group deny_telnet in
(很直观的看到ACL的作用,可以单独的删除其中的一条)
show ip int 接口====== 查看接口的状态
本文出自 “夜メ筱柒” 博客
<Access Control Lists>
ACL:访问控制列表
#ACL的作用:在网络中做一些基本的流量控制和分类
#ACL的基本功能:
过滤:对流量进行permit or deny
分类:不进行任何过滤,只对流量进行识别,并且分类一般是和其他的技术和协议结合起来,共同的去完成某个特定的功能。
#路由器处理数据包的流程:
一个路由器,当接收到一个入向的数据包之后,首先先匹配的就是去查看路由表中是否有对应的路由信息,没有就丢弃;如果有就转发到指定的接口。如果接口上没有配置ACL就直接转发出去了,但是如过在接口上配置了ACL的话,还要去匹配ACL的规则,只有匹配了允许的规则了才能从接口转发出去。
#ACL的基本原则:
标准的ACL和扩展ACL
一个路由起的接口上最多配置两个ACL,一个接口的单方向上只能配置一个ACL
顺序匹配,只要匹配上一条就立即执行该条规则的动作
所有的ACL都有一个隐藏的deny everything(拒绝所有)
标准ACL 的离目标近(standard),扩展ACL的里目标近(extended)
在全局模式下配置,并且应用到接口上(in or out)
#标准和扩展的区别:(流量检测的颗粒度不同)
标准的只检查数据包的源地址来过滤,扩展ACL检测的是源和目标地址、协议、和端口号,由于检测的条目不同,所以标准的速度快,而扩展的效率就比较低了。
# 标识方式:基于编号和命名
编号:1~99 1300~1399为标准ACL
100~199 2000~2699为扩展ACL
命名:Name 例:Deny_ftp
限制:一个控制列表是可以添加多个条目,但是在修改的时候,编号的是不能修改其中的任何一个细节条目,只能删除整个ACL;而命名的是可以单独修改其中的任何一个条目(添、删)
#动态ACL:(Dynamic ACLs)
依据telnet和扩展访问控制列表工作,外网想访问内网的流量,只有认证通过了才能让该流量通过路由器。
#反射ACL:(Reflexive ACLS)
外网是不能主动连接内网,但是由内网发起的流量,可以允许返回流量的通过。
#基于时间的ACL:(Time-Based-ACLs)
在特定的时间能够使ACL生效
#反码:
子网掩码:规定IP地址中哪些有多少位是网络部分、多少位是子网部分
反码中1表示无所谓,0表示精确匹配
#标准的ACL配置示例:
Router(config)#access-list 1 permit host 1.1.1.1
Router(config)#int f0/0
Router(config-if)#ip access-group 1 in
Router#show access-lists-----查看
(在目标地址路由器的对应接口上配置ACL)
#扩展访问ACL配置示例:
Router(config)#access-list 100 deny tcp host 192.168.1.1 host 172.16.1.1 eq 23
Router(config)#access-list 100 permit icmp host 192.168.1.1 host 172.16.1.1
Router(config)#int f0/0
Router(config-if)#ip access-group 100 in
(在离源目标最近的一个路由器的接口上配置ACL)
#命名ACL配置示例:
Router(config)#ip access-list extended deny_telnet(Name)
Router(config-ext-nacl)#deny icmp host 172.16.1.1 host 192.168.1.2
Router(config-ext-nacl)#deny tcp host 172.16.1.1 host 192.168.1.2 eq 23
Router(config)#int f0/0
Router(config-if)#ip access-group deny_telnet in
(很直观的看到ACL的作用,可以单独的删除其中的一条)
show ip int 接口====== 查看接口的状态
本文出自 “夜メ筱柒” 博客
- 上一篇:赶集网总裁离婚案涉及股权 被指向法院递假证据
- 下一篇:CCNA实际应用综合实验
相关文章
图文推荐
- 文章
- 推荐
- 热门新闻