CCNA学习笔记12---黄毛丫头篇(访问控制列表)
ACL(access control list)
為什么要使用訪問控制列表:
1、管理網絡中逐步增長的IP數據
2、當數據經過路由器時進行過濾
限制網絡流量,提高網絡性能
提供數據流量控制
為網絡訪問提供基本的安全層
決定轉發或者阻止哪些類型的數據流
通配符掩碼位設成0則表示精確匹配。
通配符掩碼位設成1則表示任意匹配。
標準ACL:
1、檢查源地址
2、通常允許、拒絕的是完整的協議
3、可以使用列表號:1-99、1300-1999
4、標準的訪問控制列表只對源地址進行控制
5、列表放置的位置:
???? R1? (fa0/0)?-------------(fa0/0)R2(fa0/1)------(fa0/0)R3?? (由于此處的圖沒辦法貼過來,大家可以看這個標記想象)
從源到目標的方向是:R1的fa0/0-----out---------->在此接口調用將不起作用,原因是訪問控制列表僅對穿越路由器的數據包進行過濾,
????????對本路由器起源的數據包不作過濾。
????? R2的fa0/0-----in------------>結果起作用,但是R1在不能訪問R3的同時也不能訪問R2了
????????? ?fa0/1-----out---------->結果正確
????? R3的fa0/0------in----------->結果正確
? 結論:標準訪問控制列表要盡量應用在靠近目標端
擴展ACL:
1、檢查源地址和目的地址
2、通常允許、拒絕的是某個特定的協議
3、可以使用列表號:100-199、2000-2699
4、擴展訪問列表既可以控制源地址,又可以控制目標地址
5、列表放置的位置:
?R1? (fa0/0)?-------------(fa0/0)R2(fa0/1)------(fa0/0)R3???????????????????????
從源到目標的方向是:R1的fa0/0-----out---------->在此接口調用將不起作用,原因是訪問控制列表僅對穿越路由器的數據包進行過濾,
????????對本路由器起源的數據包不作過濾。
????? R2的fa0/0-----in------------>結果正確,且無其他影響
????????? ?fa0/1-----out---------->結果正確,且無其他影響
????? R3的fa0/0------in----------->結果正確,且無其他影響
結論:擴展訪問控制列表要盡量應用在靠近源端,這樣可以使一些非法的流量被盡早丟棄,節省中間設備的貸款和CPU資源
訪問列表的比較規則:
1、如果一個訪問列表有多行語句,通常按順序從第一條開始比較,然后再往下一條條比較。
2、一個數據包如果與訪問列表的一行匹配,則按規定進行操作,不再進行后續的比較。
3、在每個訪問列表的最后一行是隱含的deny any語句--意味著如果數據包與所有行都不配的話,將被丟棄。
標準ACL配置:
1、創建ACL
?access-list?? access-list-number???? {deny|permit}??????? {source[source-wildcard] | any}??? [log]
例:R3(config)#access-list?? 1?? deny? 12.1.1.1
????? R3(config)#access-list?? 1 permit? any?????????????????? ------這一行不能省略,因為訪問控制 最后隱含了一條deny any的規則。
注意:這兩行順序不能顛倒
2、應用ACL
???? R3(config)#int?? s1/0
???? R3(config-if)#ip? access-group? 1? in????????????????? -------在接口下調用訪問控制列表1 ,針對的是R3的s1/0口的in方向
擴展ACL配置:
1、創建ACL
例:R3(config)#access-list?? 100?? deny??? tcp????? host?? 12.1.1.1?? host?? 23.1.1.3???? eq??? telnet
?????? 協議?????????? 源地址???????????? 目標地址???????????????? telnet使用的是tcp協議,此處也可寫telnet的端口號23
????? R3(config)#access-list?? 100? permit?? ip? any?? any?????????????????? ------隱含的是拒絕所有,這一行的作用是允許其他所有的IP流量
注意:這兩行順序不能顛倒
2、應用ACL
???? R3(config)#int?? s1/0
???? R3(config-if)#ip? access-group? 100? in????????????????? -------在接口下調用訪問控制列表1 ,針對的是R3的s1/0口的in方向
查看命令:
show ip access-list
show ip interface??
在VTY下使用:在vty下調用是過濾telnet流量
R1(config)#access-list?? 10?? permit??? 192.168.1.1
R1(config)#line?? vty?? 0?? 4
R1(config-line)#access-class?? 10??? in
在VTY只能調用標準列表,擴展列表不起作用
?
轉載于:https://blog.51cto.com/huangmaokid/388178
總結
以上是生活随笔為你收集整理的CCNA学习笔记12---黄毛丫头篇(访问控制列表)的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: InfoWorld的日志管理系统评测
- 下一篇: Windows 下 Nginx + PH