問控制列表（ACL）

 

訪問控制列表的基本原理：

ACL使用包過濾技術，在路由器上讀取OSI七層模型的第三層及第四層包頭中的信息，如源地址。目的地址。源端口、目的端口等，根據預先定義好的規則，對包進行過濾，從而達到訪問控制列表的目的。

ACL的作用：控制對特定網絡資源的訪問。

訪問控制列表的類型：

（1）       基於數字的：（1）標準的：1-99、1000-1999

                   （2）擴展的： 100-199、 2000-2699

 （2）基於名稱的：（1）標準：standard

                  （2）擴展：extended

(3)高級ACL:(1)基於時間的ACL

            (2)單向ACL

            (3)動態ACL

1.標準訪問控制列表：

 標準訪問控制列表根據數據包的源IP地址來允許或拒絕數據包，標準訪問控制列表的表號是：1-99、1000-1999

2、擴展訪問控制列表：

 擴展訪問控制列表根據數據包的源ip地址、目的ip地址、指定協議、端口和標誌來允許或拒絕數據包。擴展訪問控制列表的訪問控制列表號是100-199、 2000-2699

3.命名訪問控制列表：

命名訪問控制列表允許在標準和擴展訪問列表中使用名稱代替表號。

4.定時訪問控制列表：

定時訪問控制列表提供基於時間的附加控制特性，定義在什麼時間允許或拒絕數據包。

訪問控制列表的工作原理：

（1）       如果匹配第一條規則，則不再往下檢查，路由器將決定該數據包允許通過或拒絕通過。

（2）       如果不匹配第一條規則，則依次往下檢查，直到有任何一條規則匹配，路由器將決定該數據包允許通過或拒絕通過。

（3）       如果最後沒有任何一條規則匹配，則路由器根據默認的規則將丟棄該數據包。

ACL的應用有兩個方向：

（1）       出：已經過路由器的處理，正離開路由器接口的數據包。

（2）       入：已到達路由器接口的數據包，將被路由器處理。

一個端口的一個方向只能應用一個ACL，後應用的生效

標準訪問控制列表的配置：(標準ACL應用在離目的地最近的路由器)

創建ACL:

Router（config）#access-list access-list-number {permit | deny} source {source-wildcard}

刪除已建立的標準ACL:

Router(config)#no access-list access-list-number

將ACL應用於接口：

Router(config)#ip access-group access-list-number {in| out}

在接口上取消ACL的應用：

Router(config)#no ip access-group access-list-number {in |Out }

擴展訪問控制列表的配置：（應該把擴展ACL應用在離源地址最近的路由器上）

創建ACL:

Router(config)#access-list access-list-number {permit | deny } protocol {source source-wildcard destination destination-wildcard } [operator operan ]

應用於標準的一樣

命名訪問控制列表的配置：

Router(config)# ip access-list {standard | extended} access-list-name

刪除ACL：

Router（config）#no ip access-list {standard | extended } access-list-name

定時訪問控制列表：

定義時間範圍的名稱：

Router (config)#time-range time-range-name

定義一個時間週期：

Router(config-time-range)#periodic days-of-the-week hh:mm to [days-of-the-week] hh:mm

定義一個絕對時間：

Router(config-time-range)# absolute [start hh:mm day month year] [end hh:mm day month year]

在擴展中引用時間範圍：

Router(config)#access-list access-list-number {permitted |deny} protocol {source source-wildcard destination destination-wildcard} [operator operan] time-range time-range-name

擴展ACL與標準ACL一樣不能刪除單條acl語句，只能刪除整個ACL,而命名ACL可以刪除單條ACL語句

在路由器上查找時間的命令：show clock

改時間的命令：clock set hh:mm day month year

 

第七章討論課

網絡結構一半分爲三層，分別爲：

（1）       核心層：核心層爲網絡的骨幹部分，要有高的轉發速率、高穩定性和高可靠性，並提供路由

（2）       匯聚層：匯聚層是多臺接入層交換機的匯聚點，有時承擔了三層交換機和路由轉發的功能，並向上提供到核心層的鏈路

（3）       接入層：接入層爲終端設備的進入，其目的是允許用戶接入。