問控制列表(ACL)

 

訪問控制列表的基本原理:
ACL使用包過濾技術,在路由器上讀取OSI七層模型的第三層及第四層包頭中的信息,如源地址。目的地址。源端口、目的端口等,根據預先定義好的規則,對包進行過濾,從而達到訪問控制列表的目的。
ACL的作用:控制對特定網絡資源的訪問。
訪問控制列表的類型:
(1)       基於數字的:(1)標準的:1-99、1000-1999
                   (2)擴展的: 100-199、 2000-2699
 (2)基於名稱的:(1)標準:standard
                  (2)擴展:extended
(3)高級ACL:(1)基於時間的ACL
            (2)單向ACL
            (3)動態ACL
1.標準訪問控制列表:
 標準訪問控制列表根據數據包的源IP地址來允許或拒絕數據包,標準訪問控制列表的表號是:1-99、1000-1999
2、擴展訪問控制列表:
 擴展訪問控制列表根據數據包的源ip地址、目的ip地址、指定協議、端口和標誌來允許或拒絕數據包。擴展訪問控制列表的訪問控制列表號是100-199、 2000-2699
3.命名訪問控制列表:
命名訪問控制列表允許在標準和擴展訪問列表中使用名稱代替表號。
4.定時訪問控制列表:
定時訪問控制列表提供基於時間的附加控制特性,定義在什麼時間允許或拒絕數據包。
訪問控制列表的工作原理:
(1)       如果匹配第一條規則,則不再往下檢查,路由器將決定該數據包允許通過或拒絕通過。
(2)       如果不匹配第一條規則,則依次往下檢查,直到有任何一條規則匹配,路由器將決定該數據包允許通過或拒絕通過。
(3)       如果最後沒有任何一條規則匹配,則路由器根據默認的規則將丟棄該數據包。
ACL的應用有兩個方向:
(1)       出:已經過路由器的處理,正離開路由器接口的數據包。
(2)       入:已到達路由器接口的數據包,將被路由器處理。
一個端口的一個方向只能應用一個ACL,後應用的生效
標準訪問控制列表的配置:(標準ACL應用在離目的地最近的路由器)
創建ACL:
Router(config)#access-list access-list-number {permit | deny} source {source-wildcard}
刪除已建立的標準ACL:
Router(config)#no access-list access-list-number
將ACL應用於接口:
Router(config)#ip access-group access-list-number {in| out}
在接口上取消ACL的應用:
Router(config)#no ip access-group access-list-number {in |Out }
擴展訪問控制列表的配置:(應該把擴展ACL應用在離源地址最近的路由器上)
創建ACL:
Router(config)#access-list access-list-number {permit | deny } protocol {source source-wildcard destination destination-wildcard } [operator operan ]
應用於標準的一樣
命名訪問控制列表的配置:
Router(config)# ip access-list {standard | extended} access-list-name
刪除ACL:
Router(config)#no ip access-list {standard | extended } access-list-name
定時訪問控制列表:
定義時間範圍的名稱:
Router (config)#time-range time-range-name
定義一個時間週期:
Router(config-time-range)#periodic days-of-the-week hh:mm to [days-of-the-week] hh:mm
定義一個絕對時間:
Router(config-time-range)# absolute [start hh:mm day month year] [end hh:mm day month year]
在擴展中引用時間範圍:
Router(config)#access-list access-list-number {permitted |deny} protocol {source source-wildcard destination destination-wildcard} [operator operan] time-range time-range-name
擴展ACL與標準ACL一樣不能刪除單條acl語句,只能刪除整個ACL,而命名ACL可以刪除單條ACL語句
在路由器上查找時間的命令:show clock
改時間的命令:clock set hh:mm day month year
 
第七章討論課
網絡結構一半分爲三層,分別爲:
(1)       核心層:核心層爲網絡的骨幹部分,要有高的轉發速率、高穩定性和高可靠性,並提供路由
(2)       匯聚層:匯聚層是多臺接入層交換機的匯聚點,有時承擔了三層交換機和路由轉發的功能,並向上提供到核心層的鏈路
(3)       接入層:接入層爲終端設備的進入,其目的是允許用戶接入。
發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章