計(jì)算機(jī)網(wǎng)絡(luò)實(shí)驗(yàn)課件:訪問控制列表(ACL)的配置_第1頁
計(jì)算機(jī)網(wǎng)絡(luò)實(shí)驗(yàn)課件:訪問控制列表(ACL)的配置_第2頁
計(jì)算機(jī)網(wǎng)絡(luò)實(shí)驗(yàn)課件:訪問控制列表(ACL)的配置_第3頁
計(jì)算機(jī)網(wǎng)絡(luò)實(shí)驗(yàn)課件:訪問控制列表(ACL)的配置_第4頁
計(jì)算機(jī)網(wǎng)絡(luò)實(shí)驗(yàn)課件:訪問控制列表(ACL)的配置_第5頁
已閱讀5頁,還剩18頁未讀 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡介

1、訪問控制列表(ACL)主要內(nèi)容使用標(biāo)準(zhǔn)訪問控制列表和擴(kuò)展訪問控制列表控制網(wǎng)絡(luò)流量的方法標(biāo)準(zhǔn)訪問控制列表和擴(kuò)展訪問控制列表以及在路由接口應(yīng)用ACL的實(shí)例。訪問控制列表概述概念 訪問控制列表簡稱 ACL( Access Control Lists),它使用包過濾技術(shù),在路由器上讀取第3層或第4層包頭中的信息,如源地址、目的地址、源端口、目的端口以及上層協(xié)議等,根據(jù)預(yù)先定義的規(guī)則決定哪些數(shù)據(jù)包可以接收、哪些數(shù)據(jù)包需要拒絕,從而達(dá)到訪問控制的目的。配置路由器的訪問控制列表是網(wǎng)絡(luò)管理員一件經(jīng)常性的工作。 訪問控制列表Internet組成網(wǎng)絡(luò)中使用ACL訪問控制列表概述作用一方面保護(hù)資源節(jié)點(diǎn),阻止非法用戶

2、對(duì)資源節(jié)點(diǎn)的訪問;另一方面限制特定的用戶節(jié)點(diǎn)所能具備的訪問權(quán)限。(1)檢查和過濾數(shù)據(jù)包。 (2)限制網(wǎng)絡(luò)流量,提高網(wǎng)絡(luò)性能。 (3)限制或減少路由更新的內(nèi)容。 (4)提供網(wǎng)絡(luò)訪問的基本安全級(jí)別。 訪問控制列表概述ACL的工作原理工作原理當(dāng)一個(gè)數(shù)據(jù)包進(jìn)入路由器的某一個(gè)接口時(shí),路由器首先檢查該數(shù)據(jù)包是否可路由或可橋接。然后路由器檢查是否在入站接口上應(yīng)用了ACL。如果有ACL,就將該數(shù)據(jù)包與ACL中的條件語句相比較。如果數(shù)據(jù)包被允許通過,就繼續(xù)檢查路由器選擇表?xiàng)l目以決定轉(zhuǎn)發(fā)到的目的接口。ACL不過濾由路由器本身發(fā)出的數(shù)據(jù)包,只過濾經(jīng)過路由器的數(shù)據(jù)包。下一步,路由器檢查目的接口是否應(yīng)用了ACL。如果沒

3、有應(yīng)用,數(shù)據(jù)包就被直接送到目的接口輸出。 ACL的工作原理ACL匹配性檢查是非到達(dá)訪問控制組接口的數(shù)據(jù)包匹配第一步匹配第二步匹配最后一步數(shù)據(jù)包垃圾桶目的接口是允許?是是非非非非配置標(biāo)準(zhǔn)訪問控制列表最廣泛使用的訪問控制列表是IP訪問控制列表IP訪問控制列表工作于TCP/IP協(xié)議組。按照訪問控制列表檢查IP數(shù)據(jù)包參數(shù)的不同,可以將其分成標(biāo)準(zhǔn)ACL擴(kuò)展ACL標(biāo)準(zhǔn)ACL的工作過程標(biāo)準(zhǔn)ACL的工作過程配置標(biāo)準(zhǔn)ACL在路由器上RTB上配置:RTB(config)# access-list 1 permit host 0RTB(config)# access-list 1 deny 55RTB(config

4、)# access-list 1 permit anyRTB(config)# interface s0/0RTB(config-if)# ip access-group 1 in參 數(shù)描 述access-list-number訪問控制列表表號(hào),用來指定入口屬于哪一個(gè)訪問控制列表。對(duì)于標(biāo)準(zhǔn)ACL來說,是一個(gè)從1到99或1300到1999之間的數(shù)字Deny如果滿足測試條件,則拒絕從該入口來的通信流量Permit如果滿足測試條件,則允許從該入口來的通信量Source數(shù)據(jù)包的源地址,可以是網(wǎng)絡(luò)地址或是主機(jī)IP地址source-wildcard可選項(xiàng))通配符掩碼,又稱反掩碼,用來跟源地址一起決定哪些位

5、需要匹配Log(可選項(xiàng))生成相應(yīng)的日志消息,用來記錄經(jīng)過ACL入口的數(shù)據(jù)包的情況配置標(biāo)準(zhǔn)ACL在通配符掩碼中有兩種比較特殊,分別是any和host。any可以表示任何IP地址Router( config ) # access-list 10 permit 55等同于:Router ( config ) # access-list 10 permit anyhost表示一臺(tái)主機(jī),例如:Router ( config ) # access-list 10 permit 172. 16. 30.22 等同于:Router ( config ) # access-list 10 permit host

6、 172. 16. 30.22另外,可以通過在access-list命令前加no的形式,來刪除一個(gè)已經(jīng)建立的標(biāo)準(zhǔn)ACL,使用語法格式如下:Router ( config ) # no access-list access-list-number 例如:Router ( config ) # no access-list 10配置標(biāo)準(zhǔn)ACL擴(kuò)展訪問控制列表擴(kuò)展ACL的工作過程配置擴(kuò)展ACLRouter(config)# access-list access-list-number deny | permit protocol source source-wildcard destination

7、destination-wildcard operator operand established配置擴(kuò)展ACL標(biāo)準(zhǔn)ACL應(yīng)用實(shí)例如圖所示,某企業(yè)銷售部、市場部的網(wǎng)絡(luò)和財(cái)務(wù)部的網(wǎng)絡(luò)通過路由器RTA和RTB相連,整個(gè)網(wǎng)絡(luò)配置RIPv2路由協(xié)議,保證網(wǎng)絡(luò)正常通信。要求在RTB上配置標(biāo)準(zhǔn)ACL,允許銷售部的主機(jī)PC1訪問路由器RTB,但拒絕銷售部的其他主機(jī)訪問RTB,允許銷售部、市場部網(wǎng)絡(luò)上所有其他流量訪問RTB。配置標(biāo)準(zhǔn)ACL在路由器上RTB上配置如下:RTB(config)# access-list 1 permit host 0RTB(config)# access-list 1 deny 5

8、5RTB(config)# access-list 1 permit anyRTB(config)# interface s0/0/0RTB(config-if)# ip access-group 1 in標(biāo)準(zhǔn)ACL應(yīng)用實(shí)例驗(yàn)證標(biāo)準(zhǔn)ACL配置完IP訪問控制列表后,如果想知道是否正確,可以使用show access-lists、show ip interface 等命令進(jìn)行驗(yàn)證。 標(biāo)準(zhǔn)ACL應(yīng)用實(shí)例驗(yàn)證標(biāo)準(zhǔn)ACLshow access-lists命令該命令用來查看所有訪問控制列表的內(nèi)容。RTB# show access-lists Standard ip access list 1 10 per

9、mit 0 20 deny , wildcard bits 55 (16 matches) 30 permit any (18 matches)show ip interface命令該命令用于查看ACL作用在IP接口上的信息,并指出ACL是否正確設(shè)置。RTB# show ip interface Serial 0/0/0 is up,line protocol is up Internet address is 2/24 Broadcast address is 55 Address determined by setup command MTU is 1500 bytes Helper ad

10、dress is not set Directed broadcast forwarding is disabled Outgoing access list is not set Inbound access list is 1驗(yàn)證標(biāo)準(zhǔn)ACL擴(kuò)展ACL應(yīng)用實(shí)例下面以一個(gè)實(shí)例來說明擴(kuò)展ACL的配置和驗(yàn)證過程。如圖所示,某企業(yè)銷售部的網(wǎng)絡(luò)和財(cái)務(wù)部的網(wǎng)絡(luò)通過路由器RTA和RTB相連,整個(gè)網(wǎng)絡(luò)配置RIPv2路由協(xié)議,保證網(wǎng)絡(luò)正常通信。要求在RTA上配置擴(kuò)展ACL,實(shí)現(xiàn)以下4個(gè)功能:(1)允許銷售部網(wǎng)絡(luò)的主機(jī)訪問WWW Server 0;(2)拒絕銷售部網(wǎng)絡(luò)的主機(jī)訪問FTP Server 0;(3)拒

11、絕銷售部網(wǎng)絡(luò)的主機(jī)Telnet路由器RTB;(4)拒絕銷售部主機(jī)0Ping路由器RTB。擴(kuò)展ACL應(yīng)用實(shí)例在路由器RTA上配置如下: RTA(config)# access-list 100 permit tcp 55 host 0 eq 80RTA(config)# access-list 100 deny tcp 55 host 0 eq 20RTA(config)# access-list 100 deny tcp 55 host 0 eq 21RTA(config)# access-list 100 deny tcp 55 host eq 23RTA(config)# access-list 100 deny tcp 55 host eq 23RTA(config)# access-list 100 deny icmp host 0 host RTA(config)# access-list 100 deny icmp host 0 host RTA(c

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

最新文檔

評(píng)論

0/150

提交評(píng)論