CCNA考點(diǎn)精析-訪問控制列表

1、CCNA考點(diǎn)精析一一訪問控制列表ACL是一組推斷語句的集合，它主要用于對(duì)如下數(shù)據(jù)進(jìn)展掌握：、入站數(shù)據(jù)；、出站數(shù)據(jù)；、被路由器中繼的數(shù)據(jù)工作過程、無論在路由器上有無ACL，接到數(shù)據(jù)包的處理方法都是一樣的：當(dāng)數(shù)據(jù)進(jìn)入某個(gè)入站口時(shí)，路由器首先對(duì)其進(jìn)展檢查，看其是否可路由，假如不行路由那么就丟棄，反之通過查路由選擇表發(fā)覺該路由的具體信息包括AD, METRIC及對(duì)應(yīng)的出接口；、這時(shí)，我們假定該數(shù)據(jù)是可路由的，并且已經(jīng)順當(dāng)完成了第一步，找出了要將其送出站的接口，此時(shí)路由器檢查該出站口有沒有被編入ACL,假如沒有ACL的話，則直接從該口送出。假如該接口編入了 ACL,那么就比擬麻煩。第一種狀況一一路由器將

2、根據(jù)從上到下的挨次依次把該數(shù)據(jù)和ACL進(jìn)展匹配，從上往下，逐條執(zhí)行，當(dāng)發(fā)覺其中某條ACL匹配，則依據(jù)該ACL指定的操作對(duì)數(shù)據(jù)進(jìn)展相應(yīng)處理允許或拒絕，并停頓連續(xù)查詢匹配；當(dāng)查到ACL的最末尾，依舊未找到匹配，則調(diào)用ACL最末尾的一條隱含語句deny any來將該數(shù)據(jù)包丟棄。對(duì)于ACL，從工作原理上來看，可以分成兩種類型:、入站ACL、出站ACL上面的工作過程的解釋是針對(duì)出站ACL的。它是在數(shù)據(jù)包進(jìn)入路由器，并進(jìn)展了路由選擇找到了出接口后進(jìn)展的匹配操作；而入站ACL是指當(dāng)數(shù)據(jù)剛進(jìn)入路由器接口時(shí)進(jìn)展的匹配操作，削減了查表過程并不能說入站表省略了路由過程就認(rèn)為它較之出站表更好，依照實(shí)際狀況而定：如下列

3、圖，采納根本的ACL針對(duì)源的訪問掌握要求如下：、拒絕訪問但允許訪問、拒絕訪問1.1.1. 2但允許訪問采納根本的ACL來對(duì)其進(jìn)展掌握R1(config)#accessTist 1 R1(config)#accessTist 1 permit anyR1(config)#int e0R1(config-if)#access-group 1 inR2(config)#accessTist 1 permit anyR2(config)#int e0R2(config-if)#access-group 1 in從命令上來看，配置好像可以滿意條件。假定從有數(shù)據(jù)包要發(fā)往，進(jìn)入路由器接口 E0后，這里采納的

4、是入站表，則不需查找路由表，直接匹配ACL,發(fā)覺有語句access-list 1 deny 1.1.1.2 0.0.0.255 拒絕該數(shù)據(jù)包，丟棄；假定從有數(shù)據(jù)包要發(fā)往，同上。當(dāng)要和通信，數(shù)據(jù)包同樣會(huì)被拒絕掉當(dāng)要和通信，數(shù)據(jù)包也會(huì)被拒絕掉該ACL只能針對(duì)源進(jìn)展掌握，所以無論目的是何處，只要滿意源的匹配，則執(zhí)行操作。如何解決此問題？、把源放到離目標(biāo)最近的地方，使用出站掌握；、使ACL可以針對(duì)目的地址進(jìn)展掌握。第一項(xiàng)很好理解，由于標(biāo)準(zhǔn)的ACL只能針對(duì)源進(jìn)展掌握，假如把它放在離源最近的地方，那么就會(huì)造成不必要的數(shù)據(jù)包喪失的狀況，一般將標(biāo)準(zhǔn)ACL放在離目標(biāo)最近的位置！其次種方法，要針對(duì)目標(biāo)地址進(jìn)展掌握

5、。由于標(biāo)準(zhǔn)ACL只針對(duì)源，所以，這里不能采納標(biāo)準(zhǔn)ACL,而要采納擴(kuò)展ACL.但是它也有它的劣勢(shì)，對(duì)數(shù)據(jù)的查找工程多，雖然掌握很準(zhǔn)確，但是速度卻相對(duì)慢些。簡(jiǎn)潔比擬以下標(biāo)準(zhǔn)和擴(kuò)展ACL標(biāo)準(zhǔn)ACL僅僅只針對(duì)源進(jìn)展掌握擴(kuò)展ACL可以針對(duì)某種協(xié)議、源、目標(biāo)、端口號(hào)來進(jìn)展掌握從命令行就可看出標(biāo)準(zhǔn)：Router(config) #access-list list-number擴(kuò)展：Router ( config ) #access-list list-number protocol sourcesource-mask destination destination-mask operator operand

6、established logProtocol 用來指定協(xié)議類型，如IP、TCP、UDP、ICMP以及IGRP等Sourceand destination源和目的，分別用來標(biāo)示源地址及目的地址Source-mask and destination-mask源和目的的通配符掩碼Operator operandIt, gt, eq, neq (分別是小于、大于、等于、不等于)和一個(gè)端口號(hào)Established假如數(shù)據(jù)包使用一個(gè)已建連接(例如，具有ACK位組)，就允許TCP信息通過為了避開過多的查表，所以擴(kuò)展ACL 一般放置在離源最近的地方看完上面的內(nèi)容后，那么大家可以看以下幾道關(guān)于CISCO訪問掌

7、握列表的例題：1、What are two reasons that a network administrator would useaccess lists?(Choose two.)A:tocontrol vty access into a routerB:tocontrol broadcast traffic through arouterC:tofilter traffic as it passes througha routerD:tofilter traffic that originates fromthe routerE : to replace passwords as a

8、 line of defense against securityincursionsAnswers : A , C注：該題主要考察CISCO考生對(duì)ACL作用的理解：網(wǎng)絡(luò)治理員在網(wǎng)絡(luò)中使用ACL的兩個(gè)理由？A 選項(xiàng)指出了 CISCO訪問列表的一個(gè)用法：通過VTY線路來訪問路由器的訪問掌握；ACL不能對(duì)穿越路由器的播送流量作出有效掌握。選項(xiàng)C也指明白ACL的另一個(gè)作用，那就是過濾穿越路由器的流量。這里要留意了，是“穿越路由器的流量才能被ACL來作用，但是路由器本身產(chǎn)生的流量，比方路由更新報(bào)文等，ACL是不會(huì)對(duì)它起任何作用的:由于ACL不能過濾由路由器本身產(chǎn)生的流量，那么D也是錯(cuò)誤的；、For s

9、ecurity reasons, the network administrator needs toprevent pings into the corporate networks from hosts outside theinternetwork. Which protocol should be blocked with access controllists?A:IPB:ICMPC:TCPD:UDPAnswers : B安全起見，網(wǎng)絡(luò)治理員想要阻擋來自Internet上的外部主機(jī)PING企業(yè)內(nèi)部網(wǎng)絡(luò)，哪種協(xié)議必需在訪問列表中被堵塞掉？ PING使用的是ICMP協(xié)議，在ACL中，我們

10、可以自己來定義需要被允許或者拒絕某些協(xié)議的流量。該題選B、 Refer to the exhibit. The access list has been configuredon the S0/0 interface of router RTB in the outbound direction. Whichtwo packets, if routed to the interface, will be denied?(Choosetwo.)access-list 101 deny tcp 192.168.15.32 0.0.0.15 any eq telnetaccess-list 101 permit ip any any訪問掌握列表 TOC o 1-5 h z A:sourceipaddress：192.168.15.5 ；destinationport:21B:sourceipaddress：,192.168.15.37destinationport:21C:sourceipaddress：,192.168.15.41destinationport:21D:sourceipaddress：,192.168.15.36destinationport:23E : s